Základní hodnoty zabezpečení Azure pro Azure Information ProtectionAzure security baseline for Azure Information Protection

Tato základní hodnota zabezpečení platí pro Azure Information Protection pokynů od zabezpečení Azure Security test 2,0 .This security baseline applies guidance from the Azure Security Benchmark version 2.0 to Azure Information Protection. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure.The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. Obsah je seskupen podle řízení zabezpečení definovaného srovnávacím testem zabezpečení Azure a souvisejících pokynů, které se vztahují na Azure Information Protection.The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure Information Protection. Ovládací prvky , které se nevztahují k Azure Information Protection byly vyloučeny.Controls not applicable to Azure Information Protection have been excluded.

Pokud chcete zjistit, jak Azure Information Protection kompletně mapuje srovnávací test zabezpečení Azure, přečtěte si celý soubor mapování standardních hodnot Azure Information Protection Security.To see how Azure Information Protection completely maps to the Azure Security Benchmark, see the full Azure Information Protection security baseline mapping file.

Zabezpečení sítěNetwork Security

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.For more information, see the Azure Security Benchmark: Network Security.

NS-6: zjednodušení pravidel zabezpečení sítěNS-6: Simplify network security rules

Pokyny: pomocí Virtual Networkch značek služeb můžete definovat řízení přístupu k síti u skupin zabezpečení sítě nebo Azure firewall, které jsou nakonfigurované pro vaše Azure Information Protection prostředky.Guidance: Use Virtual Network service tags to define network access controls on network security groups or Azure Firewall, which is configured for your Azure Information Protection resources.

Při vytváření pravidel zabezpečení používejte značky služby místo konkrétních IP adres.When creating security rules, use service tags in place of specific IP addresses. Zadejte název značky služby, například {AzureInformationProtection}, v příslušném zdrojovém nebo cílovém poli pravidla, aby bylo možné povolit nebo zamítnout přenos pro odpovídající službu.Specify the service tag name, such as {AzureInformationProtection}, in the appropriate source or destination field of a rule, to allow or deny the traffic for the corresponding service.

Předpony adres zahrnuté ve značce služby spravuje Microsoft, a pokud se adresy změní, automaticky značku služby aktualizuje.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Správa identitIdentity Management

Další informace najdete v tématu Azure Security Benchmark: správa identit.For more information, see the Azure Security Benchmark: Identity Management.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřováníIM-1: Standardize Azure Active Directory as the central identity and authentication system

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. Udělejte si vysokou prioritu zabezpečení Azure AD v praxi cloudového zabezpečení vaší organizace.Make it a high priority to secure Azure AD in your organization’s cloud security practice.

Projděte si bezpečné skóre identity Azure AD, které vám pomůžou vyhodnotit stav zabezpečení identity relativně k doporučením osvědčených postupů Microsoftu.Review the Azure AD identity secure score to help you assess your identity security posture relative to Microsoft’s best practice recommendations. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.Use the score to gauge how closely your configuration matches best practice recommendations, and to make improvements in your security posture.

Standardizace Azure AD pro řízení identity a správy přístupu vaší organizace v nástroji:Standardize Azure AD to govern your organization’s identity and access management in:

  • Microsoft Cloud prostředky, jako jsou Azure Portal, Azure Storage, Virtual Machines Azure (Linux a Windows), Azure Key Vault, platforma jako služba (PaaS) a aplikace typu software jako služba (SaaS).Microsoft Cloud resources, such as the Azure portal, Azure Storage, Azure Virtual Machines (Linux and Windows), Azure Key Vault, Platform as a Service (PaaS), and Software as a Service (SaaS) applications

  • Prostředky vaší organizace, jako jsou aplikace v Azure nebo podnikové síťové prostředkyYour organization's resources, such as applications on Azure or your corporate network resources

Azure AD podporuje externí identity, aby se uživatelé bez účet Microsoft mohli přihlásit ke svým aplikacím a prostředkům pomocí jejich účtů mimo Microsoft.Azure AD supports external identities to allow users without a Microsoft account to sign-in to their applications and resources with their non-Microsoft accounts.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IM-2: Zabezpečená a automatická správa identit aplikacíIM-2: Manage application identities securely and automatically

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's identity and access management service. Služba Azure Rights Management využívá identitu aplikace Azure AD při přístupu ke klíčům zákazníků uloženým ve scénářích služby Azure Key Vault for Bring Your Own Key (BYOK).Azure Rights Management service uses an Azure AD application identity while accessing customers’ keys stored with Azure Key Vault for Bring Your Own Key (BYOK) scenarios. Autorizace služby Azure Rights Management pro přístup k vašim klíčům se dosahuje prostřednictvím konfigurace zásad přístupu Azure Key Vault, které se dají udělat buď pomocí Azure Portal, nebo pomocí PowerShellu.Authorizing Azure Rights Management service to access your keys is achieved through configuring Azure Key Vault access policies, which can be done either using the Azure portal or using PowerShell.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacímIM-3: Use Azure AD single sign-on (SSO) for application access

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection využívá Azure AD k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím.Azure Information Protection uses Azure AD to provide identity and access management to Azure resources, cloud applications, and on-premises applications. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé.This includes enterprise identities such as employees, as well as external identities such as partners, vendors, and suppliers. Umožňuje jednotné přihlašování pro správu a zabezpečení přístupu k datům a prostředkům vaší organizace místně a v cloudu.This enables single sign-on to manage and secure access to your organization’s data and resources on-premises and in the cloud. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.Connect all your users, applications, and devices to the Azure AD for seamless, secure access and greater visibility and control.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IM-4: Použití řídicích prvků silného ověřování pro veškerý přístup založený na Azure Active DirectoryIM-4: Use strong authentication controls for all Azure Active Directory based access

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), která podporuje silné ověřování prostřednictvím služby Multi-Factor Authentication.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which supports strong authentication through multi-factor authentication. Aby bylo možné podporovat ověřování a autorizaci pro Azure Information Protection, musíte mít službu Azure AD.To support authentication and authorization for Azure Information Protection, you must have an Azure AD. Pokud chcete používat uživatelské účty z místního ředitele (služba AD DS), musíte taky nakonfigurovat integraci adresáře.To use user accounts from your on-premises director (AD DS), you must also configure directory integration.

  • Pro Azure Information Protection se podporuje jednotné přihlašování, takže se uživatelé nebudou opakovaně zobrazovat výzvy k zadání přihlašovacích údajů.Single sign-on is supported for Azure Information Protection, so that users are not repeatedly prompted for their credentials. Pokud používáte jiné řešení od dodavatele pro federaci, obraťte se na tohoto dodavatele a zjistěte, jak ho nakonfigurovat pro Azure AD.If you use another vendor solution for federation, check with that vendor for how to configure it for Azure AD. WS-Trust je obvyklým požadavkem na tato řešení pro podporu jednotného přihlašování.WS-Trust is a common requirement for these solutions to support single sign-on.

  • Vícefaktorové ověřování je podporováno u Azure Information Protection, pokud máte požadovaný klientský software a máte správně nakonfigurovanou infrastrukturu Multi-Factor Authentication – podpora.Multifactor authentication is supported with Azure Information Protection, when you have the required client software and have correctly configured the multi-factor authentication-supporting infrastructure.

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: AnoAzure Security Center monitoring: Yes

Odpovědnost: ZákazníkResponsibility: Customer

IM-5: Monitorování a upozornění na anomálie účtůIM-5: Monitor and alert on account anomalies

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Další pokyny týkající se Azure AD:Additional guidance regarding Azure AD:

  • Přihlášení – sestava přihlášení poskytuje informace o použití spravovaných aplikací a aktivitách přihlašování uživatelů.Sign-in - The sign-in report provides information about the usage of managed applications and user sign-in activities.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci služby Azure AD, například přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.
  • Rizikové přihlášení – rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.Risky sign-in - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised. Tyto zdroje dat je možné integrovat s Azure Monitor, s Sentinelou v Azure a systémy SIEM třetích stran.These data sources can be integrated with Azure Monitor, Azure Sentinel or third-party SIEM systems.

Azure Security Center může také upozorňovat na určité podezřelé aktivity, jako je například nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v rámci předplatného.Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, or deprecated accounts in the subscription.

Rozšířená ochrana před internetovými útoky (ATP) v Azure je řešení zabezpečení, které dokáže na základě signálů Active Directory identifikovat, detekovat a vyšetřovat pokročilé hrozby, ohrožené identity a škodlivé činnosti vnitřních účastníků.Azure Advanced Threat Protection (ATP) is a security solution that can use Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IM-6: Omezení přístupu k prostředkům Azure na základě podmínekIM-6: Restrict Azure resource access based on conditions

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. V rámci služby Azure AD nakonfigurujte podmíněný přístup pro Azure Information Protection.Within Azure AD, configure conditional access for Azure Information Protection. Správci můžou blokovat nebo udělit přístup k uživatelům ve svém tenantovi pro dokumenty chráněné Azure Information Protection v závislosti na standardních ovládacích prvcích podmíněného přístupu.Administrators can block or grant access to users in their tenant, for documents protected by Azure Information Protection, based on the standard conditional access controls.

Vícefaktorové ověřování je jednou z nejčastěji vyžádané podmínky, zatímco Device-dodržování předpisů s nakonfigurovanými zásadami Intune je další.Multifactor authentication is one of the most commonly requested conditions, while device-compliancy with configured Intune policies is another one. Můžete vyžadovat podmínky, aby mobilní zařízení splňovala požadavky vaší organizace na heslo, měla minimální verzi operačního systému a připojené počítače jsou připojené k doméně.You can require conditions so that mobile devices meet your organizational-password requirements, have a minimum operating system version, and connected computers are domain-joined.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Privilegovaný přístupPrivileged Access

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.For more information, see the Azure Security Benchmark: Privileged Access.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelůPA-1: Protect and limit highly privileged users

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection obsahuje roli na úrovni správce ve službě Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Uživatelé přiřazení k roli správce mají úplná oprávnění ve službě Azure Information Protection.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. Pomocí role správce je možné nakonfigurovat popisky pro zásady Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu.Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. Role správce ale neuděluje žádná oprávnění v centru ochrany identit, Privileged Identity Management, monitorování Microsoft 365 Service Health ani v centru pro dodržování předpisů Office 365 Security & .However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni, protože uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky v prostředí Azure.Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Povolte privilegovanému přístupu k prostředkům Azure a Azure AD pomocí Privileged Identity Management (PIM) privilegovaný přístup za běhu (just-in-time).Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). Přístup za běhu uděluje dočasná oprávnění k provádění privilegovaných úloh pouze v případě, že ji uživatelé potřebují.Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-2: Omezení přístupu pro správu k nejdůležitějším podnikovým systémůmPA-2: Restrict administrative access to business-critical systems

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection obsahuje roli na úrovni správce ve službě Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Uživatelé přiřazení k roli správce mají úplná oprávnění ve službě Azure Information Protection.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. Role správce umožňuje konfigurovat popisky pro zásady Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu.The Administrator role allows configuring labels for the Azure Information Protection policy, managing protection templates, and activating protection. Role správce neuděluje žádná oprávnění ve službě Identity Protection Center, Privileged Identity Management, monitorování Microsoft 365 Service Health nebo v centru pro dodržování předpisů Office 365 Security & .The Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelůPA-3: Review and reconcile user access regularly

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Služba Azure AD slouží ke správě prostředků, kontrole uživatelských účtů a k přiřazení přístupu pravidelně, aby bylo zajištěno, že účty a jejich přístup budou platné.Use Azure AD to manage resources, review user accounts, and access assignments regularly to ensure that the accounts and their access are valid. Projděte si kontroly přístupu Azure AD ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí.Conduct Azure AD access reviews to review group memberships, access to enterprise applications, and role assignments. Objevte zastaralé účty pomocí generování sestav Azure AD.Discover stale accounts with Azure AD reporting. Funkce Privileged Identity Management služby Azure AD se dají použít k vytvoření pracovního postupu sestavy kontroly přístupu, který usnadňuje proces kontroly.Azure AD's Privileged Identity Management features can be used to create access review report workflow to facilitate the review process.

Kromě toho je možné Azure Privileged Identity Management nakonfigurovat tak, aby výstrahu při vytváření nadměrného počtu účtů správců a identifikaci účtů správce, které jsou zastaralé nebo nesprávně nakonfigurované.In addition, Azure Privileged Identity Management can also be configured to alert when an excessive number of administrator accounts are created, and to identify administrator accounts that are stale or improperly configured. Všimněte si, že některé služby Azure podporují místní uživatele a role, které nejsou spravované přes Azure AD.Note that some Azure services support local users and roles that are not managed through Azure AD. Zákazníci budou muset spravovat tyto uživatele samostatně.Customers will need to manage these users separately.

Monitorování služby Azure Security Center: NeuvedenoAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-4: Nastavení nouzového přístupu v Azure ADPA-4: Set up emergency access in Azure AD

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD) pro správu prostředků.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD) to manage its resources. Pokud se chcete vyhnout náhodnému uzamčení vaší organizace Azure AD, nastavte účet pro nouzový přístup pro přístup, když nebudete moct použít normální účty pro správu.To prevent being accidentally locked out of your Azure AD organization, set up an emergency access account for access when normal administrative accounts cannot be used. Účty pro nouzový přístup jsou obvykle vysoce privilegované a neměly by se přiřazovat konkrétním jednotlivcům.Emergency access accounts are usually highly privileged, and they should not be assigned to specific individuals. Jejich použití je omezené na nouzové nebo kritické situace, kdy se nedají použít běžné účty pro správu.Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used.

Měli byste zajistit, aby přihlašovací údaje (například heslo, certifikát nebo čipová karta) pro účty pro nouzový přístup byly zabezpečené a aby o nich věděli jenom ti, kteří jsou oprávněni je použít jenom v případě nouze.You should ensure that the credentials (such as password, certificate, or smart card) for emergency access accounts are kept secure and known only to individuals who are authorized to use them only in an emergency.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-5: automatizace správy nárokůPA-5: Automate entitlement management

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), výchozí službou pro správu identit a přístupu Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), Azure's default identity and access management service.

Azure AD nabízí funkce pro správu opravňujících k automatizaci pracovních postupů žádostí o přístup, včetně přiřazení přístupu, revizí a vypršení platnosti.Azure AD offers entitlement management features to automate access request workflows, including access assignments, reviews, and expiration. Podporuje se také duální nebo vícenásobné schválení.Dual or multi-stage approval is also supported.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-6: Použití pracovních stanic s privilegovaným přístupemPA-6: Use privileged access workstations

Pokyny: Azure Information Protection se dá spravovat z pracovní stanice zákazníka prostřednictvím PowerShellu.Guidance: Azure Information Protection can be managed from a customer workstation through PowerShell.

Zabezpečené, izolované pracovní stanice jsou kriticky důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb.Secured, isolated workstations are critically important for the security of sensitive roles, such as administrators, developers, and critical service operators.

Pro úlohy správy Používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure bastionu.Use highly secured user workstations and/or Azure Bastion for administrative tasks. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP) nebo Microsoft Intune.Use Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP), and/or Microsoft Intune to deploy a secure and managed user workstation for administrative tasks. Zabezpečená pracovní stanice se dají centrálně spravovat tak, aby vynutila zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.The secured workstations can be centrally managed to enforce secured configuration, including strong authentication, software and hardware baselines, and restricted logical and network access.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)PA-7: Follow just enough administration (least privilege principle)

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection obsahuje roli na úrovni správce ve službě Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Uživatelé přiřazení k roli správce mají úplná oprávnění ve službě Azure Information Protection.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. Pomocí role správce je možné nakonfigurovat popisky pro zásady Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu.Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. Role správce ale neuděluje žádná oprávnění v centru ochrany identit, Privileged Identity Management, monitorování Microsoft 365 Service Health ani v centru pro dodržování předpisů Office 365 Security & .However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni, protože uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky v prostředí Azure.Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Povolte privilegovanému přístupu k prostředkům Azure a Azure AD pomocí Privileged Identity Management (PIM) privilegovaný přístup za běhu (just-in-time).Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). Přístup za běhu uděluje dočasná oprávnění k provádění privilegovaných úloh pouze v případě, že ji uživatelé potřebují.Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PA-8: výběr procesu schválení pro podporu MicrosoftuPA-8: Choose approval process for Microsoft support

Doprovodné materiály: Azure Information Protection podporuje službu Azure Customer Lockbox, která zákazníkům poskytuje možnost kontrolovat, schvalovat a odmítat žádosti o přístup k datům a také prověřit požadavky.Guidance: Azure Information Protection supports Azure Customer Lockbox to provide customers with the ability to review, approve, and reject data access requests, as well as review requests being made.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Ochrana datData Protection

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.For more information, see the Azure Security Benchmark: Data Protection.

DP-1: Zjišťování, klasifikace a označení citlivých datDP-1: Discovery, classify and label sensitive data

Doprovodné materiály: Azure Information Protection poskytuje možnost zjišťování, klasifikace a označování citlivých informací.Guidance: Azure Information Protection provides the ability to discover, classify, and label sensitive information.

Azure Information Protection je cloudové řešení, které umožňuje organizacím klasifikovat a chránit dokumenty a e-maily použitím popisků.Azure Information Protection is a cloud-based solution that enables organizations to classify and protect documents and emails by applying labels. Popisky můžou automaticky použít správci pomocí pravidel a podmínek, ručně podle uživatelů nebo kombinací, kde Správci definují doporučení zobrazená uživatelům.Labels can be applied automatically by administrators using rules and conditions, manually by users, or by a combination where administrators define the recommendations shown to users.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: SdílenéResponsibility: Shared

DP-2: Ochrana citlivých datDP-2: Protect sensitive data

Doprovodné materiály: Azure Information Protection poskytuje ochranu dat tím, že nabízí možnost popsat citlivé informace a zajistit ochranu těchto dat pomocí šifrování.Guidance: Azure Information Protection provides data protection by offering the ability to label sensitive information and provide protection on that data through encryption. Ochranu poskytuje služba Azure Rights Management.Protection is provided by the Azure Rights Management service.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: SdílenéResponsibility: Shared

DP-3: Monitorování neoprávněného přenosu citlivých datDP-3: Monitor for unauthorized transfer of sensitive data

Doprovodné materiály: Azure Information Protection poskytuje možnost monitorovat neoprávněný přenos citlivých dat prostřednictvím schopnosti sledování a odvolání.Guidance: Azure Information Protection provides the ability to monitor for unauthorized transfer of sensitive data through the track and revoke capability. Funkce sledovat a odvolat umožňuje zákazníkovi sledovat, jak uživatelé používají dokumenty, které odeslali, a odvolat přístup, pokud je už by nemohli číst uživatelé.Track and Revoke allows the customer to track how people are using documents they have sent and revoke access if people should no longer be able to read them.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: SdílenéResponsibility: Shared

Správa aktivAsset Management

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.For more information, see the Azure Security Benchmark: Asset Management.

AM-1: Zajištění přehledu bezpečnostního týmu o rizicích pro prostředkyAM-1: Ensure security team has visibility into risks for assets

Pokyny: Zajistěte udělení oprávnění Čtenář zabezpečení ve vašem tenantovi Azure a vašich předplatných bezpečnostním týmům, aby mohly monitorovat bezpečnostní rizika s využitím služby Azure Security Center.Guidance: Ensure security teams are granted Security Reader permissions in your Azure tenant and subscriptions so they can monitor for security risks using Azure Security Center.

V závislosti na nastavení struktury odpovědnosti bezpečnostních týmů může být monitorování bezpečnostních rizik odpovědností centrálního nebo místního bezpečnostního týmu.Depending on how security team responsibilities are structured, monitoring for security risks could be the responsibility of a central security team or a local team. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.That said, security insights and risks must always be aggregated centrally within an organization.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.Security Reader permissions can be applied broadly to an entire tenant (Root Management Group) or scoped to management groups or specific subscriptions.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.Note: Additional permissions might be required to get visibility into workloads and services.

Monitorování služby Azure Security Center: Momentálně není k dispoziciAzure Security Center monitoring: Currently not available

Odpovědnost: ZákazníkResponsibility: Customer

AM-3: Používání jenom schválených služeb AzureAM-3: Use only approved Azure services

Doprovodné materiály: Azure Information Protection nepodporuje nasazení Azure Resource Manager nebo umožňuje zákazníkům omezit nasazení prostřednictvím předdefinovaných Azure Policy definic, jako je "Povolit prostředky" nebo "Odepřít prostředky".Guidance: Azure Information Protection does not support Azure Resource Manager Deployments or allow customers the ability to limit deployments through built-in Azure Policy definitions, such as 'Allow Resources' or 'Deny Resources'. Zákazníci ale můžou omezit využívání Azure Information Protection prostřednictvím zásad označování v centru zabezpečení a dodržování předpisů.However, customers can limit usage of Azure Information Protection through labeling policies in the Security and Compliance Center.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Protokolování a detekce hrozebLogging and Threat Detection

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.For more information, see the Azure Security Benchmark: Logging and Threat Detection.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v AzureLT-2: Enable threat detection for Azure identity and access management

Doprovodné materiály: Azure Information Protection je integrována s Azure Active Directory (Azure AD), což je výchozí služba pro správu identit a přístupu v Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Zobrazení protokolů uživatelů poskytovaných službou Azure AD s vytvářením sestav Azure AD a dalšími řešeními, jako jsou Azure Monitor, Azure Sentinel nebo jiné nástroje SIEM/monitoring, pro výkonnější monitorování a analytické účely.View Azure AD-provided user logs with Azure AD reporting and other solutions such as Azure Monitor, Azure Sentinel, or other SIEM/monitoring tools for more sophisticated monitoring and analytics use cases.

Jsou to tyto:They are:

  • Přihlašovací sestava – sestava přihlášení poskytuje informace o použití spravovaných aplikací a aktivitách přihlašování uživatelů.Sign-in report – The sign-in report provides information about the usage of managed applications and user sign-in activities.

  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci služby Azure AD, například přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.

  • Riziková přihlášení – rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.Risky sign-ins - A risky sign in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Azure Security Center může také upozorňovat na určité podezřelé aktivity, jako je například nadměrný počet neúspěšných pokusů o ověření a zastaralých účtů v rámci předplatného.Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, and deprecated accounts in the subscription. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Security Center taky shromažďovat podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, App Service), datové prostředky (například SQL DB a Storage) a vrstvy služeb Azure.In addition to the basic security hygiene monitoring, Security Center’s Threat Protection module can also collect more in-depth security alerts from individual Azure compute resources (such as virtual machines, containers, app service), data resources (such as SQL DB and storage), and Azure service layers. Tato funkce umožňuje zobrazit anomálie účtů v jednotlivých prostředcích.This capability allows you to see account anomalies inside the individual resources.

Monitorování služby Azure Security Center: NeuvedenoAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

LT-4: Povolení protokolování pro prostředky AzureLT-4: Enable logging for Azure resources

Doprovodné materiály: Azure Information Protection poskytuje ochranu dat pro dokumenty a e-maily organizace spolu s protokolem pro každý požadavek.Guidance: Azure Information Protection provides data protection for an organization's documents and emails, along with a log for each request. Tyto požadavky zahrnují, když uživatelé chrání dokumenty a e-maily, když využívají tento obsah, akce prováděné správci pro tuto službu a akce prováděné operátory Microsoftu pro podporu nasazení Azure Information Protection.These requests include when users protect documents and emails, when they consume this content, actions performed by administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Mezi typy protokolů, které vytvořil Azure Information Protection, patří:Types of logs produced by Azure Information Protection include:

  • Protokol správce – protokoluje úlohy správy pro službu ochrany.Admin Log - Logs administrative tasks for the protection service. Například pokud je služba dezaktivována, když je povolena funkce superuživatele, a když jsou uživatelé delegováni oprávnění správce ke službě.For example, if the service is deactivated, when the super user feature is enabled, and when users are delegated admin permissions to the service.

  • Sledování dokumentů – umožňuje uživatelům sledovat a odvolat dokumenty, které byly sledovány pomocí klienta Azure Information Protection.Document Tracking - Lets users track and revoke their documents that they have tracked with the Azure Information Protection client. Globální správci můžou tyto dokumenty sledovat i jménem uživatelů.Global administrators can also track these documents on behalf of users.

  • Protokoly událostí klienta – aktivita využití klienta Azure Information Protection, zaznamenána v protokolu událostí místních aplikací a služeb systému Windows Azure Information Protection.Client Event Logs - Usage activity for the Azure Information Protection client, logged in the local Windows Applications and Services event log, Azure Information Protection.

  • Soubory protokolů klienta – protokoly řešení potíží pro klienta Azure Information ProtectionClient Log Files- Troubleshooting logs for the Azure Information Protection client

Protokoly použití ochrany se dají použít k identifikaci toho, kdo má přístup k vašim chráněným datům, ze zařízení, která jsou, a z WHERE.The Protection usage logs can be used to identify 'who' is accessing your protected data, from 'which' devices, and from 'where'. Protokoly odhalí, jestli uživatelé můžou úspěšně číst chráněný obsah, a určit, kteří uživatelé si přečtou důležitý dokument, který je chráněný.Logs reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

LT-5: Centralizace správy a analýz protokolu zabezpečeníLT-5: Centralize security log management and analysis

Doprovodné materiály: Zajistěte, aby pracovníci podpory mohli vytvořit úplný přehled o tom, co se stalo během události, pomocí dotazování a používání různých zdrojů dat, když procházejí potenciální incidenty.Guidance: Ensure that support personnel can build a full view of what happened during an event, by querying and using diverse data sources, as they investigate potential incidents.

Vyhněte se nejasnostem díky shromažďování různých protokolů a jejich posílání do centrálního řešení SIEM, jako je například Azure Sentinel, ke sledování aktivit potenciálního útočníka v rámci dezaktivačního řetězu.Avoid blind spots by collecting diverse logs and sending them to a central SIEM solution, such as Azure Sentinel, to track the activities of a potential attacker across the kill chain. Protokoly můžou odhalit, jestli uživatelé můžou úspěšně číst chráněný obsah, a určit, kteří uživatelé si přečtou důležitý dokument, který je chráněný.The logs can reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected. Zajistěte, aby se přehledy a poznatky zachytil pro jiné analytiky a budoucí historické informace.Ensure that insights and learnings are captured for other analysts and for future historical reference.

Azure Sentinel nabízí rozsáhlé analýzy dat z prakticky jakéhokoli zdroje protokolů a portál pro správu případů, na kterém můžete spravovat celý životní cyklus incidentů.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitorování služby Azure Security Center: NeuvedenoAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

LT-6: Konfigurace uchovávání úložiště protokolůLT-6: Configure log storage retention

Doprovodné materiály: Azure Information Protection poskytuje ochranu dat pro dokumenty a e-maily v organizaci s protokolem pro každý požadavek.Guidance: Azure Information Protection provides data protection for an organization's documents and emails, with a log for every request to it. Mezi tyto požadavky patří i když uživatelé chrání dokumenty a e-maily, když využívají tento obsah, akce provedené vašimi správci pro tuto službu a akce prováděné operátory Microsoftu k podpoře nasazení Azure Information Protection.These requests include when users protect documents and emails, when they consume this content, actions performed by your administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Množství dat shromažďovaných a uložených ve vašem pracovním prostoru Azure Information Protection a jeho uchování se u každého tenanta výrazně liší, v závislosti na faktorech, jako je počet klientů Azure Information Protection a dalších podporovaných koncových bodů, ať už shromažďujete data zjišťování koncových bodů, nasadili jste skenery, počet chráněných dokumentů a tak dále.The amount of data collected and stored in your Azure Information Protection workspace, and its retention, will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

K odhadu a kontrole množství uložených dat a také k řízení doby uchovávání dat pro Log Analytics pracovní prostor slouží funkce využití a odhadované náklady v protokolu Azure Monitor.Use Azure Monitor Log's Usage and estimated costs feature to help estimate and review the amount of data stored and also control the data retention period for your Log Analytics workspace.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Reakce na incidentyIncident Response

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.For more information, see the Azure Security Benchmark: Incident Response.

IR-1: Příprava – aktualizace procesu reakce na incidenty pro AzureIR-1: Preparation – update incident response process for Azure

Pokyny: Zajistěte, aby vaše organizace měla procesy, jak reagovat na incidenty zabezpečení, aby tyto procesy aktualizovala pro Azure a pravidelně je testovala za účelem zajištění připravenosti.Guidance: Ensure your organization has processes to respond to security incidents, has updated these processes for Azure, and is regularly exercising them to ensure readiness.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IR-2: Příprava – nastavení oznámení o incidentuIR-2: Preparation – setup incident notification

Pokyny: Nastavte kontaktní informace pro incidenty zabezpečení ve službě Azure Security Center.Guidance: Set up security incident contact information in Azure Security Center. Tyto kontaktní informace používá společnost Microsoft k tomu, aby vás kontaktovala v případě, že služba MSRC (Microsoft Security Response Center) zjistí, že s vašimi daty někdo nezákonně nebo neoprávněně pracoval.This contact information is used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. Máte také možnost přizpůsobit upozornění na incidenty a oznámení o incidentech v různých službách Azure v závislosti na tom, jak potřebujete na incidenty reagovat.You also have options to customize incident alert and notification in different Azure services based on your incident response needs.

Monitorování služby Azure Security Center: AnoAzure Security Center monitoring: Yes

Odpovědnost: ZákazníkResponsibility: Customer

IR-3: Detekce a analýza – vytvoření incidentů na základě upozornění s vysokou kvalitouIR-3: Detection and analysis – create incidents based on high quality alerts

Pokyny: Zajistěte, abyste měli proces pro vytváření vysoce kvalitních upozornění a měření jejich kvality.Guidance: Ensure you have a process to create high-quality alerts and measure the quality of alerts. To vám umožní poučit se z minulých incidentů a stanovit priority upozornění pro analytiky, aby nemuseli ztrácet čas s falešně pozitivními výsledky.This allows you to learn lessons from past incidents and prioritize alerts for analysts, so they don’t waste time on false positives.

Vysoce kvalitní upozornění se dají vytvářet na základě zkušeností z minulých incidentů, ověřených zdrojů komunity a nástrojů určených k vygenerování a vyčištění upozornění spojením a sladěním různých zdrojů signálu.High-quality alerts can be built based on experience from past incidents, validated community sources, and tools designed to generate and clean up alerts by fusing and correlating diverse signal sources.

Azure Security Center poskytuje vysoce kvalitní výstrahy napříč mnoha prostředky Azure.Azure Security Center provides high-quality alerts across many Azure assets. Pomocí datového konektoru ASC můžete upozornění streamovat do služby Azure Sentinel.You can use the ASC data connector to stream the alerts to Azure Sentinel. Azure Sentinel umožňuje vytvářet rozšířená pravidla upozornění, která automaticky generují incidenty pro účely šetření.Azure Sentinel lets you create advanced alert rules to generate incidents automatically for an investigation.

Pomocí funkce exportu můžete upozornění a doporučení služby Azure Security Center exportovat, abyste mohli lépe identifikovat rizika pro prostředky Azure.Export your Azure Security Center alerts and recommendations using the export feature to help identify risks to Azure resources. Upozornění a doporučení můžete exportovat ručně nebo průběžně a nepřetržitě.Export alerts and recommendations either manually or in an ongoing, continuous fashion.

Monitorování služby Azure Security Center: Momentálně není k dispoziciAzure Security Center monitoring: Currently not available

Odpovědnost: ZákazníkResponsibility: Customer

IR-4: Detekce a analýza – prozkoumání incidentuIR-4: Detection and analysis – investigate an incident

Doprovodné materiály: Zajistěte, aby Analytiki mohli vytvořit úplný přehled o tom, co se stalo, dotazování a používání různých zdrojů dat při zkoumání potenciálních incidentů.Guidance: Ensure that analysts can build a full view of what happened by querying and using diverse data sources as they investigate potential incidents. Vyhněte se nenevidomým místům díky shromažďování různých protokolů, které sledují aktivity potenciálního útočníka napříč dezaktivačním řetězem.Avoid blind spots by collecting diverse logs to track the activities of a potential attacker across the kill chain. Navíc se ujistěte, že jsou přehledy a poznatky zachyceny pro ostatní analytiky a budoucí historické reference.Additionally, ensure that insights and learnings are captured for other analysts and for future historical reference.

Mezi zdroje dat pro vyšetřování patří centrální zdroje protokolování, ve kterých se již shromažďují protokoly ze služeb v příslušném oboru a spuštěných systémů, ale můžou mezi ně patřit také:The data sources for investigation include the centralized logging sources that are already being collected from the in-scope services and running systems, but can also include:

  • Síťová data – S využitím protokolů toků skupin zabezpečení sítě a služeb Azure Network Watcher a Azure Monitor můžete zachytávat protokoly toků sítě a další analytické informace.Network data – use network security groups' flow logs, Azure Network Watcher, and Azure Monitor to capture network flow logs and other analytics information.

  • Snímky spuštěných systémů:Snapshots of running systems:

    • S využitím funkce vytváření snímků virtuálního počítače Azure můžete vytvořit snímek disku spuštěného systému.Use Azure virtual machine's snapshot capability to create a snapshot of the running system's disk.

    • Pomocí integrované funkce výpisu paměti operačního systému vytvořte snímek paměti běžícího systému.Use the operating system's built-in memory dump capability to create a snapshot of the running system's memory.

    • S využitím funkce vytváření snímků služeb Azure nebo vlastních funkcí vašeho softwaru můžete vytvářet snímky spuštěných systémů.Use the snapshot feature of the Azure services or your software's own capability to create snapshots of the running systems.

Azure Sentinel nabízí rozsáhlé analýzy dat z prakticky jakéhokoli zdroje protokolů a portál pro správu případů, na kterém můžete spravovat celý životní cyklus incidentů.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitorování služby Azure Security Center: NeuvedenoAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

IR-5: Detekce a analýza – stanovení priorit incidentůIR-5: Detection and analysis – prioritize incidents

Pokyny: Poskytněte analytikům kontext, aby věděli, na jaké incidenty se zaměřit jako první v závislosti na závažnosti upozornění a citlivosti prostředků.Guidance: Provide context to analysts on which incidents to focus on first based on alert severity and asset sensitivity.

Azure Security Center jednotlivým upozorněním přiřazuje závažnost, která vám pomůže určit, jaká upozornění by se měla vyšetřit jako první.Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. Závažnost vychází z míry důvěry služby Security Center v závěr nebo analýzu, na základě kterých se upozornění vygenerovalo, a také z úrovně spolehlivosti, že za aktivitou, která vedla k upozornění, byl škodlivý záměr.The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert, as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Kromě toho můžete prostředky označit pomocí značek a vytvořit systém vytváření názvů, který vám pomůže identifikovat a kategorizovat prostředky Azure, zejména prostředky zpracovávající citlivá data.Additionally, mark resources using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Monitorování služby Azure Security Center: Momentálně není k dispoziciAzure Security Center monitoring: Currently not available

Odpovědnost: ZákazníkResponsibility: Customer

IR-6: Zadržení, zničení a obnovení – automatizace zpracování incidentůIR-6: Containment, eradication and recovery – automate the incident handling

Pokyny: Automatizujte ruční opakující se úlohy, ay se zrychlila doba reakce a snížilo se zatížení analytiků.Guidance: Automate manual repetitive tasks to speed up response time and reduce the burden on analysts. Ruční provádění úloh trvá déle, což zpomaluje jednotlivé incidenty a snižuje počet incidentů, které může analytik zvládnout.Manual tasks take longer to execute, slowing each incident and reducing how many incidents an analyst can handle. Ruční úlohy také analytiky více unavují, což zvyšuje riziko zpoždění v důsledku lidských chyb a snižuje schopnost analytiků efektivně se soustředit na složité úlohy.Manual tasks also increase analyst fatigue, which increases the risk of human error that causes delays, and degrades the ability of analysts to focus effectively on complex tasks. S využitím funkcí automatizace pracovních postupů ve službách Azure Security Center a Azure Sentinel můžete v reakci na příchozí upozornění zabezpečení automaticky aktivovat akce nebo spouštět playbooky.Use workflow automation features in Azure Security Center and Azure Sentinel to automatically trigger actions or run a playbook to respond to incoming security alerts. Playbook provádí akce, jako jsou odesílání oznámení, zakazování účtů nebo izolace problematických sítí.The playbook takes actions, such as sending notifications, disabling accounts, and isolating problematic networks.

Monitorování služby Azure Security Center: Momentálně není k dispoziciAzure Security Center monitoring: Currently not available

Odpovědnost: ZákazníkResponsibility: Customer

Stav a správa ohrožení zabezpečeníPosture and Vulnerability Management

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.For more information, see the Azure Security Benchmark: Posture and Vulnerability Management.

PV-1: Zřízení zabezpečených konfigurací pro služby AzurePV-1: Establish secure configurations for Azure services

Pokyny: Azure Information Protection lze nakonfigurovat prostřednictvím centra zabezpečení a dodržování předpisů nebo prostřednictvím prostředí PowerShell.Guidance: Azure Information Protection can be configured through the Security and Compliance Center or through PowerShell.

V centru zabezpečení a dodržování předpisů může správce vytvořit popisky citlivosti, definovat, co každý popisek může dělat, a publikovat štítky.Within the Security and Compliance Center, an admin can create sensitivity labels, define what each label can do, and publish the labels.

Vytvořte popisky: Vytvořte a pojmenujte popisky citlivosti podle taxonomie klasifikace vaší organizace pro různé úrovně citlivosti obsahu.Create the labels: Create and name your sensitivity labels according to your organization's classification taxonomy for different sensitivity levels of content. Používejte běžné názvy nebo výrazy, které se svým uživatelům dodávat smyslům.Use common names or terms that make sense to your users. Pokud ještě nemáte vytvořenou taxonomii, zvažte začátek použití názvů popisků, jako jsou osobní, veřejné, obecné, důvěrné a vysoce důvěrné.If you don't already have an established taxonomy, consider starting with label names such as Personal, Public, General, Confidential, and Highly Confidential. Pak můžete pomocí dílčích popisků seskupit podobné popisky podle kategorie.You can then use sublabels to group similar labels by category. Při vytváření popisku použijte text popisku, který uživatelům umožní vybrat příslušný popisek.When you create a label, use the tooltip text to help users select the appropriate label.

Definujte, co jednotlivé popisky můžou dělat: Nakonfigurujte nastavení ochrany, která chcete přiřadit k jednotlivým popiskům.Define what each label can do: Configure the protection settings you want associated with each label. Například může být vhodné, aby obsah s nižší citlivostí (například popisek "Obecné") používal pouze záhlaví nebo zápatí, zatímco obsah s vyšší citlivostí (například popisek "důvěrné") by měl mít meze a šifrování.For example, you might want lower sensitivity content (such as a "General" label) to have just a header or footer applied, while higher sensitivity content (such as a "Confidential" label) should have a watermark and encryption.

Publikovat štítky: po nakonfigurování popisků citlivosti je publikujte pomocí zásad popisku.Publish the labels: After your sensitivity labels are configured, publish them by using a label policy. Rozhodněte, kteří uživatelé a skupiny by měli mít popisky a jaká nastavení zásad se mají použít.Decide which users and groups should have the labels and what policy settings to use. Jeden popisek je opakovaně použitelný – můžete ho definovat jednou a potom ho můžete zahrnout do několika zásad štítků přiřazených různým uživatelům.A single label is reusable—you define it once, and then you can include it in several label policies assigned to different users. Můžete například vytvořit pilotní popisky, a to přiřazením zásady popisku pouze několika uživatelům.So for example, you could pilot your sensitivity labels by assigning a label policy to just a few users. Až budete připraveni zavádět štítky ve vaší organizaci, můžete pro své štítky vytvořit novou zásadu popisku a zadat všechny uživatele.Then when you're ready to roll out the labels across your organization, you can create a new label policy for your labels and this time, specify all users.

Pokud chcete použít PowerShell, nainstalujte modul prostředí PowerShell pro AIPService.In order to use PowerShell, install the AIPService PowerShell Module. V rámci PowerShellu může správce provádět tyto úlohy společně s ostatními uživateli:Within PowerShell, an admin can perform these tasks along with others:

  • Migrace z místní Rights Management (AD RMS nebo Windows RMS) na Azure Information ProtectionMigrate from on-premise Rights Management (AD RMS or Windows RMS) to Azure Information Protection
  • Generování a Správa vlastního klíče tenanta – scénář Přineste si vlastní klíč (BYOK)Generate and Manage your own tenant key- the bring your own key (BYOK) scenario
  • Aktivace nebo deaktivace služby Rights Management pro vaši organizaciActivate or deactivate the Rights Management service for your organization
  • Konfigurace ovládacích prvků připojování pro dvoufázové nasazení služby Azure Rights ManagementConfigure onboarding controls for a phased deployment of the Azure Rights Management service
  • Vytváření a Správa šablon Rights Management pro vaši organizaciCreate and manage Rights Management templates for your organization
  • Umožňuje spravovat uživatele a skupiny, kteří mají oprávnění spravovat Rights Management služby pro vaši organizaci.Manage users and groups who are authorized to administer Rights Management service for your organization
  • Protokolování a analýza využití pro Rights ManagementLog and analyze usage for Rights Management

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

PV-8: Provádění pravidelné simulace útokuPV-8: Conduct regular attack simulation

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.Guidance: As required, conduct penetration testing or red team activities on your Azure resources and ensure remediation of all critical security findings. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu.Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: SdílenéResponsibility: Shared

Zálohování a obnovyBackup and Recovery

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.For more information, see the Azure Security Benchmark: Backup and Recovery.

BR-4: Zmírnění rizika ztracených klíčůBR-4: Mitigate risk of lost keys

Doprovodné materiály: Azure Information Protection poskytuje zákazníkům možnost konfigurovat svého tenanta pomocí vlastního klíče prostřednictvím BRING Your Own Key (BYOK).Guidance: Azure Information Protection provides customers with the ability to configure their tenant with their own key through Bring Your Own Key (BYOK). Klíče generované zákazníkem musí být uloženy v Azure Key Vault pro ochranu.Customer-generated keys must be stored in Azure Key Vault for protection. Azure Key Vault pomáhá zabránit ztrátě klíčů prostřednictvím obnovitelného odstranění, oddělování rolí a oddělených domén zabezpečení.Azure Key Vault helps prevent the loss of keys through soft delete, role separation, and separated security domains.

Monitorování služby Azure Security Center: AnoAzure Security Center monitoring: Yes

Odpovědnost: ZákazníkResponsibility: Customer

Zásady správného řízení a strategieGovernance and Strategy

Další informace najdete v tématu Azure Security Benchmark: zásady správného řízení a strategie.For more information, see the Azure Security Benchmark: Governance and Strategy.

GS-1: Definování strategie správy prostředků a ochrany datGS-1: Define asset management and data protection strategy

Pokyny: Zadokumentujte si a dále sdělujte jasnou strategii pro nepřetržité monitorování a ochranu systémů a dat.Guidance: Ensure you document and communicate a clear strategy for continuous monitoring and protection of systems and data. Stanovte priority zjišťování, hodnocení, ochrany a monitorování nejdůležitějších podnikových dat a systémů.Prioritize discovery, assessment, protection, and monitoring of business-critical data and systems.

Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:This strategy should include documented guidance, policy, and standards for the following elements:

  • Standard klasifikace dat v souladu s obchodními rizikyData classification standard in accordance with the business risks

  • Přehled organizace zabezpečení o rizicích a inventáři prostředkůSecurity organization visibility into risks and asset inventory

  • Schválení služeb Azure k používání provedené organizací zabezpečeníSecurity organization approval of Azure services for use

  • Zabezpečení prostředků po dobu jejich životního cykluSecurity of assets through their lifecycle

  • Požadovaná strategie řízení přístupu v souladu s klasifikací dat organizaceRequired access control strategy in accordance with organizational data classification

  • Používání integrovaných možností ochrany dat v Azure a jiných výrobcůUse of Azure built-in and third-party data protection capabilities

  • Požadavky na šifrování dat pro případy použití v přenosech a u neaktivních uložených datData encryption requirements for in-transit and at-rest use cases

  • Vhodné kryptografické standardyAppropriate cryptographic standards

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-2: Definování strategie segmentace podnikuGS-2: Define enterprise segmentation strategy

Pokyny: Zřiďte celopodnikovou strategii za účelem segmentace přístupu k prostředkům pomocí kombinace identity, sítě, aplikace, předplatného, skupiny pro správu a dalších řídicích prvků.Guidance: Establish an enterprise-wide strategy to segmenting access to assets using a combination of identity, network, application, subscription, management group, and other controls.

Pečlivě vyvažte nutnost oddělení zabezpečení s nutností povolit každodenní provoz systémů, které musí vzájemně komunikovat a pracovat s daty.Carefully balance the need for security separation with the need to enable daily operation of the systems that need to communicate with each other and access data.

Zajistěte, aby se strategie segmentace implementovala konzistentně ve všech typech řídicích prvků včetně zabezpečení sítě, modelů identit a přístupu a modelů oprávnění/přístupu aplikací a řídicích prvků pro lidské procesy.Ensure that the segmentation strategy is implemented consistently across control types including network security, identity and access models, and application permission/access models, and human process controls.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-3: Definování strategie správy stavu zabezpečeníGS-3: Define security posture management strategy

Pokyny: Nepřetržitě měřte a zmírňujte rizika pro jednotlivé prostředky a prostředí, ve kterém jsou hostovány.Guidance: Continuously measure and mitigate risks to your individual assets and the environment they are hosted in. Stanovte prioritu prostředků s vysokou hodnotou a míst nejvíce vystavených útokům, jako jsou publikované aplikace, body sítě pro příchozí a odchozí přenosy dat, koncové body uživatelů a správců atd.Prioritize high value assets and highly-exposed attack surfaces, such as published applications, network ingress and egress points, user and administrator endpoints, etc.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-4: Soulad rolí a odpovědností organizaceGS-4: Align organization roles, responsibilities, and accountabilities

Pokyny: Je nutné zadokumentovat a dále sdělovat jasnou strategii pro role a odpovědnosti ve vaší organizaci zabezpečení.Guidance: Ensure you document and communicate a clear strategy for roles and responsibilities in your security organization. Stanovte prioritu poskytování jasné odpovědnosti při rozhodování o zabezpečení, zároveň vyškolte všechny uživatele na model sdílené odpovědnosti a vyškolte technické týmy na technologii pro zabezpečení cloudu.Prioritize providing clear accountability for security decisions, educating everyone on the shared responsibility model, and educate technical teams on technology to secure the cloud.

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-5: Definování strategie zabezpečení sítěGS-5: Define network security strategy

Pokyny: Zřiďte postup pro zabezpečení sítě Azure jako součást celkové strategie řízení přístupu zabezpečení vaší organizace.Guidance: Establish an Azure network security approach as part of your organization’s overall security access control strategy.

Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:This strategy should include documented guidance, policy, and standards for the following elements:

  • Centralizovaná správa sítě a odpovědnost za zabezpečeníCentralized network management and security responsibility

  • Model segmentace virtuální sítě v souladu se strategií segmentace podnikuVirtual network segmentation model aligned with the enterprise segmentation strategy

  • Strategie náprav v různých situacích ohrožení a útokůRemediation strategy in different threat and attack scenarios

  • Strategie pro přechodový bod na internet a příchozí a odchozí přenosyInternet edge and ingress and egress strategy

  • Strategie vzájemného propojení hybridního cloudu a místního připojeníHybrid cloud and on-premises interconnectivity strategy

  • Aktuální artefakty zabezpečení sítě (například síťové diagramy, referenční síťová architektura)Up-to-date network security artifacts (e.g. network diagrams, reference network architecture)

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-6: Definování strategie identity a privilegovaného přístupuGS-6: Define identity and privileged access strategy

Pokyny: Zřiďte postupy pro identitu a privilegovaný přístup Azure jako součást celkové strategie řízení přístupu zabezpečení vaší organizace.Guidance: Establish an Azure identity and privileged access approaches as part of your organization’s overall security access control strategy.

Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:This strategy should include documented guidance, policy, and standards for the following elements:

  • Centralizovaný systém identit a ověřování a jeho vzájemné propojení s dalšími interními a externími systémy identitA centralized identity and authentication system and its interconnectivity with other internal and external identity systems

  • Metody silného ověřování v různých případech a podmínkách použitíStrong authentication methods in different use cases and conditions

  • Ochrana vysoce privilegovaných uživatelůProtection of highly privileged users

  • Monitorování a zpracování anomálních aktivit uživatelůAnomaly user activities monitoring and handling

  • Uživatelská identita a kontrola přístupu a proces odsouhlaseníUser identity and access review and reconciliation process

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

GS-7: Definování strategie protokolování a reakcí na hrozbyGS-7: Define logging and threat response strategy

Pokyny: Zřiďte strategii protokolování a reakcí na hrozby, která umožní rychle zjistit a zneškodnit hrozby při současném splnění požadavků na dodržování předpisů.Guidance: Establish a logging and threat response strategy to rapidly detect and remediate threats while meeting compliance requirements. Stanovte prioritu poskytování vysoce kvalitních upozornění a bezproblémového prostředí analytikům, aby se mohli soustředit na hrozby, nikoli na integraci a ruční kroky.Prioritize providing analysts with high-quality alerts and seamless experiences so that they can focus on threats rather than integration and manual steps.

Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:This strategy should include documented guidance, policy, and standards for the following elements:

  • Role a odpovědnosti organizace v oblasti operací zabezpečení (SecOps)The security operations (SecOps) organization’s role and responsibilities

  • Dobře definovaný proces reakce na incidenty, který je v souladu s NIST nebo jinou oborovou architekturouA well-defined incident response process aligning with NIST or another industry framework

  • Shromažďování a uchovávání protokolů pro podporu detekce hrozeb, reakce na incidenty a požadavků na dodržování předpisůLog capture and retention to support threat detection, incident response, and compliance needs

  • Centralizované zobrazení a korelační informace o hrozbách, používání SIEM, integrovaných možností Azure a dalších zdrojůCentralized visibility of and correlation information about threats, using SIEM, built-in Azure capabilities, and other sources

  • Plán komunikace a oznámení pro vaše zákazníky, dodavatele a veřejné partneryCommunication and notification plan with your customers, suppliers, and public parties of interest

  • Použití integrovaných a platforem Azure pro zpracování incidentů, jako je například protokolování a detekce hrozeb, forenzní a náprava a odstranění útokůUse of Azure built-in and third-party platforms for incident handling, such as logging and threat detection, forensics, and attack remediation and eradication

  • Procesy pro zpracování incidentů a aktivity po incidentech, jako je poučení a uchovávání důkazůProcesses for handling incidents and post-incident activities, such as lessons learned and evidence retention

Další informace najdete v následujících referenčních materiálech:For more information, see the following references:

Monitorování služby Azure Security Center: Nelze použítAzure Security Center monitoring: Not applicable

Odpovědnost: ZákazníkResponsibility: Customer

Další krokyNext steps