Ensure that Network Security Group Flow logs are captured and sent to Log Analytics
Dlaczego to jest ważne
Dzienniki przepływu grup zabezpieczeń sieci zapewniają kluczową widoczność wzorców ruchu w sieci Azure. Bez tych dzienników wykrywanie ruchu bocznego podczas naruszenia bezpieczeństwa lub rozwiązywanie problemów sieciowych staje się znacznie trudniejsze. Wysyłając te dzienniki do obszaru roboczego Log Analytics, umożliwiasz głębszą analizę za pomocą narzędzi Azure Monitor i Microsoft Sentinel w celu prowadzenia dochodzeń bezpieczeństwa.
Co sprawdza Aether365
Aether365 weryfikuje, czy dzienniki przepływu grup zabezpieczeń sieci są skonfigurowane i wysyłane do obszaru roboczego Log Analytics. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji kontroli azure-diagnostic-settings.
Jak naprawić
- Przejdź do Network Watcher w witrynie Azure Portal.
- W sekcji Logs wybierz Flow logs.
- Kliknij + Create.
- Wybierz odpowiednią subskrypcję.
- Dla opcji Flow log type wybierz Network Security Group.
- Kliknij + Select target resource, a następnie wybierz Network security group.
- Wybierz konkretną grupę zabezpieczeń sieci i kliknij Confirm selection.
- Wybierz istniejące konto magazynu lub utwórz nowe. W przypadku kont magazynu w wersji 2 ustaw dni przechowywania.
- Kliknij Next.
- W sekcji Analytics ustaw opcję Flow log version na Version 2.
- Zaznacz Enable traffic analytics i wybierz interwał przetwarzania.
- Wybierz obszar roboczy Log Analytics.
- Kliknij Next, opcjonalnie dodaj tagi, a następnie kliknij Review + create.
- Kliknij Create, aby zakończyć.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 6.1.5 (Poziom 2)
Powiązane zasoby
- Dokumentacja Microsoft dotycząca rejestrowania przepływu NSG
- Azure Security Benchmark: LT-4 Enable network logging