Ensure that Network Security Group Flow logs are captured and sent to Log Analytics
Защо това е важно
Журналите на потоците на мрежовата защитна група (NSG) предоставят критична видимост върху моделите на трафик във вашата Azure мрежа. Без тези журнали откриването на странично придвижване при пробив или отстраняването на мрежови проблеми става значително по-трудно. Като изпращате тези журнали в работно пространство на Log Analytics, вие активирате по-задълбочен анализ чрез Azure Monitor и Microsoft Sentinel за разследвания на сигурността.
Какво проверява Aether365
Aether365 проверява дали журналите на потоците на NSG са конфигурирани и изпращани в работно пространство на Log Analytics. Тази проверка се появява в таблото за управление на Aether365 под проверките azure-diagnostic-settings.
Как да коригирате
- Отидете на Network Watcher в Azure Portal.
- Под секцията Logs изберете Flow logs.
- Кликнете върху + Create.
- Изберете желания Subscription.
- За Flow log type изберете Network Security Group.
- Кликнете върху + Select target resource, след това изберете Network security group.
- Изберете конкретната мрежова защитна група и кликнете Confirm selection.
- Изберете съществуващ storage account или създайте нов. За v2 storage accounts задайте retention days.
- Кликнете Next.
- Под Analytics задайте Flow log version на Version 2.
- Поставете отметка на Enable traffic analytics и изберете интервал на обработка.
- Изберете Log Analytics workspace.
- Кликнете Next, по избор добавете тагове, след което кликнете Review + create.
- Кликнете Create, за да завършите.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 6.1.5 (Level 2)
Свързани ресурси
- Документация на Microsoft за журналиране на NSG потоци
- Azure Security Benchmark: LT-4 Enable network logging