Az Azure biztonsági alapkonfigurációja Virtual Machine Scale Sets

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza Virtual Machine Scale Sets. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Virtual Machine Scale Sets vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Virtual Machine Scale Sets nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. Annak megtekintéséhez, hogy Virtual Machine Scale Sets hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Virtual Machine Scale Sets biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy minden üzembe helyezett alhálózathoz hálózati biztonsági csoport van alkalmazva az alkalmazások megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel.

Másik lehetőségként, ha egy központosított tűzfal egy adott használati esettel rendelkezik, Azure Firewall is használható ezekre a követelményekre.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken A Microsoft Defender for Cloud elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet AuditIfNotExists, Letiltva 3.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek hálózati biztonsági csoportokkal (NSG-vel) való korlátozásával megvédheti virtuális gépeit a lehetséges fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Letiltva 3.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése egy virtuális gép hálózati adapterén lehetővé teszi, hogy a gép fogadja a más célhelyekre címzett forgalmat. Az IP-továbbítás ritkán szükséges (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Letiltva 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni A Microsoft Defender for Cloud javaslatként figyeli a lehetséges igény szerinti hálózati (JIT-) hozzáférést AuditIfNotExists, Letiltva 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások találgatásos hitelesítő adatokkal próbálnak rendszergazdai hozzáférést szerezni a géphez. AuditIfNotExists, Letiltva 3.0.0

1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: A Microsoft Defender for Cloud használatával azonosíthatja és követheti a hálózatvédelmi javaslatokat az Azure-beli azure-beli virtuális gépek erőforrásainak biztonságossá tételéhez. Engedélyezze az NSG-forgalomnaplókat, és küldjön naplókat egy tárfiókba a virtuális gépek forgalomnaplózásához szokatlan tevékenységek esetén.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Ha a virtuálisgép-méretezési csoportot (VMSS) webalkalmazások üzemeltetésére használja, használjon hálózati biztonsági csoportot (NSG-t) a VMSS alhálózatán annak korlátozásához, hogy milyen hálózati forgalom, portok és protokollok kommunikálhatnak. Az NSG-k konfigurálásakor kövesse a legkevésbé kiemelt hálózati megközelítést, hogy csak az alkalmazás felé irányuló szükséges forgalmat engedélyezze.

Az Azure Web Application Firewall (WAF) kritikus webalkalmazások előtt is üzembe helyezheti a bejövő forgalom további ellenőrzéséhez. Engedélyezze a diagnosztikai beállítást a WAF számára, és a naplókat betöltse egy tárfiókba, eseményközpontba vagy Log Analytics-munkaterületre.

Felelősség: Ügyfél

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze az elosztott szolgáltatásmegtagadási (DDoS) standard védelmet a virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával figyelheti az ismert rosszindulatú IP-címekkel folytatott kommunikációt. Konfigurálja a Azure Firewall az egyes Virtual Network szegmenseken, és engedélyezze a fenyegetésfelderítést, és konfigurálja a "Riasztás és megtagadás" beállítást a rosszindulatú hálózati forgalomhoz.

A Microsoft Defender for Cloud Just In Time Network-hozzáférésével korlátozott ideig korlátozhatja a Windows Virtual Machines engedélyezett IP-címeknek való kitettségét. Emellett a Microsoft Defender for Cloud Adaptive Network Hardening használatával olyan NSG-konfigurációkat javasolhat, amelyek a tényleges forgalom és a fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken A Microsoft Defender for Cloud elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet AuditIfNotExists, Letiltva 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni A Microsoft Defender for Cloud javaslatként figyeli a lehetséges igény szerinti hálózati (JIT-) hozzáférést AuditIfNotExists, Letiltva 3.0.0

1.5: Hálózati csomagok rögzítése

Útmutató: Az NSG-forgalom naplóit egy tárfiókba rögzítve folyamatrekordokat hozhat létre az Azure Virtual Machines számára. A rendellenes tevékenységek vizsgálatakor engedélyezheti Network Watcher csomagrögzítést, hogy a hálózati forgalom áttekinthető legyen szokatlan és váratlan tevékenységek esetén.

Felelősség: Ügyfél

1.6: Hálózati behatolásészlelési/behatolás-megelőzési rendszerek (IDS/IPS) üzembe helyezése

Útmutató: A Network Watcher által biztosított csomagrögzítések és egy nyílt forráskódú IDS-eszköz kombinálásával számos fenyegetés esetén végezhet hálózati behatolásészlelést. Emellett szükség szerint üzembe helyezhet Azure Firewall a Virtual Network szegmenseken, és a fenyegetésfelderítés engedélyezve van, és "Riasztás és megtagadás" beállítással van konfigurálva a rosszindulatú hálózati forgalomhoz.

Felelősség: Ügyfél

1.7: Webalkalmazások felé történő forgalom kezelése

Útmutató: Ha virtuálisgép-méretezési csoportot (VMSS) használ a webalkalmazások üzemeltetéséhez, Azure Application Gateway telepíthet olyan webalkalmazásokhoz, amelyeken engedélyezve van a HTTPS/SSL a megbízható tanúsítványokhoz. A Azure Application Gateway az alkalmazás webes forgalmát adott erőforrásokhoz irányítja: figyelőket rendel portokhoz, szabályokat hoz létre, és erőforrásokat ad hozzá egy háttérkészlethez, például a VMSS-hez stb.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: A Virtual Network szolgáltatáscímkék használatával meghatározhatja a hálózati hozzáférés-vezérlőket az Azure-beli virtuális gépekhez konfigurált hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ApiManagement) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Felelősség: Ügyfél

1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása az Azure Virtual Machine Scale Sets Azure Policy használatával. Az Azure Blueprints használatával egyszerűbbé teheti a nagyméretű Azure-beli virtuális gépek üzembe helyezését, ha egyetlen tervdefinícióban csomagolja be a kulcsfontosságú környezeti összetevőket, például az Azure Resource Manager-sablonokat, szerepkör-hozzárendeléseket és Azure Policy-hozzárendeléseket. A tervet alkalmazhatja az előfizetésekre, és a tervverziókon keresztül engedélyezheti az erőforrás-kezelést.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Használhat címkéket hálózati biztonsági csoportokhoz (NSG) és a Windows rendszerű virtuális gépekhez konfigurált hálózati biztonsághoz és forgalomhoz kapcsolódó egyéb erőforrásokhoz. Az egyes NSG-szabályok esetében a "Leírás" mezőben adhatja meg az üzleti szükségletet és/vagy időtartamot minden olyan szabály esetében, amely engedélyezi a hálózatra irányuló vagy onnan érkező forgalmat.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával monitorozza az Azure-beli virtuálisgép-méretezési csoporthoz kapcsolódó hálózati erőforrás-konfigurációk változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati beállítások vagy erőforrások módosításakor aktiválódik.

A Azure Policy használatával ellenőrizheti (és/vagy kijavíthatja) a virtuálisgép-méretezési csoporthoz kapcsolódó hálózati erőforrás konfigurációit.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás az összes vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. módosítás 1.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és amelyek legalább egy felhasználó által hozzárendelt identitással rendelkeznek, de nem rendelkeznek rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás az összes vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. módosítás 1.0.0
A windowsos vendégkonfigurációs bővítmény üzembe helyezése vendégkonfiguráció-hozzárendelések engedélyezéséhez Windows rendszerű virtuális gépeken Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. deployIfNotExists 1.0.1
A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Hálózat" követelményeknek A Windows rendszerű gépeken a "Felügyeleti sablonok – Hálózat" kategóriában megadott Csoportházirend beállításoknak kell rendelkezniük a vendég bejelentkezésekhez, az egyidejű kapcsolatokhoz, a hálózati hídhoz, az ICS-hez és a csoportos küldési névfeloldáshoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Hálózati kiszolgáló" követelményeknek A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend beállításokat a "Biztonsági beállítások – Microsoft Hálózati kiszolgáló" kategóriában az SMB v1-kiszolgáló letiltására. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában a névtelen felhasználók, a helyi fiókok és a beállításjegyzékhez való távoli hozzáférés hozzáadásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Letiltva 2.0.0

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.1: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft fenntartja az Azure-erőforrások időforrásait, ön azonban kezelheti a Virtual Machines időszinkronizálási beállításait.

Felelősség: Megosztott

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: A tevékenységnaplók a virtuálisgép-méretezési csoport erőforrásain végrehajtott műveletek és műveletek naplózására használhatók. A tevékenységnapló az összes írási műveletet (PUT, POST, DELETE) tartalmazza az erőforrásokhoz, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Engedélyezheti és felügyelheti az Azure-tevékenységnaplókból vagy virtuálisgép-erőforrásokból előállított naplóadatokat a Microsoft Sentinel vagy egy külső SIEM számára a központi biztonsági naplók kezeléséhez.

A Microsoft Defender for Cloud használatával biztonsági eseménynapló-monitorozást biztosíthat az Azure Virtual Machines számára. A biztonsági eseménynapló által generált adatmennyiség miatt a rendszer alapértelmezés szerint nem tárolja azokat.

Ha a szervezet meg szeretné őrizni a virtuális gép biztonsági eseménynapló-adatait, azokat egy Log Analytics-munkaterületen tárolhatja a Microsoft Defender for Cloudban konfigurált kívánt adatgyűjtési szinten.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Azon Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de az AgentConfigManager.MgmtSvcCfg COM-objektum azt adja vissza, hogy a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. auditIfNotExists 1.0.0
A Log Analytics-ügynököt telepíteni kell a Virtual Machine Scale Sets Ez a szabályzat naplózza a Windows-/Linux-Virtual Machine Scale Sets, ha a Log Analytics-ügynök nincs telepítve. AuditIfNotExists, Letiltva 1.0.0
A Log Analytics-ügynököt virtuális gépekre kell telepíteni Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-ügynök nincs telepítve. AuditIfNotExists, Letiltva 1.0.0

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók a virtuálisgép-méretezési csoport erőforrásain végrehajtott műveletek és műveletek naplózására használhatók. A tevékenységnapló az összes írási műveletet (PUT, POST, DELETE) tartalmazza az erőforrásokhoz, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Engedélyezze a vendég operációs rendszer diagnosztikai adatainak gyűjtését a diagnosztikai bővítmény üzembe helyezésével a Virtual Machines (VM). A diagnosztikai bővítmény használatával diagnosztikai adatokat gyűjthet, például alkalmazásnaplókat vagy teljesítményszámlálókat egy Azure-beli virtuális gépről.

Az Azure-beli virtuálisgép-méretezési csoport által támogatott alkalmazások és szolgáltatások fejlett láthatósága érdekében engedélyezheti a Azure Monitor for VMs és az Application Insights szolgáltatást is. Az Application Insights segítségével monitorozhatja az alkalmazást, és rögzíthet telemetriát, például HTTP-kéréseket, kivételeket stb., így korrelálhatja a virtuális gépek és az alkalmazás közötti problémákat.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Engedélyezni kell a Virtual Machine Scale Sets erőforrásnaplóit Javasoljuk, hogy engedélyezze a naplókat, hogy újra létre lehessen hozni a tevékenységnaplót, ha incidens vagy biztonsági sérülés esetén vizsgálatra van szükség. AuditIfNotExists, Letiltva 2.0.1

2.4: Biztonsági naplók gyűjtése operációs rendszerekről

Útmutató: A Microsoft Defender for Cloud használatával biztonsági eseménynapló-monitorozást biztosíthat az Azure Virtual Machines számára. A biztonsági eseménynapló által generált adatmennyiség miatt a rendszer alapértelmezés szerint nem tárolja azokat.

Ha a szervezet meg szeretné őrizni a virtuális gép biztonsági eseménynapló-adatait, azokat egy Log Analytics-munkaterületen tárolhatja a Microsoft Defender for Cloudban konfigurált kívánt adatgyűjtési szinten.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Azon Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de az AgentConfigManager.MgmtSvcCfg COM-objektum azt adja vissza, hogy a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. auditIfNotExists 1.0.0
A Log Analytics-ügynököt telepíteni kell a Virtual Machine Scale Sets Ez a szabályzat naplózza a Windows-/Linux-Virtual Machine Scale Sets, ha a Log Analytics-ügynök nincs telepítve. AuditIfNotExists, Letiltva 1.0.0
A Log Analytics-ügynököt virtuális gépekre kell telepíteni Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-ügynök nincs telepítve. AuditIfNotExists, Letiltva 1.0.0

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a virtuálisgép-naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek esetében a szervezet megfelelőségi előírásainak megfelelően beállított naplómegőrzési időszak van beállítva.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Naplók elemzése és monitorozása rendellenes viselkedés esetén, valamint az eredmények rendszeres áttekintése. Az Azure Monitor használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.

Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek a naplók figyeléséhez és áttekintéséhez.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Az Azure Virtual Machines biztonsági naplóiban és eseményeiben található rendellenes tevékenységek monitorozásához és riasztásához használja a Log Analytics-munkaterülettel konfigurált Microsoft Defender for Cloudot.

Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek, hogy riasztásokat állítson be rendellenes tevékenységekhez.

Felelősség: Ügyfél

2.8: A kártevőirtó naplózás központosítása

Útmutató: A Microsoft Anti-malware for Azure Cloud Services és Virtual Machines használatával konfigurálhatja a Windows rendszerű virtuális gépeket az események Azure Storage-fiókba való naplózására. Konfiguráljon egy Log Analytics-munkaterületet, hogy betöltse az eseményeket a tárfiókokból, és szükség esetén riasztásokat hozzon létre. Kövesse a Microsoft Defender for Cloud javaslatait: "Compute & Apps". Linux rendszerű virtuális gépek esetén egy külső gyártótól származó eszközre lesz szüksége a kártevőirtó biztonsági rések észleléséhez.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Az Endpoint Protection-megoldást telepíteni kell a virtuálisgép-méretezési csoportokra A virtuálisgép-méretezési csoportokon található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és biztonsági rések elleni védelem érdekében. AuditIfNotExists, Letiltva 3.0.0
Microsoft Antimalware az Azure-hoz úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva Microsoft Antimalware védelmi aláírások automatikus frissítésével. AuditIfNotExists, Letiltva 1.0.0
Hiányzó Endpoint Protection monitorozása a Microsoft Defender for Cloudban A Microsoft Defender for Cloud javaslatként figyeli a telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat AuditIfNotExists, Letiltva 3.0.0

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: A szervezet igényeinek megfelelően implementáljon egy külső megoldást a Azure Marketplace DNS-naplózási megoldásához.

Felelősség: Ügyfél

2.10: Parancssori naplózás engedélyezése

Útmutató: A Microsoft Defender for Cloud biztonsági eseménynapló-monitorozást biztosít az Azure Virtual Machines (VM) számára. A Microsoft Defender for Cloud kiépítheti a Microsoft Monitoring Agentet az összes támogatott Azure-beli virtuális gépre és minden olyan újra, amely akkor jön létre, ha az automatikus kiépítés engedélyezve van, VAGY manuálisan is telepítheti az ügynököt. Az ügynök engedélyezi a 4688-ás folyamatlétrehozás eseményt és a CommandLine mezőt a 4688-os eseményen belül. A virtuális gépen létrehozott új folyamatokat az EventLog rögzíti, és a Microsoft Defender for Cloud észlelési szolgáltatásai figyelik.

Linux rendszerű virtuális gépek esetében manuálisan konfigurálhatja a konzolnaplózást csomópontonként, és syslogok használatával tárolhatja az adatokat. Emellett az Azure Monitor Log Analytics-munkaterületét használva áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépek syslog-adatain.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Bár az Azure Active Directory (Azure AD) az ajánlott módszer a felhasználói hozzáférés felügyeletére, az Azure Virtual Machines rendelkezhet helyi fiókokkal. A helyi és a tartományi fiókokat is felül kell vizsgálni és kezelni kell, általában minimális erőforrásigény mellett. Emellett az Azure Privileged Identity Management a virtuális gépek erőforrásainak eléréséhez használt rendszergazdai fiókokhoz is használhatja.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: Az Azure-beli virtuálisgép-méretezési csoport és az Azure Active Directory (Azure AD) nem rendelkezik az alapértelmezett jelszavak fogalmával. Az alapértelmezett jelszavakat használó, harmadik féltől származó alkalmazásokért és Marketplace-szolgáltatásokért felelős ügyfél.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Hozzon létre szabványos üzemeltetési eljárásokat a virtuális gépekhez hozzáféréssel rendelkező dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud identitás- és hozzáférés-kezelés használatával monitorozza a felügyeleti fiókok számát. Az Azure-beli virtuális gépek erőforrásainak eléréséhez használt rendszergazdai fiókokat az Azure Privileged Identity Management (PIM) is kezelheti. Az Azure Privileged Identity Management számos lehetőséget kínál, például a Csak időben jogosultságszint-emelést, a többtényezős hitelesítést a szerepkör feltételezése előtt, valamint a delegálási beállításokat, hogy az engedélyek csak adott időkeretekhez legyenek elérhetők, és jóváhagyót igényelhessenek.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A Rendszergazdák csoportban megadott tagok közül hiányzó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. auditIfNotExists 1.0.0
További fiókokkal rendelkező Windows-gépek naplózása a Rendszergazdák csoportban Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport olyan tagokat tartalmaz, amelyek nem szerepelnek a szabályzatparaméterben. auditIfNotExists 1.0.0
A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a helyi Rendszergazdák csoport tartalmaz egy vagy több tagot a szabályzatparaméterben. auditIfNotExists 1.0.0

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Ahol csak lehetséges, az egyszeri bejelentkezést használja az Azure Active Directoryval (Azure AD) ahelyett, hogy szolgáltatásonként konfigurálja az önálló hitelesítő adatokat. Használja a Microsoft Defender felhőalapú identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz

Útmutató: Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférésű munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált többtényezős hitelesítéssel.

Felelősség: Ügyfél

3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Azure AD Kockázatészlelés funkcióval riasztásokat és jelentéseket tekinthet meg a kockázatos felhasználók viselkedéséről. Igény szerint az ügyfél betöltheti a Microsoft Defender for Cloud Risk Detection riasztásokat az Azure Monitorba, és egyéni riasztásokat/értesítéseket konfigurálhat a műveletcsoportok használatával.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Az Azure Active Directory (Azure AD) feltételes hozzáférési szabályzatainak és nevesített helyeinek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat. A felügyelt identitások használatával bármely olyan szolgáltatásban hitelesítheti magát, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezik. A virtuális gépen futó kód a felügyelt identitásával hozzáférési jogkivonatokat kérhet az Azure AD hitelesítést támogató szolgáltatásokhoz.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett Azure AD identitás-hozzáférési felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználók hozzáférése rendszeresen felülvizsgálható, hogy csak a megfelelő felhasználók rendelkezzenek további hozzáféréssel. Az Azure-beli virtuális gépek használatakor át kell tekintenie a helyi biztonsági csoportokat és felhasználókat, hogy biztosan ne legyenek váratlan fiókok, amelyek veszélyeztethetik a rendszert.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: Az Azure Active Directory (Azure AD) diagnosztikai beállításainak konfigurálása az auditnaplók és bejelentkezési naplók Log Analytics-munkaterületre való küldéséhez. Emellett az Azure Monitor használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépek naplóadatain.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a tárfiók erőforrásaival kapcsolatos gyanús műveletekre. A szervezet biztonsági válaszainak implementálásához engedélyeznie kell az automatizált válaszokat a Microsoft Sentinelen keresztül.

Felelősség: Ügyfél

3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz (például egy támogatási kérelem során), használja az Azure-beli virtuális gépekhez készült Ügyfélszéfet az ügyféladatok hozzáférési kérelmeinek áttekintéséhez és jóváhagyásához vagy elutasításához.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használata a bizalmas adatokat tároló vagy feldolgozó Azure-beli virtuális gépek nyomon követéséhez.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Különálló előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Az erőforrásokat virtuális hálózattal/alhálózattal kell elválasztani, megfelelően fel kell címkézni, és egy hálózati biztonsági csoporton (NSG-n) vagy egy Azure Firewall kell biztosítani. A bizalmas adatok Virtual Machines tárolásához vagy feldolgozásához alkalmazzon szabályzatokat és eljárásokat, amelyek kikapcsolják azokat, ha nincsenek használatban.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Útmutató: Harmadik féltől származó megoldás implementálása a hálózat peremhálózatán, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat érzékenynek tekint az ügyfelek adatvesztése és kitettsége elleni védelem érdekében. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: A Windowst futtató Virtual Machines (VM) felé, onnan kiindulva és között áthaladó adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók, például amikor RDP- vagy SSH-munkamenetben csatlakoznak egy virtuális géphez.

A Microsoft a Transport Layer Security (TLS) protokollt használja az adatok védelmére a felhőszolgáltatások és az ügyfelek közötti utazás során.

Felelősség: Megosztott

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Külső gyártótól származó aktív felderítési eszköz használatával azonosíthatja a szervezet technológiai rendszerei által tárolt, feldolgozott vagy továbbított összes bizalmas információt, beleértve a helyszínen vagy egy távoli szolgáltatónál található adatokat is, és frissítheti a szervezet bizalmas információinak leltárát.

Felelősség: Ügyfél

4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés szabályozásához

Útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával elkülönítheti a feladatokat a csapaton belül, és csak annyi hozzáférést adhat a virtuális gép felhasználóinak, amennyi a feladataik elvégzéséhez szükséges. Ahelyett, hogy mindenki számára korlátlan engedélyeket ad a virtuális géphez, csak bizonyos műveleteket engedélyezhet. A Azure Portal virtuális gép hozzáférés-vezérlését az Azure CLI vagy Azure PowerShell használatával konfigurálhatja.

Felelősség: Ügyfél

4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez

Útmutató: Implementáljon egy külső eszközt, például egy automatizált, gazdagépalapú adatveszteség-megelőzési megoldást a hozzáférés-vezérlés kikényszerítéséhez az adatszivárgások kockázatának csökkentése érdekében.

Felelősség: Ügyfél

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: A Virtual Machines (VM) virtuális lemezei inaktív állapotban kiszolgálóoldali vagy Azure-lemeztitkosítással (ADE) vannak titkosítva. Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. A kiszolgálóoldali titkosítás az ügyfél által felügyelt kulcsokkal javítja az ADE-t, mivel lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A nem csatlakoztatott lemezeket titkosítani kell Ez a szabályzat a titkosítás engedélyezése nélkül naplóz minden nem csatlakoztatott lemezt. Naplózás, letiltva 1.0.0
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat A Microsoft Defender for Cloud javaslatként figyeli az engedélyezett lemeztitkosítással nem rendelkező virtuális gépeket. AuditIfNotExists, Letiltva 2.0.1

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure-tevékenységnapló együttes használatával riasztásokat hozhat létre a virtuálisgép-méretezési csoportok és a kapcsolódó erőforrások módosításairól.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információkért lásd az Azure Biztonsági teljesítményteszt: Sebezhetőségi felügyelet című témakört.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure Virtual Machines biztonságirés-felméréseinek elvégzésére vonatkozóan. A virtuális gépek sebezhetőségi felméréséhez használja az Azure Security ajánlott vagy külső megoldását.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. A Microsoft Defender for Cloud standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Letiltva 3.0.0

5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése

Útmutató: Az operációs rendszer automatikus frissítésének engedélyezése támogatott operációsrendszer-verziókhoz vagy Shared Image Gallery tárolt egyéni lemezképekhez.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit Ellenőrizze, hogy vannak-e hiányzó rendszerbiztonsági frissítések és kritikus frissítések, amelyeket telepíteni kell a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságossá tételéhez. AuditIfNotExists, Letiltva 3.0.0
A rendszerfrissítéseket telepíteni kell a gépeken A kiszolgálók hiányzó biztonsági rendszerfrissítéseit a Microsoft Defender for Cloud figyeli javaslatként AuditIfNotExists, Disabled 4.0.0

5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez

Útmutató: Az Azure Virtual Machine Scale Sets (VMSS) használhatja az operációs rendszer rendszerképének automatikus frissítését. A VMSS mögöttes virtuális gépeihez használhatja az Azure Desired State Configuration (DSC) bővítményt. A DSC segítségével konfigurálhatók a virtuális gépek, amikor azok online állapotba kerülnek, így a kívánt szoftvert futtatják.

Felelősség: Ügyfél

5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása

Útmutató: Konzisztens időközönként exportálja a vizsgálati eredményeket, és összehasonlítja az eredményeket annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e. A Microsoft Defender for Cloud által javasolt biztonságirés-kezelési javaslat használatakor az ügyfél a kiválasztott megoldás portáljára váltva megtekintheti az előzményvizsgálati adatokat.

Felelősség: Ügyfél

5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához

Útmutató: Használja a Microsoft Defender for Cloud által biztosított alapértelmezett kockázati minősítéseket (biztonsági pontszámot).

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. AuditIfNotExists, Disabled 3.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak AuditIfNotExists, Disabled 3.0.0
A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. AuditIfNotExists, Disabled 3.0.0

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli összes erőforrást (beleértve a virtuális gépeket is). Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés és az előfizetésen belüli erőforrások számbavételére.

Felelősség: Ügyfél

6.2: Eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezéshez egy osztályozás szerint.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Címkézéssel, felügyeleti csoportokkal és adott esetben különálló előfizetésekkel rendszerezheti és nyomon követheti Virtual Machines méretezési csoportokat és a kapcsolódó erőforrásokat. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Hozzon létre egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: Az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben lévő erőforrásokat. Ez segíthet a magas biztonságú környezetekben, például a Storage-fiókokkal rendelkezőkben.

Felelősség: Ügyfél

6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül

Útmutató: Azure Automation teljes körű ellenőrzést biztosít a számítási feladatok és erőforrások üzembe helyezése, üzemeltetése és leszerelése során. Az Azure Virtual Machine Inventory használatával automatizálhatja a Virtual Machines összes szoftverével kapcsolatos információk gyűjtését. Megjegyzés: A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez az ügyfélnek engedélyeznie kell a vendégszintű diagnosztikát, és be kell állítania a Windows-eseménynaplókat egy Log Analytics-munkaterületre.

Az adaptív alkalmazásvezérlők jelenleg nem érhetők el Virtual Machine Scale Sets.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása

Útmutató: Azure Automation teljes körű ellenőrzést biztosít a számítási feladatok és erőforrások üzembe helyezése, üzemeltetése és leszerelése során. A Change Tracking segítségével azonosíthatja a Virtual Machines telepített összes szoftvert. Implementálhatja a saját folyamatát, vagy használhatja a Azure Automation State Configuration a jogosulatlan szoftverek eltávolítására.

Felelősség: Ügyfél

6.8: Csak jóváhagyott alkalmazások használata

Útmutató: Jelenleg az adaptív alkalmazásvezérlők nem érhetők el Virtual Machine Scale Sets. Harmadik féltől származó szoftverek használatával szabályozhatja a használatot csak a jóváhagyott alkalmazások esetében.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Letiltva 3.0.0

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: Az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, kulcstartó-hozzáférés a titkos kódokhoz, Azure AD-alapú hitelesítés, valamint címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

6.10: A jóváhagyott szoftvercímek leltárának karbantartása

Útmutató: Jelenleg az adaptív alkalmazásvezérlők nem érhetők el Virtual Machine Scale Sets. Külső megoldás implementálása, ha ez nem felel meg a szervezet követelményeinek.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Letiltva 3.0.0

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Feltételes hozzáférés használatával korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

6.12: A felhasználók szkriptek számítási erőforrásokon belüli végrehajtásának korlátozása

Útmutató: A szkriptek típusától függően operációsrendszer-specifikus konfigurációkat vagy külső erőforrásokat használhat, hogy korlátozza a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásain belül.

Felelősség: Ügyfél

6.13: A magas kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Az Azure-környezetben üzembe helyezett magas kockázatú alkalmazások elkülöníthetők virtuális hálózat, alhálózat, előfizetések, felügyeleti csoportok stb. használatával, és megfelelően védhetők Azure Firewall, Web Application Firewall (WAF) vagy hálózati biztonsági csoporttal (NSG).

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: A Azure Policy vagy a Microsoft Defender for Cloud használatával minden Azure-erőforrás biztonsági konfigurációit fenntarthatja. Emellett az Azure Resource Manager képes exportálni a sablont JavaScript Object Notation (JSON) formátumban, amelyet felül kell vizsgálni annak biztosítása érdekében, hogy a konfigurációk megfeleljenek a vállalat biztonsági követelményeinek.

Felelősség: Ügyfél

7.2: Biztonságos operációsrendszer-konfigurációk létrehozása

Útmutató: A Microsoft Defender for Cloud javaslat segítségével elháríthatja a biztonsági réseket a Virtual Machines biztonsági konfigurációiban az összes számítási erőforrás biztonsági konfigurációjának fenntartásához.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Azure Resource Manager-sablonok és Azure-szabályzatok használatával biztonságosan konfigurálhatja a Virtual Machines méretezési csoportokkal társított Azure-erőforrásokat. Az Azure Resource Manager-sablonok JSON-alapú fájlok, amelyeket a virtuális gépek üzembe helyezéséhez használnak az Azure-erőforrások mellett, és az egyéni sablonokat is fenn kell tartani. A Microsoft elvégzi a karbantartást az alapsablonokon. Az Azure Policy [deny] és a [deploy if not exist] használatával biztonságos beállításokat kényszeríthet ki az Azure-erőforrásokban.

Felelősség: Ügyfél

7.4: Biztonságos operációsrendszer-konfigurációk fenntartása

Útmutató: Az Üzembe helyezéshez az Azure Virtual Machines (VM) biztonságos konfigurációjának fenntartására több lehetőség is rendelkezésre áll:

  1. Azure Resource Manager-sablonok: Ezek olyan JSON-alapú fájlok, amelyeket a virtuális gépek üzembe helyezéséhez használnak a Azure Portal, és az egyéni sablonokat meg kell őrizni. A Microsoft elvégzi a karbantartást az alapsablonokon.

  2. Egyéni virtuális merevlemez (VHD): Bizonyos esetekben szükség lehet egyéni VHD-fájlokra, például olyan összetett környezetek kezelésekor, amelyek más módon nem kezelhetők.

  3. Azure Automation State Configuration: Az alap operációs rendszer üzembe helyezése után ez használható a beállítások részletesebb vezérléséhez, és az Automation-keretrendszeren keresztül kényszeríthető ki.

A legtöbb esetben a Microsoft alapszintű virtuálisgép-sablonjai és a Azure Automation Desired State Configuration együttesen segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Felelősség: Megosztott

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. AuditIfNotExists, Disabled 3.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak AuditIfNotExists, Disabled 3.0.0
A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. AuditIfNotExists, Disabled 3.0.0

7.5: Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure-szabályzatokat, Azure-Resource Manager-sablonokat, Desired State Configuration szkripteket stb. Az Azure DevOpsban kezelt erőforrások, például a kód, a buildek és a munkakövetés eléréséhez engedélyekkel kell rendelkeznie az adott erőforrásokhoz. A legtöbb engedély a beépített biztonsági csoportokon keresztül adható meg az Engedélyek és hozzáférés szakaszban leírtak szerint. Az Azure DevOpsba integrálva adott felhasználóknak, beépített biztonsági csoportoknak vagy Azure Active Directoryban (Azure AD) definiált csoportoknak, illetve TFS-sel integrált Active Directorynak adhat vagy tagadhat meg engedélyeket.

Felelősség: Ügyfél

7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása

Útmutató: Ha egyéni rendszerképeket (pl. virtuális merevlemezt) használ, az Azure szerepköralapú hozzáférés-vezérlésével biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá a képekhez.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A Azure Policy használatával riasztást, naplózást és rendszerkonfigurációk kikényszerítését végezheti el a virtuális gépeken. Emellett dolgozzon ki egy folyamatot és egy folyamatot a szabályzatkivételeket kezelő folyamathoz.

Felelősség: Ügyfél

7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez

Útmutató: Azure Automation State Configuration egy konfigurációkezelési szolgáltatás Desired State Configuration (DSC) csomópontokhoz bármely felhőbeli vagy helyszíni adatközpontban. Ez lehetővé teszi a skálázhatóságot több ezer gép között gyorsan és egyszerűen egy központi, biztonságos helyről. Könnyedén előkészítheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a megadott állapotnak való megfelelőségét bemutató jelentéseket.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációs monitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-beli virtuális gépeken. Az automatizált konfiguráció további módszerei közé tartozik a Azure Automation State Configuration használata.

Felelősség: Ügyfél

7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez

Útmutató: Azure Automation State Configuration egy konfigurációkezelési szolgáltatás Desired State Configuration (DSC) csomópontokhoz bármely felhőbeli vagy helyszíni adatközpontban. Ez lehetővé teszi a skálázhatóságot több ezer gép között gyorsan és egyszerűen egy központi, biztonságos helyről. Könnyedén előkészítheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a megadott állapotnak való megfelelőségét bemutató jelentéseket.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. AuditIfNotExists, Disabled 3.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak AuditIfNotExists, Disabled 3.0.0
A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. AuditIfNotExists, Disabled 3.0.0

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával egyszerűsítheti és biztonságossá teheti a felhőalkalmazások titkos kódkezelését.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: A felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat az Azure-szolgáltatásoknak az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezne.

Felelősség: Ügyfél

7.13: A nem szándékos hitelesítő adatok expozíciójának megszüntetése

Útmutató: Hitelesítőadat-ellenőrző implementálása a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.1: Központilag felügyelt kártevőirtó szoftverek használata

Útmutató: Az azure-beli Windows rendszerű virtuális gépekhez készült Microsoft Antimalware használatával folyamatosan figyelheti és megvédheti erőforrásait. Egy harmadik féltől származó eszközre lesz szüksége a kártevők elleni védelemhez az Azure Linux rendszerű virtuális gépeken.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Az Endpoint Protection-megoldást telepíteni kell a virtuálisgép-méretezési csoportokra A virtuálisgép-méretezési csoportokon található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és biztonsági rések elleni védelem érdekében. AuditIfNotExists, Letiltva 3.0.0
Hiányzó Endpoint Protection monitorozása a Microsoft Defender for Cloudban A Microsoft Defender for Cloud javaslatként figyeli a telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat AuditIfNotExists, Letiltva 3.0.0

8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: A Windows rendszerű virtuális gépeken üzembe helyezett Microsoft Antimalware az Azure-hoz alapértelmezés szerint automatikusan telepíti a legújabb aláírás-, platform- és motorfrissítéseket. Kövesse a Microsoft Defender for Cloud javaslatait: "Compute & Apps", hogy az összes végpont naprakész legyen a legújabb aláírásokkal. A Windows operációs rendszer további biztonsági megoldásokkal is védhető, hogy korlátozza a vírus- vagy kártevőalapú támadások kockázatát a Microsoft Defender Advanced Threat Protection szolgáltatással, amely integrálható a Microsoft Defender for Cloud szolgáltatással.

Egy harmadik féltől származó eszközre lesz szüksége a kártevők elleni védelemhez az Azure Linux rendszerű virtuális gépeken.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Microsoft Antimalware az Azure-hoz úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva Microsoft Antimalware védelmi aláírások automatikus frissítésével. AuditIfNotExists, Letiltva 1.0.0

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Pillanatkép készítése a példányhoz csatlakoztatott Azure-beli virtuálisgép-méretezési csoport példányáról vagy felügyelt lemezéről PowerShell vagy REST API-k használatával. A biztonsági mentési szkripteket rendszeres időközönként Azure Automation is végrehajthatja.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Azure Backup engedélyezni kell a Virtual Machines Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 2.0.0

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Pillanatképek készítése az Azure-beli virtuális gépekről vagy az ezekhez a példányokhoz csatolt felügyelt lemezekről a PowerShell vagy REST API-k használatával. Az Azure Key Vault ügyfél által felügyelt kulcsok biztonsági mentése.

Engedélyezze Azure Backup és célKént az Azure Virtual Machines (VM), valamint a kívánt gyakoriságot és megőrzési időtartamot. Ez magában foglalja a rendszerállapot teljes biztonsági mentését. Ha Azure-beli lemeztitkosítást használ, az Azure-beli virtuális gép biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Compute:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Azure Backup engedélyezni kell a Virtual Machines Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 2.0.0

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: A felügyelt lemez adat-visszaállításának rendszeres végrehajtásának biztosítása Azure Backup belül. Ha szükséges, tesztelje a tartalom visszaállítását egy elkülönített virtuális hálózatra vagy előfizetésre. Az ügyfél teszteli az ügyfél által felügyelt biztonsági mentési kulcsok visszaállítását.

Ha Azure-beli lemeztitkosítást használ, a lemeztitkosítási kulcsokkal visszaállíthatja a virtuálisgép-méretezési csoportokat. Lemeztitkosítás használatakor visszaállíthatja az Azure-beli virtuális gépet a lemeztitkosítási kulcsokkal.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Felügyelt lemez törlés elleni védelmének engedélyezése zárolásokkal. Engedélyezze Soft-Delete és törölje a védelmet Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás keresésében vagy metrikájában, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett egyértelműen jelöljön meg előfizetéseket (például éles környezetben, nem prod) címkék használatával, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozók számára. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adatait egy jogellenes vagy jogosulatlan fél férte hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan az Azure-erőforrások védelme érdekében.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft előjegyzési szabályait annak ellenőrzéséhez, hogy a behatolási tesztek nem sértik-e a Microsoft szabályzatait. Használja a Microsoft stratégiáját és a Red Teaming és az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, szolgáltatásokon és alkalmazásokon.

Felelősség: Megosztott

Következő lépések