Ensure that Network Security Group Flow logs are captured and sent to Log Analytics
Por qué es importante
Los registros de flujo de Network Security Group brindan una visibilidad fundamental de los patrones de tráfico en la red de Azure. Sin estos registros, detectar movimientos laterales durante una brecha o solucionar problemas de red se vuelve considerablemente más difícil. Al enviar estos registros a un área de trabajo de Log Analytics, se habilita un análisis más profundo a través de Azure Monitor y Microsoft Sentinel para investigaciones de seguridad.
Qué verifica Aether365
Aether365 verifica que los registros de flujo de Network Security Group estén configurados y se envíen a un área de trabajo de Log Analytics. Esta verificación aparece en el panel de Aether365 bajo las comprobaciones de azure-diagnostic-settings.
Cómo solucionarlo
- Vaya a Network Watcher en Azure Portal.
- En la sección Logs, seleccione Flow logs.
- Haga clic en + Create.
- Elija la Subscription deseada.
- Para Flow log type, seleccione Network Security Group.
- Haga clic en + Select target resource, luego seleccione Network security group.
- Elija el grupo de seguridad de red específico y haga clic en Confirm selection.
- Seleccione una cuenta de almacenamiento existente o cree una nueva. Para cuentas de almacenamiento v2, configure los días de retención.
- Haga clic en Next.
- En Analytics, configure Flow log version como Version 2.
- Marque Enable traffic analytics y elija un intervalo de procesamiento.
- Seleccione un área de trabajo de Log Analytics.
- Haga clic en Next, agregue etiquetas opcionalmente y luego haga clic en Review + create.
- Haga clic en Create para finalizar.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0 6.1.5 (Nivel 2)
Recursos relacionados
- Documentación de Microsoft sobre el registro de flujo de NSG
- Azure Security Benchmark: LT-4 Enable network logging