Security logs SHALL be sent to the agency's security operations center for monitoring.

Miért fontos ez

A biztonsági naplók a fenyegetésészlelés és az incidenskezelés elsődleges forrásai. Ha ezeket a naplókat nem továbbítja egy központosított biztonsági üzemeltetési központba, szervezete kritikus biztonsági eseményeket hagyhat figyelmen kívül, késleltetheti a válaszidőket, és nem teljesítheti a megfelelőségi követelményeket. A rendszergazdáknak prioritásként kell kezelniük ezt a szabályozást, hogy biztosítsák az Azure AD-tevékenység láthatóságát és védelmet nyújtsanak a fel nem fedezett támadásokkal szemben.

Mit ellenőriz az Aether365

Ez az ellenőrzés azt vizsgálja, hogy az Azure AD diagnosztikai beállításai úgy vannak-e konfigurálva, hogy a biztonsági naplókat egy Log Analytics-munkaterületre vagy SIEM-re továbbítsák a biztonsági üzemeltetési központban. Az Aether365 irányítópultján az entra-id szakaszban jelenik meg a CISA keretrendszer részeként.

Javítás menete

1. Jelentkezzen be az Azure Portalra globális rendszergazdaként vagy biztonsági rendszergazdaként.
2. Navigáljon a Microsoft Entra ID > Monitoring > Diagnostic settings elemhez.
3. Válassza az Add diagnostic setting lehetőséget, vagy szerkesszen egy meglévő beállítást.
4. A Category details alatt válassza ki a következő naplókategóriákat: AuditLogs, SignInLogs és NonInteractiveUserSignInLogs.
5. A Destination details alatt válassza a Send to Log Analytics workspace lehetőséget, és adja meg a SOC munkaterületét.
6. Opcionálisan konfigurálhatja a streaminget Event Hubs-ba vagy archiválást egy tárfiókba, ha a SOC megköveteli.
7. Kattintson a Save gombra a módosítások alkalmazásához.

Megfelelőség

• CISA: CISA.MS.AAD.4.1 (Biztonsági naplók továbbítása a SOC-nak)
• CIS: CISA.MS.AAD.4.1

Kapcsolódó források

• Microsoft Learn: Diagnosztikai beállítások a Microsoft Entra ID-ban
• CISA Binding Operational Directive 23-02