Azure-Sicherheitsbaseline für ExpressRoute

Diese Sicherheitsbaseline wendet Empfehlungen aus Version 1.0 des Azure-Sicherheitsvergleichstests auf ExpressRoute an. Der Azure-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird anhand der Sicherheitskontrollen gruppiert, die durch den Vergleichstest für die Azure-Sicherheit und die entsprechenden für ExpressRoute geltenden Empfehlungen definiert werden.

Hinweis

Steuerelemente, die nicht für ExpressRoute gelten oder für die Microsoft verantwortlich ist, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von ExpressRoute zum Azure-Sicherheits-Benchmark finden Sie in der vollständigen Zuordnungsdatei für die ExpressRoute-Sicherheitsbaseline.

Netzwerksicherheit

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Netzwerksicherheit.

1.9: Beibehalten von Standardsicherheitskonfigurationen für Netzwerkgeräte

Leitfaden: Definieren und implementieren Sie Standardsicherheitskonfigurationen für Azure ExpressRoute mit Azure Policy. Verwenden Sie Azure Policy-Aliase im Namespace „Microsoft.Network“, um benutzerdefinierte Richtlinien zum Überwachen oder Erzwingen der Netzwerkkonfiguration Ihrer ExpressRoute-Instanzen zu erstellen.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

1.10: Dokumentieren von Datenverkehrskonfigurationsregeln

Leitfaden: Verwenden Sie Tags für Ihre Azure ExpressRoute-Instanzen, um Metadaten und eine logische Organisation einzurichten.

Verwenden Sie eine der integrierten Azure Policy-Definitionen zum Tagging, z. B. „Tag und zugehörigen Wert erzwingen“, um sicherzustellen, dass alle Ressourcen mit Tags erstellt werden und Sie über vorhandene nicht markierte Ressourcen benachrichtigt werden.

Sie können Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden, um Ressourcen anhand ihrer Tags zu suchen oder Aktionen auszuführen.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

1.11: Verwenden automatisierter Tools zum Überwachen von Netzwerkressourcenkonfigurationen und Erkennen von Änderungen

Leitfaden: Verwenden Sie das Azure-Aktivitätsprotokoll zum Überwachen der Konfigurationen von Netzwerkressourcen und zum Erkennen von Änderungen bei Netzwerkressourcen, die mit Ihren ExpressRoute-Verbindungen in Zusammenhang stehen. Erstellen Sie in Azure Monitor Warnungen, die bei Änderungen an wichtigen Ressourcen ausgelöst werden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

Protokollierung und Überwachung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Protokollierung und Überwachung.

2.2: Konfigurieren der zentralen Sicherheitsprotokollverwaltung

Leitfaden: Aktivieren Sie die Diagnoseeinstellungen für das Azure-Aktivitätsprotokoll, und senden Sie die Protokolle zwecks Archivierung an einen Log Analytics-Arbeitsbereich, eine Azure Event Hub-Instanz oder ein Azure-Speicherkonto. Aktivitätsprotokolle geben Einblick in die Vorgänge, die für Ihre Azure ExpressRoute-Ressourcen auf Steuerungsebene erfolgen. Mit den Daten aus Azure-Aktivitätsprotokollen können Sie die Antworten auf die Fragen „Was“, „Wer“ und „Wann“ für alle Schreibvorgänge (PUT, POST, DELETE) ermitteln, die auf Steuerungsebene für Ihre ExpressRoute-Ressourcen durchgeführt werden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

2.3: Aktivieren der Überwachungsprotokollierung für Azure-Ressourcen

Leitfaden: Aktivieren Sie die Diagnoseeinstellungen für das Azure-Aktivitätsprotokoll, und senden Sie die Protokolle zwecks Archivierung an einen Log Analytics-Arbeitsbereich, eine Azure Event Hub-Instanz oder ein Azure-Speicherkonto. Aktivitätsprotokolle geben Einblick in die Vorgänge, die für Ihre Azure ExpressRoute-Ressourcen auf Steuerungsebene erfolgen. Mit den Daten aus Azure-Aktivitätsprotokollen können Sie die Antworten auf die Fragen „Was“, „Wer“ und „Wann“ für alle Schreibvorgänge (PUT, POST, DELETE) ermitteln, die auf Steuerungsebene für Ihre ExpressRoute-Ressourcen durchgeführt werden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

2.5: Konfigurieren der Sicherheitsprotokoll-Aufbewahrungsdauer im Speicher

Leitfaden: Legen Sie in Azure Monitor den Aufbewahrungszeitraum für Protokolle für Log Analytics-Arbeitsbereiche, die Ihren Azure ExpressRoute-Ressourcen zugeordnet sind, gemäß den Compliancevorschriften Ihrer Organisation fest.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

2.6: Überwachen und Überprüfen von Protokollen

Leitfaden: Aktivieren Sie die Diagnoseeinstellungen für das Azure-Aktivitätsprotokoll, und senden Sie die Protokolle an einen Log Analytics-Arbeitsbereich. Führen Sie Abfragen in Log Analytics durch, um Suchbegriffe zu ermitteln, Trends auszumachen, Muster zu analysieren und viele weitere Erkenntnisse auf Grundlage der Aktivitätsprotokolldaten zu gewinnen, die ggf. für Azure ExpressRoute gesammelt wurden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

2.7: Aktivieren von Warnungen bei anomalen Aktivitäten

Leitfaden: Sie können den Empfang von Warnmeldungen auf Grundlage von Metriken und Aktivitätsprotokollen konfigurieren, die in Zusammenhang mit Ihren Azure ExpressRoute-Ressourcen stehen. Mit Azure Monitor können Sie einen Alarm so konfigurieren, dass eine E-Mail-Benachrichtigung gesendet bzw. ein Webhook oder eine Azure-Logik-App aufgerufen wird.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

Identität und Zugriffssteuerung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Identität und Zugriffssteuerung.

3.1: Verwalten eines Bestands von Administratorkonten

Leitfaden: Verwalten Sie einen Bestand der Benutzerkonten, die über Administratorzugriff auf die Steuerungsebene (Azure-Portal) Ihrer Azure ExpressRoute-Ressourcen verfügen.

Sie können die Identitäts- und Zugriffssteuerung (IAM) im Azure-Portal für Ihr Abonnement verwenden, um die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) zu konfigurieren. Die Rollen werden Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten in Active Directory zugewiesen.

Darüber hinaus können Partner, die die Resource Manager-API für ExpressRoute-Partner nutzen, die rollenbasierte Zugriffssteuerung auf die expressRouteCrossConnection-Ressource anwenden. Diese Steuerelemente können Berechtigungen definieren, für die Benutzerkonten die expressRouteCrossConnection-Ressource ändern und Peeringkonfigurationen hinzufügen/aktualisieren/löschen können.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

3.2: Ändern von Standardkennwörtern bei Bedarf

Leitfaden: Azure Active Directory (Azure AD) verfolgt nicht das Konzept der Standardkennwörter. Bei anderen Azure-Ressourcen, für die ein Kennwort erforderlich ist, wird erzwungen, dass ein Kennwort mit komplexen Anforderungen und einer minimalen Kennwortlänge, die sich je nach Dienst unterscheiden, erstellt wird. Sie sind verantwortlich für Anwendungen und Marketplace-Dienste von Drittanbietern, bei denen möglicherweise Standardkennwörter verwendet werden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

3.3: Verwenden dedizierter Administratorkonten

Leitfaden: Erstellen Sie Standardbetriebsvorgänge für die Verwendung dedizierter Administratorkonten. Verwenden Sie Microsoft Defender für cloudbasierte Identitäts- und Zugriffsverwaltung, um die Anzahl von Administratorkonten zu überwachen.

Darüber hinaus können Sie Empfehlungen von Microsoft Defender für Cloud oder integrierte Azure-Richtlinien verwenden, um dedizierte Administratorkonten nachverfolgung zu erhalten, z. B.:

  • Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein.
  • Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.
  • Externe Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.

Weitere Informationen finden Sie in den folgenden Referenzen:

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

3.4: Verwenden des einmaligen Anmeldens (SSO) in Azure Active Directory

Leitfaden: Nicht zutreffend, da mit einmaligem Anmelden (Single Sign-On, SSO) für Sicherheit und Komfort gesorgt ist, wenn sich Benutzer in Azure Active Directory (Azure AD) bei benutzerdefinierten Anwendungen anmelden. Der Zugriff auf die Azure ExpressRoute-Steuerungsebene (z. B. das Azure-Portal) ist bereits in Azure AD integriert und erfolgt über das Azure-Portal sowie über die Azure Resource Manager-REST-API.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.5: Verwenden der mehrstufigen Authentifizierung für den gesamten Azure Active Directory-basierten Zugriff

Leitfaden:Aktivieren Sie Azure Active Directory (Azure AD) Multi-Factor Authentication, und befolgen Sie die Microsoft Defender for Cloud Identity and Access Management-Empfehlungen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.6: Verwenden dedizierter Computer (Arbeitsstationen mit privilegiertem Zugriff) für alle administrativen Aufgaben

Leitfaden:Verwenden Sie eine Arbeitsstation mit privilegiertem Zugriff (Privileged Access Workstation, PAW) mit aktivierter Azure Active Directory (Azure AD) Multi-Factor Authentication, um sich bei Ihren Microsoft Sentinel-bezogenen Ressourcen anzumelden und diese zu konfigurieren.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.7: Protokollieren von und Warnen bei verdächtigen Aktivitäten in Administratorkonten

Leitfaden: Verwenden Sie Azure Active Directory Privileged Identity Management (Azure AD/PIM) für die Generierung von Protokollen und Warnungen bei verdächtigen oder sicherheitsrelevanten Aktivitäten in der Umgebung.

Verwenden Sie zusätzlich Azure AD-Risikoerkennungen, um Warnungen und Berichte zu riskantem Benutzerverhalten anzuzeigen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.8: Verwalten von Azure-Ressourcen nur über genehmigte Standorte

Leitfaden: Verwenden Sie benannte Standorte mit bedingtem Zugriff, um den Zugriff auf das Azure-Portal nur über bestimmte logische Gruppierungen von IP-Adressbereichen oder Ländern/Regionen zuzulassen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.9: Verwenden von Azure Active Directory

Leitfaden:Verwenden Sie Azure Active Directory (Azure AD) als zentrales Authentifizierungs- und Autorisierungssystem für Ihre Microsoft Sentinel-Instanzen. Azure AD schützt Daten durch eine starke Verschlüsselung für ruhende und übertragene Daten. Außerdem werden in Azure AD Salts und Hashs verwendet, und Anmeldeinformationen werden sicher gespeichert.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.10: Regelmäßiges Überprüfen und Abstimmen des Benutzerzugriffs

Leitfaden: Azure Active Directory (Azure AD) enthält Protokolle zum Ermitteln von veralteten Konten. Verwenden Sie zusätzlich Zugriffsüberprüfungen für Azure-Identitäten, um Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient zu verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Benutzer weiterhin Zugriff haben.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.11: Überwachen von Zugriffsversuchen auf deaktivierte Anmeldeinformationen

Leitfaden: Verwenden Sie Azure Active Directory (Azure AD) als zentrales Authentifizierungs- und Autorisierungssystem für Ihre Azure ExpressRoute-Ressourcen. Azure AD schützt Daten durch eine starke Verschlüsselung für ruhende und übertragene Daten. Außerdem werden in Azure AD Salts und Hashs verwendet, und Anmeldeinformationen werden sicher gespeichert.

Sie haben Zugriff auf Azure AD Anmeldeaktivitäts-, Überwachungs- und Risikoereignisprotokollquellen, die ihnen die Integration in Microsoft Sentinel oder ein SIEM-Drittanbieter ermöglichen.

Sie können diesen Prozess optimieren, indem Sie Diagnoseeinstellungen für Azure AD-Benutzerkonten erstellen und die Überwachungs- und Anmeldeprotokolle an einen Log Analytics-Arbeitsbereich senden. Sie können gewünschte Warnungen in Log Analytics konfigurieren.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

3.12: Warnung bei abweichendem Verhalten bei der Kontoanmeldung

Leitfaden: Falls bei der Kontoanmeldung auf Steuerungsebene (z. B. Azure-Portal) ein abweichendes Anmeldeverhalten auftritt, sollten Sie Azure Active Directory (Azure AD) Identity Protection und Risikoerkennungsfeatures verwenden, um automatisierte Reaktionen auf erkannte verdächtige Aktionen im Zusammenhang mit Benutzeridentitäten zu konfigurieren. Sie können auch Daten in Microsoft Sentinel erfassen, um sie weiter zu untersuchen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

Datenschutz

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Schutz von Daten.

4.4: Verschlüsseln aller vertraulichen Informationen während der Übertragung

Leitfaden: IPsec ist ein IETF-Standard. Daten werden auf der IP-Ebene (Internet Protocol) oder auf der Netzwerkebene 3 verschlüsselt. Sie können mit IPsec eine End-to-End-Verbindung zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk (VNet) in Azure verschlüsseln.

Verantwortlichkeit: Shared

Microsoft Defender für Cloudüberwachung:Keine

4.6: Verwenden von Azure RBAC zum Steuern des Zugriffs auf Ressourcen

Leitfaden: Sie können die Identitäts- und Zugriffssteuerung (IAM) im Azure-Portal für Ihr Abonnement verwenden, um die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) zu konfigurieren. Die Rollen werden Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten in Active Directory zugewiesen. Sie können für Einzelbenutzer und Gruppen integrierte oder benutzerdefinierte Rollen verwenden.

In Azure ExpressRoute sind Rollen für Verbindungsbesitzer und Verbindungsbenutzer vorhanden. Leitungsbenutzer sind Besitzer virtueller Netzwerkgateways, die sich nicht im selben Abonnement wie die ExpressRoute-Leitung befinden. Der Besitzer der Verbindung hat die Möglichkeit, Autorisierungen jederzeit zu ändern und aufzuheben. Das Aufheben einer Autorisierung führt dazu, dass alle Verbindungen aus dem Abonnement gelöscht werden, dessen Zugriff aufgehoben wurde. Verbindungsbenutzer können Autorisierungen einlösen (eine Autorisierung für jedes virtuelle Netzwerk).

Darüber hinaus können Partner, die die Resource Manager-API für ExpressRoute-Partner nutzen, die rollenbasierte Zugriffssteuerung auf die expressRouteCrossConnection-Ressource anwenden. Diese Steuerelemente können Berechtigungen definieren, für die Benutzerkonten die expressRouteCrossConnection-Ressource ändern und Peeringkonfigurationen hinzufügen/aktualisieren/löschen können.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

4.9: Protokollieren und Warnen bei Änderungen an wichtigen Azure-Ressourcen

Leitfaden: Verwenden Sie Azure Monitor mit dem Azure-Aktivitätsprotokoll, um Warnungen für den Fall zu erstellen, dass Änderungen an Produktionsinstanzen von Azure ExpressRoute und anderen kritischen bzw. ähnlichen Ressourcen vorgenommen werden.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

Bestands- und Ressourcenverwaltung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Bestands- und Ressourcenverwaltung.

6.1: Verwenden der automatisierten Asset Discovery-Lösung

Leitfaden:Verwenden Sie Azure Resource Graph zum Abfragen/Ermitteln aller Ressourcen (z. B. Compute, Speicher, Netzwerk, Ports und Protokolle usw.). in Ihren Abonnements. Stellen Sie entsprechende (Lese-) Berechtigungen in Ihrem Mandanten sicher, und zählen Sie alle Azure-Abonnements sowie Ressourcen in ihren Abonnements auf.

Obwohl klassische Azure-Ressourcen über Resource Graph ermittelt werden können, wird dringend empfohlen, Azure Resource Manager-Ressourcen zu erstellen und zu verwenden.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

6.3: Löschen nicht autorisierter Azure-Ressourcen

Leitfaden: Verwenden Sie Tagging, Verwaltungsgruppen und separate Abonnements nach Bedarf, um Ressourcen zu verwalten und nachzuverfolgen. Stimmen Sie den Bestand regelmäßig ab, und stellen Sie sicher, dass nicht autorisierte Ressourcen rechtzeitig aus dem Abonnement gelöscht werden.

Verwenden Sie darüber hinaus Azure Policy, um Einschränkungen für die Ressourcentypen anzugeben, die in Kundenabonnements erstellt werden können. Nutzen Sie dazu die folgenden integrierten Richtliniendefinitionen:

  • Not allowed resource types (Unzulässige Ressourcentypen)
  • Zulässige Ressourcentypen

Weitere Informationen finden Sie in den folgenden Referenzen:

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

6.5: Überwachung auf nicht genehmigte Azure-Ressourcen

Leitfaden: Verwenden Sie Azure Policy, um den Typ der Ressourcen, die in ihren Abonnements erstellt werden können, einzuschränken.

Verwenden Sie Azure Resource Graph, um Ressourcen in ihren Abonnements abzufragen und zu ermitteln. Stellen Sie sicher, dass alle in der Umgebung vorhandenen Azure-Ressourcen genehmigt sind.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

6.9: Ausschließliche Verwendung genehmigter Azure-Dienste

Leitfaden: Verwenden Sie Azure Policy, um Einschränkungen für den Typ der Ressourcen anzugeben, die in Kundenabonnements erstellt werden können. Nutzen Sie hierzu die folgenden integrierten Richtliniendefinitionen:

  • Not allowed resource types (Unzulässige Ressourcentypen)
  • Zulässige Ressourcentypen

Weitere Informationen finden Sie in den folgenden Referenzen:

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

6.11: Einschränken der Möglichkeiten von Benutzern zur Interaktion mit Azure Resource Manager

Leitfaden: Konfigurieren Sie bedingten Azure-Zugriff, um die Möglichkeiten der Benutzer zur Interaktion mit Azure Resource Manager einzuschränken, indem Sie „Zugriff blockieren“ für die App zur „Verwaltung von Microsoft Azure“ konfigurieren.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

Sichere Konfiguration

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Sichere Konfiguration.

7.1: Einrichten sicherer Konfigurationen für alle Azure-Ressourcen

Leitfaden: Definieren und implementieren Sie Standardsicherheitskonfigurationen für Azure ExpressRoute mit Azure Policy. Verwenden Sie Azure Policy-Aliase im Namespace „Microsoft.Network“, um benutzerdefinierte Richtlinien zum Überwachen oder Erzwingen der Netzwerkkonfiguration Ihrer ExpressRoute-Instanzen zu erstellen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

7.7: Bereitstellen von Konfigurationsverwaltungstools für Azure-Ressourcen

Leitfaden: Definieren und implementieren Sie Standardsicherheitskonfigurationen für Azure ExpressRoute mit Azure Policy. Verwenden Sie Azure Policy-Aliase im Namespace „Microsoft.Network“, um benutzerdefinierte Richtlinien zum Überwachen oder Erzwingen der Netzwerkkonfiguration Ihrer ExpressRoute-Instanzen zu erstellen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

7.9: Implementieren der automatisierten Konfigurationsüberwachung für Azure-Ressourcen

Leitfaden: Verwenden Sie integrierte Azure Policy-Definitionen sowie Azure Policy-Aliasse im Namespace „Microsoft.Network“, um benutzerdefinierte Richtlinien zum Überwachen und Erzwingen von Systemkonfigurationen zu erstellen und Warnungen dazu zu erhalten. Verwenden Sie die Azure Policy-Auswirkungen [Audit], [Deny] und [DeployIfNotExists], um Konfigurationen für Ihre Azure-Ressourcen automatisch zu erzwingen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

7.13: Beheben der unbeabsichtigten Offenlegung von Anmeldeinformationen

Anleitung: Implementieren Sie Credential Scanner, um Anmeldeinformationen im Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

Schutz vor Schadsoftware

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Schutz vor Schadsoftware.

8.2: Vorabprüfen von in computefremde Azure-Ressourcen hochzuladenden Dateien

Leitfaden: Microsoft Antimalware ist auf dem zugrunde liegenden Host für die Azure-Dienste (z. B. Azure ExpressRoute) aktiviert, wird aber nicht für Kundeninhalte ausgeführt.

Es liegt in Ihrer Verantwortung, alle Inhalte vorab zu überprüfen, die auf computefremde Azure-Ressourcen hochgeladen werden. Microsoft kann nicht auf Kundendaten zugreifen und kann daher keine Antischadsoftwarescans von Kundeninhalten in Ihrem Namen durchführen.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

Reaktion auf Vorfälle

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Reaktion auf Vorfälle.

10.1: Erstellen eines Leitfadens für die Reaktion auf Vorfälle

Anleitung: Erarbeiten Sie einen Leitfaden für die Reaktion auf Vorfälle für Ihre Organisation. Stellen Sie sicher, dass es schriftliche Pläne für die Reaktion auf Vorfälle gibt, in denen alle Rollen der Mitarbeiter sowie die Phasen der Bearbeitung und Verwaltung von Vorfällen von der Ermittlung bis zur abschließenden Überprüfung definiert sind.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

10.2: Erstellen eines Verfahrens zur Bewertung und Priorisierung von Vorfällen

Leitfaden:Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie priorisieren können, welche Warnungen zuerst untersucht werden sollen. Der Schweregrad hängt davon ab, wie sicher Microsoft Defender für Cloud bei der Suche oder den Analysen ist, die zum Ausstellen der Warnung verwendet werden, sowie auf dem Vertrauensgrad, dass hinter der Aktivität, die zu der Warnung geführt hat, böswillige Absichten vorhanden waren.

Markieren Sie außerdem Abonnements eindeutig (z. B. für die Produktion, nicht für Produktion) und erstellen Sie ein Benennungssystem, um Azure-Ressourcen eindeutig zu identifizieren und zu kategorisieren.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

10.3: Verfahren zum Testen der Reaktion auf Sicherheitsvorfälle

Leitfaden: Führen Sie in regelmäßigen Abständen Tests zur Reaktionsfähigkeit Ihrer Systeme auf Vorfälle durch. Identifizieren Sie Schwachstellen und Lücken, und überarbeiten Sie den Plan bei Bedarf.

Verantwortlichkeit: Kunde

Microsoft Defender für Cloudüberwachung:Keine

10.4: Angeben von Kontaktdaten für Sicherheitsvorfälle und Konfigurieren von Warnungsbenachrichtigungen für Sicherheitsvorfälle

Leitfaden: Microsoft kontaktiert Sie unter den für Sicherheitsvorfälle angegebenen Kontaktdaten, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Personen unrechtmäßig oder unbefugt auf die Kundendaten zugegriffen haben. Überprüfen Sie die Vorfälle anschließend, um sicherzustellen, dass die Probleme behoben wurden.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

10.5: Integrieren von Sicherheitswarnungen in das System zur Reaktion auf Vorfälle

Leitfaden:Exportieren Sie Ihre Microsoft Defender für Cloud-Warnungen und -Empfehlungen mithilfe des Features "Fortlaufender Export". Über „Fortlaufender Export“ können Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich exportieren. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Microsoft Sentinel zu streamen.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

10.6: Automatisieren der Reaktion auf Sicherheitswarnungen

Leitfaden:Verwenden Sie das Workflowautomatisierungsfeature in Microsoft Defender für Cloud, um automatisch Antworten über "Logic Apps" auf Sicherheitswarnungen und -empfehlungen auszulösen.

Verantwortlichkeit: Kunde

Microsoft Defender für cloudbasierte Überwachung:Keine

Penetrationstests und Red Team-Übungen

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Penetrationstests und Red Team-Übungen.

11.1: Durchführen regelmäßiger Penetrationstests Ihrer Azure-Ressourcen und Sicherstellen der Behebung aller kritischen Sicherheitsergebnissen

Leitfaden: Befolgen Sie in dem Fall die Einsatzregeln für Penetrationstests von Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.

Verantwortlichkeit: Shared

Microsoft Defender für cloudbasierte Überwachung:Keine

Nächste Schritte