日志记录和威胁检测包括用于检测云威胁的控制措施,以及启用、收集和存储云服务的审核日志,包括启用检测、调查和修正流程,并控制在云服务中生成具有本机威胁检测的高质量警报:它还包括使用云监视服务收集日志、使用 SIEM 集中安全分析、时间同步和日志保留。
LT-1:启用威胁检测功能
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
安全原则:若要支持威胁检测方案,请监视已知和预期威胁和异常的所有已知资源类型。 配置警报筛选和分析规则,以从日志数据、代理或其他数据源中提取高质量的警报,以减少误报。
Azure 指南:对相应的 Azure 服务使用 Microsoft Defender for Cloud 的威胁检测功能。
对于未包含在 Microsoft Defender 服务中的威胁检测,请参阅相应服务的Microsoft云安全基准服务基线,以便在服务中启用威胁检测或安全警报功能。 从 Microsoft Defender for Cloud 引入警报和日志数据,Microsoft 365 Defender,并将其他资源中的数据记录到 Azure Monitor 或 Microsoft Sentinel 实例中,以生成分析规则,这些规则可检测威胁并创建符合环境中特定条件的警报。
对于包括控制或监视工业控制系统(ICS)或监控和数据采集(SCADA)资源的计算机在内的操作技术(OT)环境,请使用 Microsoft Defender for IoT 来清点资产并检测威胁和漏洞。
对于没有本机威胁检测功能的服务,请考虑通过 Microsoft Sentinel 收集数据平面日志和分析威胁。
Azure 实现和其他上下文:
- Microft Defender for Cloud 简介
- Microsoft Defender for Cloud 安全警报参考指南
- 创建自定义分析规则以检测威胁
- Microsoft Sentinel 中网络威胁情报的威胁指标
AWS 指南:使用 Amazon GuardDuty 进行威胁检测,用于分析和处理以下数据源:VP 流日志、AWS CloudTrail 管理事件日志、CloudTrail S3 数据事件日志、EKS 审核日志和 DNS 日志。 GuardDuty 能够报告特权升级、公开凭据使用情况或与恶意 IP 地址或域通信等安全问题。
配置 AWS Config,以检查 SecurityHub 中的规则并进行合规监控,例如配置漂移, 并在需要时创建检测结果。
对于 GuardDuty 和 SecurityHub 中未包含的威胁检测,请在支持的 AWS 服务中启用威胁检测或安全警报功能。 将警报提取到 CloudTrail、CloudWatch 或 Microsoft Sentinel,以生成分析规则,这些规则会搜寻与环境中特定条件匹配的威胁。
还可以使用 Microsoft Defender for Cloud 监视 AWS 中的某些服务,例如 EC2 实例。
对于包括控制或监视工业控制系统(ICS)或监控和数据采集(SCADA)资源的计算机在内的操作技术(OT)环境,请使用 Microsoft Defender for IoT 来清点资产并检测威胁和漏洞。
AWS 实现和其他上下文:
- Amazon GuardDuty
- Amazon GuardDuty 数据源
- 将 AWS 帐户连接到 Microsoft Defender for Cloud
- Defender for Cloud 应用如何帮助保护你的 Amazon Web Services (AWS) 环境
- AWS 资源的安全建议 - 参考指南
GCP 指南:使用 Google Cloud Security 命令中心中的事件威胁检测,通过日志数据(例如管理活动、GKE 数据访问、VP 流日志、云 DNS 和防火墙日志)进行威胁检测。
此外,将安全运营套件用于具有 Chronicle SIEM 和 SOAR 的新式 SOC。 Chronicle SIEM 和 SOAR 提供威胁检测、调查和威胁搜寻功能
还可以使用 Microsoft Defender for Cloud 监视 GCP 中的某些服务,例如计算 VM 实例。
对于包括控制或监视工业控制系统(ICS)或监控和数据采集(SCADA)资源的计算机在内的操作技术(OT)环境,请使用 Microsoft Defender for IoT 来清点资产并检测威胁和漏洞。
GCP 实现和其他上下文:
- 安全命令中心事件威胁检测概述
- Chronicle SOAR
- Defender for Cloud Apps 如何帮助保护 Google Cloud Platform (GCP) 环境
- GCP 资源的安全建议 - 参考指南
客户安全利益干系人(了解详细信息):
LT-2:为标识和访问管理启用威胁检测
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
安全原则:通过监视用户和应用程序登录和访问异常来检测标识和访问管理的威胁。 应对行为模式(例如失败登录尝试次数过多和订阅中已弃用的帐户)发出警报。
Azure 指南:Azure AD 提供了以下日志,可在 Azure AD 报告中查看或与 Azure Monitor、Microsoft Sentinel 或其他 SIEM/monitoring 工具集成,以便进行更复杂的监视和分析用例:
- 登录:登录报告提供有关托管应用程序和用户登录活动使用情况的信息。
- 审核日志:通过日志提供 Azure AD 中各种功能完成的所有更改的可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
- 有风险的登录:有风险的登录是登录尝试的指示器,该尝试可能由不是用户帐户合法所有者的人员执行。
- 标记为有风险的用户:有风险的用户是可能已泄露的用户帐户的指示器。
Azure AD 还提供标识保护模块,用于检测和修正与用户帐户和登录行为相关的风险。 风险示例包括凭据泄露、来自匿名或恶意软件链接 IP 地址的登录、密码喷射。 Azure AD 标识保护中的策略允许将基于风险的 MFA 身份验证与用户帐户上的 Azure 条件访问结合使用。
此外,可以将 Microsoft Defender for Cloud 配置为针对订阅中已弃用的帐户发出警报,以及可疑活动(例如失败的身份验证尝试次数过多)。 除了基本的安全卫生监视之外,Microsoft Defender for Cloud 的威胁防护模块还可以从单个 Azure 计算资源(例如虚拟机、容器、应用服务)、数据资源(如 SQL DB 和存储)和 Azure 服务层收集更深入的安全警报。 此功能允许查看各个资源内的帐户异常。
注意:如果要连接本地 Active Directory 进行同步,请使用 Microsoft Defender for Identity 解决方案来使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部作。
Azure 实现和其他上下文:
- Azure AD 中的审核活动报告
- 启用 Azure 标识保护
- Microsoft Defender for Cloud 中的威胁防护
- Microsoft Defender for Identity 概述
AWS 指南:AWS IAM 通过 IAM 访问顾问和 IAM 凭据报告提供以下报告控制台用户活动的日志和报告:
- 每次成功登录和未成功的登录尝试。
- 每个用户的多重身份验证(MFA)状态。
- 休眠 IAM 用户
对于 API 级别的访问监视和威胁检测,请使用 Amazon GuadDuty 来识别与 IAM 相关的发现。 这些发现的示例包括:
- 用于获取 AWS 环境访问权限的 API,以异常方式调用,或用于逃避防御措施
- 一种用于以下用途的API:
- 发现资源以异常方式调用
- 以异常方式从 AWS 环境收集数据。
- 以异常方式调用了 AWS 环境中的数据或进程。
- 以异常方式调用对 AWS 环境进行未经授权的访问。
- 以异常方式调用了对 AWS 环境的未经授权的访问。
- 以异常方式调用了对 AWS 环境的高级权限。
- 从已知的恶意 IP 地址调用。
- 使用根凭据调用。
- AWS CloudTrail 日志记录已禁用。
- 帐户密码策略已减弱。
- 观察到多个全球范围内成功的控制台登录。
- 通过实例启动角色专门为 EC2 实例创建的凭据正在被 AWS 中的另一个账户使用。
- 通过实例启动角色专为 EC2 实例创建的凭据正在被外部 IP 地址使用。
- 从已知的恶意 IP 地址调用了 API。
- 从自定义威胁列表上的 IP 地址调用了 API。
- 从 Tor 退出节点的 IP 地址调用了 API。
AWS 实现和其他上下文:
GCP 指南:将 Google Cloud Security 命令中心中的事件威胁检测用于某些类型的 IAM 相关威胁检测,例如检测已被授予一个或多个敏感 IAM 角色的休眠用户托管服务帐户的事件。
请注意,Google Identity 日志和 Google Cloud IAM 日志都生成管理活动日志,但针对不同的范围。 Google Identity 日志仅适用于对应身份平台的操作,而 IAM 日志则用于与 Google Cloud 的 IAM 对应的操作。 IAM 日志包含 API 调用的日志条目或其他操作,这些操作会修改资源的配置或元数据。 例如,当用户创建 VM 实例或更改标识和访问管理权限时,这些日志记录。
使用 Cloud Identity 和 IAM 报告来针对某些可疑活动模式提供警报。 您还可以使用策略智能分析服务帐户活动,以确定例如您的项目中某些服务帐户在过去 90 天内未被使用的情况。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
LT-3:启用日志记录以进行安全调查
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3、AU-6、AU-12、SI-4 | 10.1, 10.2, 10.3 |
安全原则:为云资源启用日志记录,以满足安全事件调查和安全响应和安全响应和符合性要求。
Azure 指南:为不同层级的资源启用日志记录功能,例如 Azure 资源、虚拟机中的操作系统和应用程序及其他日志类型的日志。
请注意管理/控制平面和数据平面的安全、审核和其他操作日志的不同类型。 Azure 平台提供三种类型的日志:
- Azure 资源日志:记录在 Azure 资源(数据平面)中执行的操作。 例如,从密钥保管库获取机密或向数据库发出请求。 资源日志的内容因 Azure 服务和资源类型而异。
- Azure 活动日志:从外部(管理平面)记录订阅层上每个 Azure 资源的操作记录。 可以使用活动日志来确定对订阅中的资源执行的任何写入操作 (PUT、POST、DELETE) 的操作内容、人员和时间。 每个 Azure 订阅都有一个活动日志。
- Azure Active Directory 日志:特定租户的登录活动历史记录和 Azure Active Directory 中所做更改的审核日志。
还可以使用 Microsoft Defender for Cloud 和 Azure Policy 在 Azure 资源上启用资源日志和日志数据收集。
Azure 实现和其他上下文:
AWS 指南:使用 AWS CloudTrail 日志记录管理事件(控制平面操作)和数据事件(数据平面操作),并使用 CloudWatch 监视这些踪迹以执行自动化操作。
Amazon CloudWatch 日志服务允许你近乎实时地从资源、应用程序和服务中收集和存储日志。 日志有三个主要类别:
- 已售货日志:代表 AWS 服务本机发布的日志。 目前,Amazon VPN 流日志和 Amazon Route 53 日志是两种受支持的类型。 默认情况下启用这两个日志。
- AWS 服务发布的日志:来自 30 多个 AWS 服务的日志发布到 CloudWatch。 它们包括 Amazon API 网关、AWS Lambda、AWS CloudTrail 等。 可以直接在服务和 CloudWatch 中启用这些日志。
- 自定义日志:来自自己的应用程序和本地资源的日志。 可能需要通过在作系统中安装 CloudWatch 代理并将其转发到 CloudWatch 来收集这些日志。
虽然许多服务仅将日志发布到 CloudWatch 日志,但某些 AWS 服务可以直接将日志发布到 AmazonS3 或 Amazon Kinesis Data Firehose,你可以在其中使用不同的日志记录存储和保留策略。
AWS 实现和其他上下文:
GCP 指南:为不同层级的资源启用日志记录功能,例如 Azure 资源、虚拟机操作系统以及应用程序中的日志和其他类型的日志。
请注意管理/控制平面和数据平面的安全、审核和其他操作日志的不同类型。 Operations Suite 云日志记录服务从资源层收集和聚合所有类型的日志事件。 云日志服务支持四类日志:
- 平台日志 - Google 云服务编写的日志。
- 组件日志 - 类似于平台日志,但它们是由 Google 提供的在系统上运行的软件组件生成的日志。
- 安全日志 - 主要是记录管理活动和资源访问的审计日志。
- 用户写入 - 由自定义应用程序和服务编写的日志
- 多云日志和混合云日志 - 来自其他云提供商(例如Microsoft Azure)的日志,以及来自本地基础结构的日志。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
LT-4:启用网络日志记录以进行安全调查
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3、AU-6、AU-12、SI-4 | 10.8 |
安全原则:为网络服务启用日志记录,以支持与网络相关的事件调查、威胁搜寻和安全警报生成。 网络日志可能包括来自网络服务的日志,例如 IP 筛选、网络和应用程序防火墙、DNS、流量监视等。
Azure 指南:启用和收集网络安全组(NSG)资源日志、NSG 流日志、Azure 防火墙日志和 Web 应用程序防火墙(WAF)日志,以及通过网络流量数据收集代理从虚拟机日志进行安全分析以支持事件调查和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,然后使用流量分析提供见解。
收集 DNS 查询日志以帮助关联其他网络数据。
Azure 实现和其他上下文:
AWS 指南:启用和收集网络日志,例如,通过 VPN 流日志、WAF 日志和 Route53 冲突解决程序查询日志进行安全分析,以支持事件调查和安全警报生成。 日志可以导出到 CloudWatch 进行监视,也可以导出 S3 存储存储桶,以便引入 Microsoft Sentinel 解决方案进行集中分析。
AWS 实现和其他上下文:
GCP 指南:大多数网络活动日志可通过 VPC 流日志获得,该日志记录了资源(包括作为 Google 计算 VM 和 Kubernetes 引擎节点的实例)发送和接收的网络流的样本。 这些日志可用于网络监视、取证、实时安全分析和费用优化。
可以在云日志记录中查看流日志,并将日志导出到云日志记录导出支持的目标。 流日志通过来自计算引擎 VM 的连接进行聚合,并实时导出。 通过订阅 Pub/Sub,可以使用实时流式处理 API 分析流日志。
注意:您还可以使用数据包镜像功能克隆您虚拟私有云(VPC)网络中指定实例的流量,并将其转发以供检查。 数据包镜像捕获所有流量和数据包数据,包括有效负载和标头。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
LT-5:集中管理和分析安全日志
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3、AU-6、AU-12、SI-4 | 无 |
安全原则:集中日志记录存储和分析,以实现跨日志数据的关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。
如果没有适用于 CSP 的现有 SIEM 解决方案,请使用云原生 SIEM。 或将日志/警报聚合到现有 SIEM 中。
Azure 指南:确保将 Azure 活动日志集成到集中式 Log Analytics 工作区中。 使用 Azure Monitor 查询和执行分析,并使用从 Azure 服务、终结点设备、网络资源和其他安全系统聚合的日志创建预警规则。
此外,启用并将数据导入Microsoft Sentinel,后者提供安全信息事件管理(SIEM)和安全编排自动响应(SOAR)功能。
Azure 实现和其他上下文:
AWS 指南:确保将 AWS 日志集成到集中式资源中用于存储和分析。 使用 CloudWatch 查询和执行分析,并使用从 AWS 服务、服务、终结点设备、网络资源和其他安全系统聚合的日志创建警报规则。
此外,还可以聚合 S3 存储存储桶中的日志,并将日志数据载入 Microsoft Sentinel,后者提供安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)功能。
AWS 实现和其他上下文:
GCP 指南:确保将 GCP 日志集成到集中式资源(例如 Operations Suite 云日志记录存储桶)中,以便存储和分析。 云日志支持大多数 Google Cloud 原生服务日志记录以及第三方应用程序和本地部署应用程序。 可以使用云日志记录来查询和执行分析,以及使用从 GCP 服务、服务、终结点设备、网络资源和其他安全系统聚合的日志创建警报规则。
如果您没有适用于 CSP 的现有 SIEM 解决方案,可以使用云原生 SIEM;或者将日志/警报整合到现有 SIEM 中。
注意:Google 提供两个日志查询前端、日志资源管理器和 Log Analytics,用于查询、查看和分析日志。 若要对日志数据进行故障排除和浏览,建议使用日志资源管理器。 若要生成见解和趋势,建议使用 Log Analytics。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
LT-6:配置日志存储保留期
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
安全原则:根据合规性、法规和业务需求规划日志保留策略。 在各个日志记录服务中配置日志保留策略,以确保对日志进行正确存档。
Azure 指南:Azure 活动日志等日志将保留 90 天,然后删除。 应创建诊断设置,并根据需求将日志路由到其他位置(例如 Azure Monitor Log Analytics 工作区、事件中心或 Azure 存储)。 此策略也适用于自己管理的其他资源日志和资源,例如 VM 中的作系统和应用程序中的日志。
日志保留选项如下所示:
- 使用 Azure Monitor Log Analytics 工作区来满足日志保留期,最长可以达到 1 年,或者根据响应团队的需求进行调整。
- 将 Azure 存储、数据资源管理器或 Data Lake 用于长期和存档存储超过 1 年,以满足安全合规性要求。
- 使用 Azure 事件中心将日志转发到 Azure 外部的外部资源。
注意:Microsoft Sentinel 使用 Log Analytics 工作区作为日志存储的后端。 如果计划长期保留 SIEM 日志,应考虑长期存储策略。
Azure 实现和其他上下文:
AWS 指南:默认情况下,日志会无限期保留,并且永远不会在 CloudWatch 中过期。 可以调整每个日志组的保留策略、保留无限期保留期,或选择 10 年至 1 天之间的保留期。
使用 Amazon S3 从 CloudWatch 进行日志存档,并将对象生命周期管理和存档策略应用到存储桶。 通过将文件从 Amazon S3 传输到 Azure 存储,可以使用 Azure 存储进行中央日志存档。
AWS 实现和其他上下文:
GCP 指南:在默认情况下,Operations Suite 云日志记录会将日志保留 30 天,除非您为云日志记录存储桶配置灵活的保留期。 默认情况下,管理员活动审核日志、系统事件审核日志和访问透明度日志将保留 400 天。 可以将云日志记录配置为在 1 天到 3650 天内保留日志。
使用云存储从云日志记录进行日志存档,并将对象生命周期管理和存档策略应用到存储桶。 通过将文件从 Google Cloud Storage 传输到 Azure 存储,可以使用 Azure 存储进行中央日志存档。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
LT-7:使用批准的时间同步源
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
安全原则:对日志记录时间戳使用批准的时间同步源,其中包括日期、时间和时区信息。
Azure 指南:Microsoft为大多数 Azure PaaS 和 SaaS 服务维护时间源。 对于计算资源的操作系统,除非有特定要求,否则请使用 Microsoft 默认的 NTP 服务器进行时间同步。 如果需要建立自己的网络时间协议 (NTP) 服务器,请确保保护 UDP 服务端口 123。
Azure 中资源生成的所有日志都使用默认指定的时区提供时间戳。
Azure 实现和其他上下文:
AWS 指南:AWS 维护大多数 AWS 服务的时间源。 对于配置作系统时间设置的资源或服务,请使用 AWS 默认 Amazon Time Sync Service 进行时间同步,除非有特定要求。 如果需要建立自己的网络时间协议 (NTP) 服务器,请确保保护 UDP 服务端口 123。
AWS 中资源生成的所有日志都提供时间戳,其中包含默认指定的时区。
AWS 实现和其他上下文:
GCP 指南:Google Cloud 维护大多数 Google Cloud PaaS 和 SaaS 服务的时间源。 对于计算资源的操作系统,除非有特定要求,否则请使用 Google Cloud 默认 NTP 服务器以同步时间。 如果需要建立自己的网络时间协议(NTP)服务器,请确保保护 UDP 服务端口 123。
注意:建议不要将外部 NTP 源用于计算引擎虚拟机,而是使用 Google 提供的内部 NTP 服务器。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):