Controlo de Segurança: Registo e Monitorização
Nota
A Referência de Segurança do Azure mais atualizada está disponível aqui.
O registo de segurança e a monitorização concentram-se em atividades relacionadas com a ativação, aquisição e armazenamento de registos de auditoria para serviços do Azure.
2.1: Utilizar origens de sincronização de hora aprovadas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
No entanto, a Microsoft mantém as origens de tempo dos recursos do Azure. No entanto, tem a opção de gerir as definições de sincronização de hora dos seus recursos de computação.
Como configurar a sincronização de tempo para recursos de computação do Windows do Azure
Como configurar a sincronização de tempo para recursos de computação do Linux do Azure
2.2: Configurar a gestão de registos de segurança central
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2,2 | 6.5, 6.6 | Cliente |
Ingerir registos através do Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto final, recursos de rede e outros sistemas de segurança. No Azure Monitor, utilize as Áreas de Trabalho do Log Analytics para consultar e efetuar análises e utilizar as Contas de Armazenamento do Azure para armazenamento de longo prazo/arquivo.
Em alternativa, pode ativar e incluir dados no Azure Sentinel ou num SIEM de terceiros.
Como recolher registos e métricas da plataforma com o Azure Monitor
Como recolher registos de anfitriões internos da Máquina Virtual do Azure com o Azure Monitor
Como começar a utilizar o Azure Monitor e a integração de SIEM de terceiros
2.3: Ativar o registo de auditoria para recursos do Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2.3 | 6.2, 6.3 | Cliente |
Ative as Definições de Diagnóstico nos recursos do Azure para aceder a registos de auditoria, segurança e diagnóstico. Os registos de atividades, que estão disponíveis automaticamente, incluem origem do evento, data, utilizador, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Como recolher registos e métricas da plataforma com o Azure Monitor
Compreender o registo e os diferentes tipos de registo no Azure
2.4: Recolher registos de segurança de sistemas operativos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2,4 | 6.2, 6.3 | Cliente |
Se o recurso de computação for propriedade da Microsoft, a Microsoft é responsável por monitorizá-lo. Se o recurso de computação for propriedade da sua organização, é da sua responsabilidade monitorizá-lo. Pode utilizar Centro de Segurança do Azure para monitorizar o SO. Os dados recolhidos pelo Centro de Segurança do sistema operativo incluem o tipo e a versão do SO, SO (Registos de Eventos do Windows), processos em execução, nome do computador, endereços IP e utilizador com sessão iniciada. O Agente do Log Analytics também recolhe ficheiros de informação de falha de sistema.
2.5: Configurar a retenção do armazenamento de registos de segurança
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2.5 | 6.4 | Cliente |
No Azure Monitor, defina o período de retenção da Área de Trabalho do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Utilize as Contas de Armazenamento do Azure para armazenamento de longo prazo/arquivo.
2.6: Monitorizar e rever Registos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2,6 | 6.7 | Cliente |
Analise e monitorize os registos para obter um comportamento anómalo e analise regularmente os resultados. Utilize a Área de Trabalho do Log Analytics do Azure Monitor para rever registos e efetuar consultas nos dados de registo.
Em alternativa, pode ativar e incluir dados no Azure Sentinel ou num SIEM de terceiros.
2.7: Ativar alertas para atividades anómalas
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2.7 | 6.8 | Cliente |
Utilize Centro de Segurança do Azure com a Área de Trabalho do Log Analytics para monitorizar e alertar sobre atividades anómalos encontradas em eventos e registos de segurança.
Em alternativa, pode ativar e incluir dados no Azure Sentinel.
2.8: Centralizar o registo antimalware
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2,8 | 8.6 | Cliente |
Ative a coleção de eventos antimalware para Máquinas Virtuais e Serviços Cloud do Azure.
2.9: Ativar o registo de consultas DNS
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2.9 | 8.7 | Cliente |
Implemente uma solução de terceiros a partir de Azure Marketplace para a solução de registo DNS de acordo com as necessidades das suas organizações.
2.10: Ativar o registo de auditoria da linha de comandos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 2,10 | 8.8 | Cliente |
Utilize o Microsoft Monitoring Agent em todas as máquinas virtuais do Windows do Azure suportadas para registar o evento de criação do processo e o campo Linha de Comandos. Para máquinas virtuais do Linux do Azure suportadas, pode configurar manualmente o registo da consola por nó e utilizar o Syslog para armazenar os dados. Além disso, utilize a área de trabalho do Log Analytics do Azure Monitor para rever registos e efetuar consultas em dados registados a partir de Máquinas virtuais do Azure.
Data collection in Azure Security Center (Recolha de dados no Centro de Segurança do Azure)
Syslog data sources in Azure Monitor (Origens de dados de Syslog no Azure Monitor)
Passos seguintes
- Veja o próximo Controlo de Segurança: Identidade e Controlo de Acesso