Ensure that Network Security Group Flow logs are captured and sent to Log Analytics
Pourquoi c'est important
Les journaux de flux des groupes de sécurité réseau offrent une visibilité essentielle sur les schémas de trafic de votre réseau Azure. Sans ces journaux, détecter les mouvements latéraux lors d'une intrusion ou résoudre les problèmes réseau devient considérablement plus difficile. En envoyant ces journaux vers un espace de travail Log Analytics, vous permettez une analyse plus approfondie via Azure Monitor et Microsoft Sentinel pour les investigations de sécurité.
Ce que vérifie Aether365
Aether365 vérifie que les journaux de flux des groupes de sécurité réseau sont configurés et envoyés vers un espace de travail Log Analytics. Cette vérification apparaît dans le tableau de bord Aether365 sous les contrôles azure-diagnostic-settings.
Comment corriger
- Accédez à Network Watcher dans le portail Azure.
- Sous la section Logs, sélectionnez Flow logs.
- Cliquez sur + Create.
- Choisissez l'abonnement souhaité.
- Pour Flow log type, sélectionnez Network Security Group.
- Cliquez sur + Select target resource, puis sélectionnez Network security group.
- Choisissez le groupe de sécurité réseau spécifique et cliquez sur Confirm selection.
- Sélectionnez un compte de stockage existant ou créez-en un nouveau. Pour les comptes de stockage v2, définissez la période de rétention.
- Cliquez sur Next.
- Sous Analytics, définissez Flow log version sur Version 2.
- Cochez Enable traffic analytics et choisissez un intervalle de traitement.
- Sélectionnez un espace de travail Log Analytics.
- Cliquez sur Next, ajoutez éventuellement des balises, puis cliquez sur Review + create.
- Cliquez sur Create pour finaliser.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 6.1.5 (Niveau 2)
Ressources associées
- Documentation Microsoft sur la journalisation des flux NSG
- Azure Security Benchmark : LT-4 Activer la journalisation réseau