注释
此处提供了最 up-to日期的 Azure 安全基准。
安全日志记录和监视侧重于与为 Azure 服务启用、获取和存储审核日志相关的活动。
2.1:使用批准的时间同步源
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.1 | 6.1 | 微软 |
Microsoft 为 Azure 资源维护时间源,不过,您可以选择管理计算资源的时间同步设置。
2.2:配置中心安全日志管理
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.2 | 6.5, 6.6 | 客户 |
通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区查询和执行分析,并使用 Azure 存储帐户进行长期/存档存储。
或者,可以启用数据并将其载入到 Azure Sentinel 或第三方 SIEM。
2.3:为 Azure 资源启用审核日志记录
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.3 | 6.2, 6.3 | 客户 |
在 Azure 资源上启用诊断设置,以便访问审核、安全和诊断日志。 活动日志(自动可用)包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素。
2.4:从操作系统收集安全日志
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.4 | 6.2, 6.3 | 客户 |
如果计算资源由Microsoft所有,则Microsoft负责监视它。 如果计算资源归您所在的组织所有,那么您有责任监控它。 可以使用 Azure 安全中心监视 OS。 安全中心从作系统收集的数据包括 OS 类型和版本、OS(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址和登录用户。 Log Analytics 代理还会收集故障转储文件。
2.5:配置安全日志存储保留期
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.5 | 6.4 | 客户 |
在 Azure Monitor 中,根据组织的合规性法规设置 Log Analytics 工作区保留期。 使用 Azure 存储帐户进行长期/存档存储。
2.6:监视和查看日志
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.6 | 6.7 | 客户 |
分析和监视日志中是否存在异常行为,并定期查看结果。 使用 Azure Monitor 的 Log Analytics 工作区查看日志并针对日志数据执行查询。
或者,可以向 Azure Sentinel 或第三方 SIEM 启用和载入数据。
2.7:为异常活动启用警报
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.7 | 6.8 | 客户 |
将 Azure 安全中心与 Log Analytics 工作区配合使用,监视和警报安全日志和事件中发现的异常活动。
或者,可以启用 Azure Sentinel 并将数据导入 Azure Sentinel。
2.8:集中反恶意软件日志记录
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.8 | 8.6 | 客户 |
为 Azure 虚拟机和云服务启用反恶意软件事件收集。
2.9:启用 DNS 查询日志记录
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.9 | 8.7 | 客户 |
根据贵组织的需要,从 Azure 市场中选择和实现用于 DNS 日志记录的第三方解决方案。
2.10:启用命令行审核日志记录
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 2.10 | 8.8 | 客户 |
在所有受支持的 Azure Windows 虚拟机上使用Microsoft监视代理记录进程创建事件和 CommandLine 字段。 对于支持的 Azure Linux 虚拟机,可以按节点手动配置控制台日志记录,并使用 Syslog 来存储数据。 此外,使用 Azure Monitor 的 Log Analytics 工作区查看日志,并针对 Azure 虚拟机中的已记录数据执行查询。
后续步骤
- 请参阅下一个安全控制: 标识和访问控制