Controlo de Segurança v3: Deteção de registos e ameaças
O registo e a Deteção de Ameaças abrangem controlos para detetar ameaças no Azure e ativar, recolher e armazenar registos de auditoria para serviços do Azure, incluindo ativar processos de deteção, investigação e remediação com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas nos serviços do Azure; também inclui a recolha de registos com o Azure Monitor, a centralização da análise de segurança com o Azure Sentinel, a sincronização de tempo e a retenção de registos.
LT-1: Ativar as capacidades de deteção de ameaças
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Princípio de Segurança: Para suportar cenários de deteção de ameaças, monitorize todos os tipos de recursos conhecidos para ameaças e anomalias conhecidas e esperadas. Configure as regras de filtragem e análise de alertas para extrair alertas de alta qualidade de dados de registo, agentes ou outras origens de dados para reduzir falsos positivos.
Orientação do Azure: Utilize a capacidade de deteção de ameaças dos serviços do Azure Defender no Microsoft Defender para a Cloud para os respetivos serviços do Azure.
Para a deteção de ameaças não incluída nos serviços do Azure Defender, veja as linhas de base do serviço referência de segurança do Azure para os respetivos serviços para ativar a deteção de ameaças ou as capacidades de alerta de segurança no serviço. Extraia os alertas para o Azure Monitor ou para o Azure Sentinel para criar regras de análise, que caçam ameaças que correspondam a critérios específicos em todo o seu ambiente.
Para ambientes de Tecnologia Operacional (OT) que incluem computadores que controlam ou monitorizam recursos do Sistema de Controlo Industrial (ICS) ou controlo de supervisão e aquisição de dados (SCADA), utilize o Defender para IoT para inventariar recursos e detetar ameaças e vulnerabilidades.
Para serviços que não têm uma capacidade de deteção de ameaças nativa, considere recolher os registos do plano de dados e analisar as ameaças através do Azure Sentinel.
Implementação e contexto adicional:
- Introdução ao Azure Defender
- guia de referência Microsoft Defender para alertas de segurança na Cloud
- Criar regras de análise personalizadas para detetar ameaças
- Informações sobre ameaças cibernéticas com o Azure Sentinel
Intervenientes na Segurança do Cliente (Saiba mais):
- Segurança de infraestrutura e pontos finais
- Operações de segurança
- Gestão de postura
- Application Security e DevOps
- Informações sobre ameaças
LT-2: Ativar a deteção de ameaças para a gestão de identidades e acessos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Princípio de Segurança: Detete ameaças para identidades e gestão de acesso ao monitorizar as anomalias de início de sessão e acesso do utilizador e da aplicação. Os padrões comportamentais, como o número excessivo de tentativas de início de sessão falhadas e contas preteridas na subscrição, devem ser alertados.
Orientação do Azure: Azure AD fornece os seguintes registos que podem ser visualizados em Azure AD relatórios ou integrados com o Azure Monitor, o Azure Sentinel ou outras ferramentas SIEM/monitorização para casos de utilização de análise e monitorização mais sofisticados:
- Inícios de sessão: o relatório de inícios de sessão fornece informações sobre a utilização de aplicações geridas e atividades de início de sessão do utilizador.
- Registos de auditoria: fornece rastreabilidade através de registos para todas as alterações efetuadas por várias funcionalidades no Azure AD. Os exemplos de registos de auditoria incluem as alterações feitas a quaisquer recursos no Azure AD, como adicionar ou remover utilizadores, aplicações, grupos, funções e políticas.
- Inícios de sessão de risco: um início de sessão de risco é um indicador para uma tentativa de início de sessão que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de utilizador.
- Utilizadores sinalizados para risco: um utilizador de risco é um indicador para uma conta de utilizador que pode ter sido comprometida.
Azure AD também fornece um módulo do Identity Protection para detetar e remediar riscos relacionados com contas de utilizador e comportamentos de início de sessão. Os riscos de exemplo incluem credenciais vazadas, início de sessão a partir de endereços IP anónimos ou associados a software maligno, spray de palavra-passe. As políticas no Azure AD Identity Protection permitem-lhe impor a autenticação MFA baseada em riscos em conjunto com o Acesso Condicional do Azure em contas de utilizador.
Além disso, Microsoft Defender para a Cloud podem ser configurados para alertar sobre contas preteridas na subscrição e atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas. Além da monitorização básica da higiene de segurança, Microsoft Defender para o módulo Proteção Contra Ameaças da Cloud também podem recolher alertas de segurança mais aprofundados de recursos de computação individuais do Azure (como máquinas virtuais, contentores, serviço de aplicações), recursos de dados (como a BD SQL e o armazenamento) e camadas de serviço do Azure. Esta capacidade permite-lhe ver anomalias de conta dentro dos recursos individuais.
Nota: se estiver a ligar o seu Active Directory no local para sincronização, utilize a solução de Microsoft Defender para Identidade para consumir a sua Active Directory no local sinais para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização.
Implementação e contexto adicional:
- Relatórios de atividade de auditoria no Azure AD
- Ativar o Azure Identity Protection
- Proteção contra ameaças no Microsoft Defender para a Cloud
Intervenientes na Segurança do Cliente (Saiba mais):
- Segurança de infraestrutura e pontos finais
- Operações de segurança
- Gestão de postura
- Application Security e DevOps
- Informações sobre ameaças
LT-3: Ativar o registo para investigação de segurança
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Princípio de Segurança: Ative o registo dos seus recursos da cloud para cumprir os requisitos para as investigações de incidentes de segurança e as finalidades de conformidade e resposta de segurança.
Orientação do Azure: Ative a capacidade de registo de recursos nos diferentes escalões, como registos de recursos do Azure, sistemas operativos e aplicações dentro das VMs e outros tipos de registo.
Tenha em atenção diferentes tipos de registos para registos de segurança, auditoria e outras operações nas camadas do plano de gestão/controlo e do plano de dados. Existem três tipos de registos disponíveis na plataforma do Azure:
- Registo de recursos do Azure: registo de operações executadas num recurso do Azure (o plano de dados). Por exemplo, obter um segredo de um cofre de chaves ou fazer um pedido para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
- Registo de atividades do Azure: registo de operações em cada recurso do Azure na camada de subscrição, de fora (o plano de gestão). Pode utilizar o Registo de Atividades para determinar o quê, quem e quando para quaisquer operações de escrita (PUT, POST, DELETE) realizadas nos recursos na sua subscrição. Existe um único Registo de atividades para cada subscrição do Azure.
- Registos do Azure Active Directory: registos do histórico de atividade de início de sessão e registo de auditoria de alterações efetuadas no Azure Active Directory para um inquilino específico.
Também pode utilizar Microsoft Defender para a Cloud e Azure Policy para ativar os registos de recursos e a recolha de dados de registo nos recursos do Azure.
Implementação e contexto adicional:
- Compreender o registo e os diferentes tipos de registo no Azure
- Compreender Microsoft Defender da recolha de dados na Cloud
- Ativar e configurar a monitorização antimalware
- Sistemas operativos e registos de aplicações dentro dos recursos de computação
Intervenientes na Segurança do Cliente (Saiba mais):
- Segurança de infraestrutura e pontos finais
- Operações de segurança
- Gestão de postura
- Application Security e DevOps
- Informações sobre ameaças
LT-4: Ativar o registo de rede para investigação de segurança
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Princípio de Segurança: Ative o registo dos seus serviços de rede para suportar investigações de incidentes relacionadas com a rede, investigação de ameaças e geração de alertas de segurança. Os registos de rede podem incluir registos de serviços de rede, como filtragem de IP, firewall de rede e aplicações, DNS, monitorização de fluxos, etc.
Orientações do Azure: Ative e recolha registos de recursos do grupo de segurança de rede (NSG), registos de fluxo do NSG, registos de Azure Firewall e registos de Firewall de Aplicações Web (WAF) para análise de segurança para suportar investigações de incidentes e geração de alertas de segurança. Pode enviar os registos de fluxo para uma área de trabalho do Log Analytics do Azure Monitor e, em seguida, utilizar a Análise de Tráfego para fornecer informações.
Recolha registos de consultas DNS para ajudar a correlacionar outros dados de rede.
Implementação e contexto adicional:
- Como ativar os registos de fluxo do grupo de segurança de rede
- Azure Firewall registos e métricas
- Soluções de monitorização de rede do Azure no Azure Monitor
- Recolher informações sobre a sua infraestrutura de DNS com a solução de Análise de DNS
Intervenientes na Segurança do Cliente (Saiba mais):
- Operações de segurança
- Segurança de infraestrutura e pontos finais
- Segurança da aplicação e DevOps
- Informações sobre ameaças
LT-5: Centralizar a análise e gestão do registo de segurança
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/D |
Princípio de Segurança: Centralize o armazenamento e a análise de registos para permitir a correlação entre os dados de registo. Para cada origem de registo, certifique-se de que atribuiu um proprietário de dados, orientações de acesso, localização de armazenamento, que ferramentas são utilizadas para processar e aceder aos dados e requisitos de retenção de dados.
Orientações do Azure: Confirme que está a integrar registos de atividades do Azure numa área de trabalho centralizada do Log Analytics. Utilize o Azure Monitor para consultar e efetuar análises e criar regras de alerta com os registos agregados dos serviços do Azure, dispositivos de ponto final, recursos de rede e outros sistemas de segurança.
Além disso, ative e integre dados no Azure Sentinel, que fornece a capacidade de gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR).
Implementação e contexto adicional:
Intervenientes na Segurança do Cliente (Saiba mais):
LT-6: Configurar a retenção de armazenamento dos registos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Princípio de Segurança: Planeie a estratégia de retenção de registos de acordo com os seus requisitos de conformidade, regulação e negócios. Configure a política de retenção de registos nos serviços de registo individuais para garantir que os registos são arquivados adequadamente.
Orientações do Azure: Os registos, como os eventos dos Registos de Atividades do Azure, são mantidos durante 90 dias e eliminados. Deve criar uma definição de diagnóstico e encaminhar as entradas de registo para outra localização (como a área de trabalho do Log Analytics do Azure Monitor, os Hubs de Eventos ou o Armazenamento do Azure) com base nas suas necessidades. Esta estratégia também se aplica aos outros registos de recursos e recursos geridos por si próprio, como registos nos sistemas operativos e aplicações dentro das VMs.
Tem a opção de retenção de registos como abaixo:
- Utilize a área de trabalho do Log Analytics do Azure Monitor para um período de retenção de registo até 1 ano ou de acordo com os requisitos da equipa de resposta.
- Utilize o Armazenamento do Azure, o Data Explorer ou o Data Lake para armazenamento de longo prazo e arquivo durante mais de 1 ano e para cumprir os seus requisitos de conformidade de segurança.
- Utilize Hubs de Eventos do Azure para reencaminhar registos para fora do Azure.
Nota: o Azure Sentinel utiliza a área de trabalho do Log Analytics como back-end para o armazenamento de registos. Deve considerar uma estratégia de armazenamento a longo prazo se planear manter os registos SIEM por mais tempo.
Implementação e contexto adicional:
- Alterar o período de retenção de dados no Log Analytics
- Como configurar a política de retenção para os registos da conta de Armazenamento do Azure
- Microsoft Defender para a exportação de alertas e recomendações da Cloud
Intervenientes na Segurança do Cliente (Saiba mais):
- Arquitetura de segurança
- Application Security e DevOps
- Operações de segurança
- Gestão de conformidade de segurança
LT-7: Utilizar origens de sincronização de hora aprovadas
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8,4 | AU-8 | 10.4 |
Princípio de Segurança: Utilize origens de sincronização de hora aprovadas para o carimbo de data/hora de registo, que incluem informações de data, hora e fuso horário.
Orientações do Azure: A Microsoft mantém origens de tempo para a maioria dos serviços PaaS e SaaS do Azure. Para os seus sistemas operativos de recursos de computação, utilize um servidor NTP predefinido da Microsoft para sincronização de tempo, a menos que tenha um requisito específico. Se precisar de manter o seu próprio servidor de protocolo de tempo de rede (NTP), certifique-se de que protege a porta de serviço UDP 123.
Todos os registos gerados pelos recursos no Azure fornecem carimbos de data/hora com o fuso horário especificado por predefinição.
Implementação e contexto adicional:
- Como configurar a sincronização de tempo para recursos de computação do Windows do Azure
- Como configurar a sincronização de tempo para recursos de computação do Linux do Azure
- Como desativar o UDP de entrada para serviços do Azure
Intervenientes na Segurança do Cliente (Saiba mais):