Garis besar keamanan Azure untuk Pusat Aktivitas

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 ke Azure Event Hubs. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk Pusat Aktivitas.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Event Hubs, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat bagaimana Azure Event Hubs memetakan sepenuhnya ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan Azure Event Hubs lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Azure Event Hubs tidak mendukung penyebaran langsung ke jaringan virtual. Anda tidak dapat menggunakan fitur jaringan tertentu dengan sumber daya penawaran seperti kelompok keamanan jaringan (NSG), tabel rute, atau appliance lain yang bergantung pada jaringan seperti Azure Firewall.

Gunakan Microsoft Sentinel untuk menemukan penggunaan protokol lama yang tidak aman seperti:

  • SSL/TLSv1

  • SMBv1

  • LM/NTLMv1

  • wDigest, Ikatan LDAP yang tidak ditandatangani

  • Sandi lemah di Kerberos

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung jawab: Microsoft

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke Azure Event Hubsdari jaringan virtual Anda tanpa melintasi internet.

Gunakan titik akhir layanan Microsoft Azure Virtual Network untuk menyediakan akses aman ke Azure Event Hubs. Gunakan rute yang dioptimalkan melalui jaringan backbone Azure tanpa melintasi internet.

Akses privat adalah ukuran pertahanan mendalam lainnya untuk autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Tag Layanan Azure Virtual Network untuk menentukan kontrol akses jaringan pada NSG atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Event Hubs Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan di bidang sumber atau tujuan yang sesuai dari suatu aturan. Dengan demikian, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Ikuti praktik terbaik untuk keamanan DNS guna mengurangi terhadap serangan umum seperti:

  • DNS menggantung

  • Serangan amplifikasi DNS

  • Keracunan DNS

  • Spoofing

  • Dan seterusnya

Saat Anda menggunakan Azure DNS sebagai layanan DNS otoritatif Anda, pastikan zona DNS dan rekaman dilindungi dari modifikasi yang tidak disengaja atau berbahaya. Gunakan Kontrol Akses Berbasis Peran Azure (RBAC) dan kunci sumber daya.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Event Hubs menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Lakukan standardisasi pada Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • VM Linux dan Windows Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal. Pengguna tanpa akun Microsoft dapat masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure Event Hubs mendukung identitas terkelola untuk sumber daya Azure-nya. Gunakan identitas terkelola dengan Azure Event Hubs alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain. Azure Event Hubs dapat mengautentikasi secara asli ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD. Autentikasi didukung melalui aturan pemberian akses yang telah ditentukan sebelumnya. Autentikasi ini tidak menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Azure Event Hubs merekomendasikan penggunaan Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan kembali ke rahasia klien. Dalam kedua kasus, Azure Key Vault dapat digunakan dengan identitas yang dikelola Azure sehingga lingkungan runtime seperti fungsi Azure dapat mengambil info masuk dari brankas kunci.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Event Hubs menggunakan identitas Azure AD dan manajemen akses untuk sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Identitas termasuk identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok.

Azure AD menyediakan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Azure AD menawarkan akses yang mulus dan aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Event Hubs menggunakan akun Azure AD untuk mengelola sumber dayanya. Tinjau akun pengguna dan akses penugasan secara teratur untuk memastikan akun dan akses pengguna valid. Anda dapat menggunakan Azure AD dan tinjauan akses untuk mengulas keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat membuat alur kerja laporan tinjauan akses di Azure AD Privileged Identity Management (PIM) untuk memudahkan proses peninjauan.

Anda dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika ada terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif.

Gunakan Azure AD, Microsoft Defender ATP, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

  • Autentikasi kuat

  • Garis besar perangkat lunak dan perangkat keras

  • Akses jaringan dan logis yang dibatasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Event Hubs terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.

Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk memberikan izin, dan hanya buat peran khusus jika diperlukan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Menggunakan peran bawaan biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat mengindikasikan penyelundupan data yang tidak sah.

Microsoft Defender untuk Storage dan Microsoft Defender untuk SQL dapat memberi tahu tentang transfer informasi anomali yang mungkin mengindikasikan transfer informasi sensitif yang tidak sah.

Microsoft Azure Information Protection (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.

Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif dan pencegahan untuk mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Sebaiknya gunakan TLS v1.1 atau lebih besar. Meskipun Azure Event Hubs masih mendukung TLS 1.0 untuk pelanggan yang masih menjalankan bisnis dengan protokol yang lebih lemah untuk kompatibilitas mundur, sangat disarankan untuk menghindari penggunaannya.

Tanggung Jawab: Pelanggan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Azure Event Hubs mengenkripsi data tidak aktif untuk melindungi dari serangan out-of-band, seperti mengakses penyimpanan yang mendasarinya, dengan menggunakan enkripsi. Enkripsi membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda memiliki opsi untuk menerapkan enkripsi tambahan saat tidak aktif ke semua sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default untuk Azure VMware Solution. Azure tidak memberikan opsi bagi Anda untuk mengelola kunci yang dikelola pelanggan Anda sendiri.

Azure Event Hubs mendukung opsi mengenkripsi data tidak aktif dengan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan. Fitur ini memungkinkan Anda membuat, memutar, menonaktifkan, dan mencabut akses ke kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi data tidak aktif Azure Event Hubs.

Tanggung Jawab: Dibagikan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin Pembaca Keamanan kepada tim keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Pembaca Keamanan secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Azure Event Hubs. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai input untuk terus meningkatkan keamanan. Buat grup Azure AD untuk berisi tim keamanan resmi organisasi Anda. Tetapkan akses baca kepada mereka ke semua sumber daya Azure Event Hubs. Anda dapat menyederhanakan proses dengan menggunakan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Azure VM untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada VM. Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mendapatkan akses ke tanggal pemasangan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Peristiwa Windows ke Ruang Kerja Log Analytics.

Azure Event Hubs tidak mengizinkan menjalankan aplikasi atau penginstalan perangkat lunak pada sumber dayanya. Jelaskan fitur lain dalam penawaran Anda yang memungkinkan atau mendukung fungsi ini, sebagaimana berlaku.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat mereka mendeteksi layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Gunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud. Aktifkan Microsoft Defender untuk sumber daya Azure Event Hubs Anda. Microsoft Defender untuk Azure Event Hubs menyediakan lapisan tambahan kecerdasan keamanan. Microsoft Defender mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Azure Event Hubs.

Teruskan log apa pun dari Azure Event Hubs ke SIEM Anda, yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat mengintegrasikan log dengan Azure Monitor, Microsoft Sentinel, atau SIEM lainnya dan alat pemantauan untuk kasus penggunaan pemantauan dan analitik yang lebih canggih.

  • Kredensial masuk - Informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai berisiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu seperti terlalu banyak upaya autentikasi yang gagal. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti mesin virtual, kontainer, dan layanan aplikasi.

  • Sumber daya data seperti Azure SQL Database dan Azure Storage.

  • Lapisan layanan Azure.

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Azure Event Hubs tidak dimaksudkan untuk disebarkan ke jaringan virtual. Anda tidak dapat mengaktifkan pengelogan aliran NSG, merutekan lalu lintas melalui firewall, atau melakukan pengambilan paket.

Aktifkan dan kumpulkan log sumber daya NSG, log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk mendukung analisis keamanan:

  • Investigasi insiden

  • Perburuan ancaman

  • Pembuatan peringatan keamanan

Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Azure Event Hubs mencatat semua lalu lintas jaringan yang diprosesnya untuk akses pelanggan. Aktifkan kemampuan alur jaringan dalam sumber daya penawaran yang Anda sebarkan.

Azure Event Hubs tidak menghasilkan atau memproses log kueri DNS.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua PUT, POST, dan DELETE, tetapi tidak GET, operasi untuk sumber daya Azure Event Hubs Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Azure Event Hubs. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

Azure Event Hubs juga menghasilkan log audit keamanan untuk akun administrator lokal. Aktifkan log audit admin lokal ini

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.EventHub:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Catatan sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda memiliki:

  • Pemilik data yang ditetapkan

  • Panduan akses

  • Lokasi penyimpanan

  • Alat yang Anda gunakan untuk memproses dan mengakses data

  • Persyaratan retensi data

Pastikan untuk mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda.

Serap log melalui Azure Monitor untuk menggabungkan data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik.

Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Selain itu, aktifkan dan masukkan data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Untuk aplikasi yang dapat berjalan di Azure Event Hubs, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Log Analytics yang Anda gunakan untuk menyimpan log Azure Event Hubs telah diatur periode retensi log. Jika Anda belum melakukannya, tetapkan periode retensi log sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Tidak berlaku. Azure Event Hubs tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri.

Layanan Azure Event Hubs bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak terpapar untuk dikonfigurasi pelanggan.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi. Definisi cetak biru tunggal dapat mencakup templat, kontrol RBAC, dan kebijakan Azure Resource Manager.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk memantau garis besar konfigurasi Anda. Gunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk mesin virtual dan kontainer.

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Tidak berlaku. Rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Tidak berlaku. Rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Tidak berlaku. Microsoft melakukan pengelolaan kerentanan pada sistem yang mendasari, yang mendukung Azure Event Hubs.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Melindungi Azure Event Hubs Anda dan sumber dayanya dengan perangkat lunak antimalware modern yang dikelola secara terpusat. Gunakan solusi antimalware titik akhir yang dikelola secara terpusat yang dapat melakukan pemindaian waktu nyata dan berkala.

  • Microsoft Antimalware untuk Azure Cloud Services adalah solusi antimalware default untuk VM Windows.

  • Untuk VM Linux, gunakan solusi antimalware pihak ketiga.

  • Gunakan Deteksi ancaman Microsoft Defender untuk Cloud layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

  • Gunakan Microsoft Defender untuk Cloud guna secara otomatis:

    • Mengidentifikasi beberapa solusi antimalware populer untuk VM Anda

    • Melaporkan status perlindungan titik akhir yang sedang berjalan

    • Membuat rekomendasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Pastikan untuk memperbarui tanda tangan antimalware dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud: Aplikasi & Komputasi" untuk memastikan semua titik akhir diperbarui dengan tanda tangan terbaru.

Untuk Windows, Microsoft Antimalware secara otomatis memasang tanda tangan terbaru dan pembaruan mesin secara default. Jika Anda bekerja di lingkungan Linux, gunakan solusi antimalware pihak ketiga.

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Azure Event Hubs mendukung pencadangan data melalui Zona Ketersediaan (Redundansi zona) dan replikasi multi-wilayah yang dikonfigurasi pengguna (Redundansi Geografis).

Tanggung Jawab: Dibagikan

BR-2: Mengenkripsi data cadangan

Panduan: Azure Event Hubs memberikan enkripsi data tidak aktif dengan Layanan Enkripsi Azure Storage (Azure SSE). Pusat Aktivitas mengandalkan Azure Storage untuk menyimpan data dan secara default, semua data yang disimpan dengan Azure Storage dienkripsi menggunakan kunci yang dikelola Microsoft. Jika Anda menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola pelanggan, pastikan pencadangan otomatis reguler kunci Anda. Pastikan pencadangan otomatis reguler Rahasia Key Vault Anda dengan perintah PowerShell berikut: Backup-AzKeyVaultSecret

Tanggung Jawab: Dibagikan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Secara berkala memastikan bahwa Anda dapat memulihkan kunci yang dikelola pelanggan yang dicadangkan.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki ukuran untuk mencegah dan memulihkan kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Langkah berikutnya