Compartilhar via


Controle de Segurança: Registro em log e Monitoramento

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

O monitoramento e o registro em log de segurança se concentram em atividades relacionadas à habilitação, à aquisição e ao armazenamento de logs de auditoria para os serviços do Azure.

2.1: usar fontes de sincronização de tempo aprovadas

ID do Azure IDs do CIS Responsabilidade
2.1 6.1 Microsoft

No entanto, a Microsoft mantém fontes de data/hora para recursos do Azure. Você tem a opção de gerenciar as configurações de sincronização de data/hora para seus recursos de computação.

2.2: Configurar o gerenciamento central de log de segurança

ID do Azure IDs do CIS Responsabilidade
2.2 6.5, 6.6 Cliente

Faça a ingestão dos logs por meio do Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança. No Azure Monitor, use o Workspace do Log Analytics para consultar e realizar análises, e use contas de Armazenamento do Microsoft Azure para armazenamento de longo prazo/arquivamento.

Como alternativa, você pode habilitar e integrar dados ao Azure Sentinel ou a um SIEM de terceiros.

2.3: habilitar o registro em log de auditoria para recursos do Azure

ID do Azure IDs do CIS Responsabilidade
2.3 6.2, 6.3 Cliente

Habilite as Configurações de Diagnóstico nos recursos do Azure para acessar logs de auditoria, segurança e diagnóstico. Logs de atividade, que estão automaticamente disponíveis, incluem origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

2.4: Coletar logs de segurança de sistemas operacionais

ID do Azure IDs do CIS Responsabilidade
2.4 6.2, 6.3 Cliente

A Microsoft é responsável pelo seu monitoramento se o recurso de computação pertencer à Microsoft. É sua responsabilidade monitorar o recurso de computação se ele pertencer à sua organização. Você pode usar a Central de Segurança do Azure para monitorar o sistema operacional. Os dados coletados do sistema operacional pela Central de Segurança incluem o tipo e a versão do sistema operacional (Logs de Eventos do Windows), processos em execução, nome da máquina, endereços IP e usuário conectado. O Agente do Log Analytics também coleta arquivos de despejo de memória.

2.5: Configurar a retenção de armazenamento do log de segurança

ID do Azure IDs do CIS Responsabilidade
2.5 6.4 Cliente

No Azure Monitor, defina o período de retenção do workspace do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Use contas do Armazenamento do Azure para armazenamento de longo prazo/arquivamento.

2.6: monitorar e revisar logs

ID do Azure IDs do CIS Responsabilidade
2.6 6.7 Cliente

Analise e monitore os logs para buscar por comportamentos anormais e examine os resultados regularmente. Use o Workspace do Log Analytics do Azure Monitor para examinar os logs e realizar consultas nos dados de log.

Como alternativa, você pode habilitar e integrar dados ao Azure Sentinel ou a um SIEM de terceiros.

2.7: Habilitar alertas sobre atividades anormais

ID do Azure IDs do CIS Responsabilidade
2.7 6,8 Cliente

Use a Central de Segurança do Azure com o Workspace do Log Analytics para monitorar e alertar sobre atividades anormais encontradas em eventos e logs de segurança.

Outra opção é habilitar e integrar dados no Azure Sentinel.

2.8: centralizar o registro em log de antimalware

ID do Azure IDs do CIS Responsabilidade
2.8 8.6 Cliente

Habilite a coleta de eventos de antimalware para Máquinas Virtuais e Serviços de Nuvem do Azure.

2.9: habilitar o registro em log de consulta DNS

ID do Azure IDs do CIS Responsabilidade
2,9 8.7 Cliente

Implemente uma solução de terceiros do Azure Marketplace para a solução de registro em log de DNS de acordo com as necessidades das suas organizações.

2.10: habilitar o registro em log de auditoria de linha de comando

ID do Azure IDs do CIS Responsabilidade
2.10 8.8 Cliente

Use o Microsoft Monitoring Agent em todas as máquinas virtuais do Azure Windows com suporte para registrar o evento de criação do processo e o campo CommandLine. Para as Máquinas Virtuais do Linux com suporte Azure, é possível configurar manualmente o log do console por nó e usar o Syslog para armazenar os dados. Além disso, use o workspace do Log Analytics do Azure Monitor para examinar os logs e realizar consultas em dados de log de Máquinas Virtuais do Azure.

Próximas etapas