Beveiligingspostuur voor Microsoft Defender voor Cloud

Inleiding tot beveiligingsscore

Microsoft Defender voor Cloud heeft twee belangrijke doelen:

  • om u inzicht te geven in uw huidige beveiligingssituatie
  • om u te helpen uw beveiliging efficiënt en effectief te verbeteren

De centrale functie in Defender voor Cloud waarmee u deze doelen kunt bereiken, is de beveiligingsscore.

Defender voor Cloud beoordeelt voortdurend uw cross-cloudresources op beveiligingsproblemen. Vervolgens worden alle bevindingen tot één enkele score samengevoegd, zodat u in een oogopslag uw huidige beveiligingssituatie kunt zien: hoe hoger de score, hoe lager het geïdentificeerde risiconiveau is.

  • Op de Azure Portal pagina's wordt de beveiligingsscore weergegeven als een percentagewaarde en worden de onderliggende waarden ook duidelijk weergegeven:

    Overall secure score as shown in the portal.

  • In de mobiele Azure-app wordt de beveiligingsscore weergegeven als een percentagewaarde en kunt u op de beveiligingsscore tikken om de details te bekijken die de score verklaren:

    Overall secure score as shown in the Azure mobile app.

Als u uw beveiliging wilt verhogen, bekijkt u de pagina met aanbevelingen van Defender voor Cloud en herstelt u de aanbeveling door de herstelinstructies voor elk probleem te implementeren. Aanbevelingen zijn gegroepeerd in beveiligingscontroles. Elke controle is een logische groep gerelateerde beveiligingsaanaanvelingen en weerspiegelt uw kwetsbare kwetsbaarheid voor aanvallen. Uw score verbetert alleen wanneer u alle aanbevelingen voor één resource binnen een besturingselement herstelt. Als u wilt zien hoe goed uw organisatie elke afzonderlijke kwetsbaarheid voor aanvallen beveiligt, bekijkt u de scores voor elke beveiligingscontrole.

Zie Hoe uw beveiligingsscore hieronder wordt berekend voor meer informatie.

Uw beveiligingspostuur beheren

Op de pagina Beveiligingspostuur ziet u de beveiligingsscore voor uw hele abonnement en elke omgeving in uw abonnement. Standaard worden alle omgevingen weergegeven.

Screenshot of the security posture page.

Paginasectie Description
Screenshot showing the different environment options. Selecteer uw omgeving om de beveiligingsscore en details te bekijken. Meerdere omgevingen kunnen tegelijk worden geselecteerd. De pagina wordt hier gewijzigd op basis van uw selectie.
Screenshot of the environment section of the security posture page. Toont het totale aantal abonnementen, accounts en projecten dat van invloed is op uw algehele score. Het laat ook zien hoeveel beschadigde resources en hoeveel aanbevelingen er bestaan in uw omgevingen.

In de onderste helft van de pagina kunt u al uw afzonderlijke abonnementen, accounts en projecten bekijken en beheren door hun afzonderlijke beveiligingsscores, het aantal beschadigde resources te bekijken en zelfs hun aanbevelingen te bekijken.

U kunt deze sectie groeperen op omgeving door het selectievakje Groeperen op omgeving in te schakelen.

Screenshot of the bottom half of the security posture page.

Hoe uw beveiligingsscore wordt berekend

De bijdrage van elke beveiligingscontrole ten opzichte van de algehele beveiligingsscore wordt weergegeven op de pagina met aanbevelingen.

Microsoft Defender for Cloud's security controls and their impact on your secure score

Als u alle mogelijke punten voor een beveiligingscontrole wilt ophalen, moeten al uw resources voldoen aan alle beveiligingsaanaanvelingen binnen het beveiligingsbeheer. Defender voor Cloud heeft bijvoorbeeld meerdere aanbevelingen met betrekking tot het beveiligen van uw beheerpoorten. U moet ze allemaal herstellen om een verschil te maken in uw beveiligingsscore.

Voorbeeldscores voor een besturingselement

Screenshot showing how to apply system updates security control.

In dit voorbeeld:

  • Beveiligingsbeheer voor beveiligingsproblemen oplossen : dit besturingselement groepeert meerdere aanbevelingen met betrekking tot het detecteren en oplossen van bekende beveiligingsproblemen.

  • Maximumscore -

Het maximum aantal punten dat u kunt verkrijgen door alle aanbevelingen in een besturingselement uit te voeren. De maximale score voor een besturingselement geeft de relatieve betekenis van dat besturingselement aan en is voor elke omgeving vast. Gebruik de maximumscorewaarden om de problemen eerst te classificeren.
Zie Beveiligingsbesturingselementen en hun aanbevelingen voor een lijst met alle besturingselementen en hun maximumscores.

  • Huidige score -

    De huidige score voor dit besturingselement.
    Huidige score=[Score per resource]*[Aantal resources in orde].

    Elk besturingselement draagt bij aan de totale score. In dit voorbeeld draagt het besturingselement 2,00 punten bij aan de huidige totale beveiligingsscore.

  • Mogelijke scoreverhoging -

    De resterende punten die voor u beschikbaar zijn in het besturingselement. Als u alle aanbevelingen in dit besturingselement herstelt, neemt uw score met 9% toe.

    Mogelijke scoreverhoging=[Score per resource]*[Aantal beschadigde resources] of 0,1714 x 30 beschadigde resources = 5,14.

  • Insights -

    Geeft u extra informatie voor elke aanbeveling. Dit kan het volgende zijn:

    • Preview-aanbeveling: deze aanbeveling heeft geen invloed op uw beveiligingsscore totdat deze algemeen beschikbaar is.

    • Oplossing: op de pagina met aanbevelingsgegevens kunt u 'Fix' gebruiken om dit probleem op te lossen.

    • Afdwingen: vanaf de pagina met aanbevelingsgegevens kunt u automatisch een beleid implementeren om dit probleem op te lossen wanneer iemand een niet-compatibele resource maakt.

    • Weigeren- Vanaf de pagina met aanbevelingsgegevens kunt u voorkomen dat nieuwe resources met dit probleem worden gemaakt.

Berekeningen : inzicht krijgen in uw score

Metrisch Formule en voorbeeld
De huidige score van beveiligingsbeheer
Equation for calculating a security control's score.

Elke afzonderlijke beveiligingscontrole draagt bij aan de beveiligingsscore. Elke resource die wordt beïnvloed door een aanbeveling binnen het besturingselement, draagt bij aan de huidige score van het besturingselement. De huidige score voor elk besturingselement is een meting van de status van de resources binnen het besturingselement.
Tooltips showing the values used when calculating the security control's current score
In dit voorbeeld wordt de maximale score van 6 gedeeld door 78, omdat dat de som is van de resources in orde en beschadigd.
6 / 78 = 0,0769
Als u dit vermenigvuldigt met het aantal gezonde resources (4), resulteert dit in de huidige score:
0,0769 * 4 = 0,31

Beveiligingsscore
Eén abonnement of connector

Equation for calculating a subscription's secure score

Single subscription secure score with all controls enabled
In dit voorbeeld is er één abonnement of connector met alle beschikbare besturingselementen voor beveiliging (een mogelijke maximumscore van 60 punten). De score toont 28 punten van een mogelijke 60 punten en de resterende 32 punten worden weerspiegeld in de cijfers 'Potentiële scoreverhoging' van de beveiligingscontroles.
List of controls and the potential score increase
Deze vergelijking is dezelfde vergelijking voor een connector, waarbij alleen het woordabonnement wordt vervangen door de woordconnector.
Beveiligingsscore
Meerdere abonnementen en connectors

Equation for calculating the secure score for multiple subscriptions.

Bij het berekenen van de gecombineerde score voor meerdere abonnementen en connectors bevat Defender voor Cloud een gewicht voor elk abonnement en elke connector. De relatieve gewichten voor uw abonnementen en connectors worden bepaald door Defender voor Cloud op basis van factoren zoals het aantal resources.
De huidige score voor elk abonnement, een dn-connector wordt op dezelfde manier berekend als voor één abonnement of connector, maar vervolgens wordt het gewicht toegepast zoals weergegeven in de vergelijking.
Wanneer u meerdere abonnementen en connectors bekijkt, evalueert de beveiligingsscore alle resources binnen alle ingeschakelde beleidsregels en groepeert de gecombineerde impact op de maximale score van elk beveiligingsbeheer.
Secure score for multiple subscriptions with all controls enabled
De gecombineerde score is geen gemiddelde; in plaats daarvan is het de geëvalueerde houding van de status van alle resources in alle abonnementen en connectors.

Als u hier ook naar de pagina met aanbevelingen gaat en de mogelijke beschikbare punten optellen, zult u merken dat dit het verschil is tussen de huidige score (22) en de maximale score die beschikbaar is (58).

Welke aanbevelingen worden opgenomen in de berekeningen van de beveiligingsscore?

Alleen ingebouwde aanbevelingen hebben invloed op de beveiligingsscore.

Aanbevelingen gemarkeerd als preview worden niet opgenomen in de berekeningen van uw beveiligingsscore. Ze moeten, waar mogelijk, nog steeds worden hersteld. Wanneer de preview-periode is afgelopen, worden ze dus meegerekend in uw score.

Een voorbeeld van een preview-aanbeveling:

Recommendation with the preview flag.

Uw secure score verbeteren

Als u uw beveiligingsscore wilt verbeteren, herstelt u beveiligingsaankopen uit uw lijst met aanbevelingen. U kunt elke aanbeveling handmatig herstellen voor elke resource of de optie Fix (indien beschikbaar) gebruiken om een probleem op meerdere resources snel op te lossen. Zie Aanbevelingen herstellen voor meer informatie.

U kunt ook de opties afdwingen en weigeren configureren voor de relevante aanbevelingen om uw score te verbeteren en ervoor te zorgen dat uw gebruikers geen resources maken die uw score negatief beïnvloeden. Meer informatie vindt u in Onjuiste configuraties voorkomen met de aanbevelingen voor afdwingen/weigeren.

Beveiligingscontroles en hun aanbevelingen

In de onderstaande tabel ziet u de beveiligingsbesturingselementen in Microsoft Defender voor Cloud. Voor elk besturingselement ziet u het maximum aantal punten dat u aan uw beveiligingsscore kunt toevoegen als u alle aanbevelingen in het besturingselement herstelt voor al uw resources.

De set beveiligingsaanvelingen die worden geleverd met Defender voor Cloud is afgestemd op de beschikbare resources in de omgeving van elke organisatie. U kunt beleidsregels uitschakelen en specifieke resources uitsluiten van een aanbeveling om de aanbevelingen verder aan te passen.

We raden elke organisatie aan zorgvuldig hun toegewezen Azure Policy initiatieven te beoordelen.

Tip

Zie Werken met beveiligingsbeleid voor meer informatie over het controleren en bewerken van uw initiatieven.

Hoewel het standaardbeveiligingsinitiatief van Defender voor Cloud is gebaseerd op aanbevolen procedures en standaarden voor de branche, zijn er scenario's waarin de hieronder vermelde ingebouwde aanbevelingen mogelijk niet volledig passen bij uw organisatie. Het is soms nodig om het standaardinitiatief aan te passen, zonder de beveiliging in gevaar te brengen, om ervoor te zorgen dat het is afgestemd op het eigen beleid, de industriestandaarden, regelgevingsstandaarden en benchmarks.

Beveiligingsscore Beveiligingsbeheer en beschrijving Aanbevelingen
10 MFA inschakelen : Defender voor Cloud plaatst een hoge waarde op meervoudige verificatie (MFA). Gebruik deze aanbevelingen om de gebruikers van uw abonnementen te beveiligen.
Er zijn drie manieren om MFA in te schakelen en te voldoen aan de aanbevelingen: standaardinstellingen voor beveiliging, toewijzing per gebruiker, beleid voor voorwaardelijke toegang. Meer informatie over deze opties vindt u in MFA-afdwinging beheren voor uw abonnementen.
- MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen
- MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement
- MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen
- MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnement
8 Beveiligde beheerpoorten - Beveiligingsaanvallen richten zich vaak op beheerpoorten. Gebruik deze aanbevelingen om uw blootstelling te verminderen met hulpprogramma's zoals Just-In-Time-VM-toegang en netwerkbeveiligingsgroepen. - Internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
- Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer
- Beheerpoorten moeten worden gesloten op uw virtuele machines
6 Systeemupdates toepassen : het niet toepassen van updates laat ongepatchte beveiligingsproblemen achter en resulteert in omgevingen die vatbaar zijn voor aanvallen. Gebruik deze aanbevelingen om operationele efficiëntie te behouden, beveiligingsproblemen te verminderen en een stabielere omgeving te bieden voor uw eindgebruikers. Als u systeemupdates wilt implementeren, kunt u de oplossing Updatebeheer gebruiken om patches en updates voor uw machines te beheren. - Log Analytics-agent moet worden geïnstalleerd op Linux-computers met Azure Arc
- Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets
- Log Analytics-agent moet worden geïnstalleerd op virtuele machines
- Log Analytics-agent moet worden geïnstalleerd op Windows machines met Azure Arc
- Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd
- Systeemupdates moeten op uw computers worden geïnstalleerd
- Systeemupdates moeten op uw computers worden geïnstalleerd (mogelijk gemaakt door Update Center)
6 Beveiligingsproblemen oplossen: Defender voor Cloud bevat meerdere scanners voor evaluatie van beveiligingsproblemen om uw machines, databases en containerregisters te controleren op zwakke plekken die bedreigingsactoren kunnen gebruiken. Gebruik deze aanbevelingen om deze scanners in te schakelen en hun bevindingen te controleren.
Meer informatie over het scannen van machines, SQL servers en containerregisters.
- [Preview] Kubernetes-clusters moeten de implementatie van kwetsbare installatiekopieën gateen
- Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
- Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
- Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
- Installatiekopieën van containerregisters moeten gevonden beveiligingsproblemen hebben opgelost
- Machines moeten een oplossing voor evaluatie van beveiligingsproblemen hebben
- Op computers moeten de resultaten van beveiligingsproblemen zijn opgelost
- Beveiligingsproblemen bij het uitvoeren van containerinstallatiekopieën moeten worden hersteld (mogelijk gemaakt door Qualys)
4 Gegevens tijdens overdracht versleutelen : gebruik deze aanbevelingen om gegevens te beveiligen die worden verplaatst tussen onderdelen, locaties of programma's. Dergelijke gegevens zijn vatbaar voor man-in-the-middle-aanvallen, afluisteren en sessiekapping. - API-app mag alleen toegankelijk zijn via HTTPS
- SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers
- SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers
- FTPS moet vereist zijn in API-apps
- FTPS moet vereist zijn in functie-apps
- FTPS moet vereist zijn in web-apps
- Functie-app mag alleen toegankelijk zijn via HTTPS
- Redis Cache mag alleen toegang toestaan via SSL
- Veilige overdracht naar opslagaccounts moet zijn ingeschakeld
- TLS moet worden bijgewerkt naar de nieuwste versie voor API-apps
- TLS moet worden bijgewerkt naar de nieuwste versie voor functie-apps
- TLS moet worden bijgewerkt naar de nieuwste versie voor web-apps
- Webtoepassing mag alleen toegankelijk zijn via HTTPS
4 Onbevoegde netwerktoegang beperken : Azure biedt een reeks hulpprogramma's die zijn ontworpen om ervoor te zorgen dat toegang tot uw netwerk voldoet aan de hoogste beveiligingsstandaarden.
Gebruik deze aanbevelingen om de adaptieve netwerkbeveiligingsinstellingen van Defender voor Cloud te beheren, zorg ervoor dat u Azure Private Link hebt geconfigureerd voor alle relevante PaaS-services, Azure Firewall inschakelen in uw virtuele netwerken en meer.
- Aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines
- Alle netwerkpoorten moeten worden beperkt op netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine
- Voor App Configuration moeten privékoppelingen worden gebruikt
- Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
- Azure Cache voor Redis moet zich in een virtueel netwerk bevinden
- Voor Azure Event Grid-domeinen moet Private Link worden gebruikt
- Voor Azure Event Grid-onderwerpen moete Private Link worden gebruikt
- Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
- Voor Azure Machine Learning-werkruimten moet Private Link worden gebruikt
- Voor Azure SignalR Service moet Private Link worden gebruikt
- Azure Spring Cloud moet netwerkinjectie gebruiken
- Containerregisters mogen geen onbeperkte netwerktoegang toestaan
- Voor containerregisters moet Private Link worden gebruikt
- Containers mogen alleen luisteren naar toegestane poorten
- CORS mag niet toestaan dat elke resource toegang heeft tot API-apps
- CORS mag niet toestaan dat elke resource toegang heeft tot functie-apps
- CORS mag niet toestaan dat elke resource toegang heeft tot webtoepassingen
- De firewall moet zijn ingeschakeld in Key Vault
- Internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
- Doorsturen via IP op uw virtuele machine moet worden uitgeschakeld
- Kubernetes API-server moet worden geconfigureerd met beperkte toegang
- Er moet een privé-eindpunt worden geconfigureerd voor Key Vault
- Het privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers
- Het privé-eindpunt moet zijn ingeschakeld voor MySQL-servers
- Het privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers
- Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers
- Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers
- Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers
- Services mogen alleen luisteren naar toegestane poorten
- Voor een opslagaccount moet een Private Link-verbinding worden gebruikt
- Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken
- Het gebruik van hostnetwerken en -poorten moet worden beperkt
- Virtuele netwerken moeten worden beveiligd door Azure Firewall
- Voor VM Image Builder-sjablonen moet Private Link worden gebruikt
4 Versleuteling at rest inschakelen - Gebruik deze aanbevelingen om ervoor te zorgen dat u onjuiste configuraties beperkt rond de beveiliging van uw opgeslagen gegevens. - Service Fabric clusters moeten de eigenschap ClusterProtectionLevel hebben ingesteld op EncryptAndSign
- Transparent Data Encryption op SQL databases moet zijn ingeschakeld
- Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen Compute- en Storage-resources versleutelen
4 Toegang en machtigingen beheren - Een belangrijk onderdeel van een beveiligingsprogramma is ervoor te zorgen dat uw gebruikers de benodigde toegang hebben om hun taken uit te voeren, maar niet meer dan dat: het model met minimale bevoegdheden. Gebruik deze aanbevelingen om uw identiteits- en toegangsvereisten te beheren. - Verificatie voor Linux-machines moet SSH-sleutels vereisen
- Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
- Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
- Container met escalatie van bevoegdheden moet worden vermeden
- Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
- Afgeschafte accounts moeten worden verwijderd uit abonnementen
- Afgeschafte accounts moeten worden verwijderd uit uw abonnement
- Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen
- Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement
- Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen
- Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement
- Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen
- Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement
- Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld
- Gastconfiguratie-extensie moet worden geïnstalleerd op computers
- Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
- De minst bevoegde Linux-mogelijkheden moeten worden afgedwongen voor containers
- Beheerde identiteit moet worden gebruikt in API-apps
- Beheerde identiteit moet worden gebruikt in functie-apps
- Beheerde identiteit moet worden gebruikt in web-apps
- Bevoegde containers moeten worden vermeden
- Role-Based Access Control moet worden gebruikt in Kubernetes Services
- Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
- Service Fabric clusters mogen alleen Azure Active Directory gebruiken voor clientverificatie
- Service-principals moeten worden gebruikt om uw abonnementen te beveiligen in plaats van beheercertificaten
- openbare toegang van Storage account moet niet zijn toegestaan
- Het gebruik van pod HostPath-volumekoppelingen moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken vanuit gecompromitteerde containers
- De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
4 Beveiligingsconfiguraties herstellen : onjuist geconfigureerde IT-assets hebben een hoger risico dat ze worden aangevallen. Gebruik deze aanbevelingen om de geïdentificeerde onjuiste configuraties in uw infrastructuur te beperken. - Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
- Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
- Containerhosts moeten veilig worden geconfigureerd
- Log Analytics-agent moet worden geïnstalleerd op Linux-machines met Azure Arc
- Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets
- Log Analytics-agent moet worden geïnstalleerd op virtuele machines
- Log Analytics-agent moet worden geïnstalleerd op Windows op azure Arc gebaseerde machines
- Machines moeten veilig worden geconfigureerd
- Overschrijven of uitschakelen van containers AppArmor-profiel moet worden beperkt
- Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services (afgeschaft)
- SQL databases moeten gevonden beveiligingsproblemen hebben opgelost
- SQL beheerde exemplaren moeten een evaluatie van beveiligingsproblemen hebben geconfigureerd
- SQL servers op computers moeten gevonden beveiligingsproblemen hebben opgelost
- SQL servers moeten de evaluatie van beveiligingsproblemen hebben geconfigureerd
- Virtuele-machineschaalsets moeten veilig worden geconfigureerd
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
3 Adaptieve toepassingsbeheer toepassen - Adaptief toepassingsbeheer is een intelligente, geautomatiseerde, end-to-end oplossing om te bepalen welke toepassingen op uw computers kunnen worden uitgevoerd. Het helpt ook om uw machines te beveiligen tegen malware. - Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw machines
- Acceptatielijstregels in uw adaptieve toepassingsbeheerbeleid moeten worden bijgewerkt
- Log Analytics-agent moet worden geïnstalleerd op Linux-machines met Azure Arc
- Log Analytics-agent moet worden geïnstalleerd op virtuele machines
- Log Analytics-agent moet worden geïnstalleerd op Windows op azure Arc gebaseerde machines
2 Uw toepassingen beveiligen met geavanceerde Netwerkoplossingen van Azure - - Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
- Azure DDoS Protection Standard moet zijn ingeschakeld
- Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
- Cpu- en geheugenlimieten voor containers moeten worden afgedwongen
- WAF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway
- Web Application Firewall (WAF) moet zijn ingeschakeld voor azure Front Door Service
2 Endpoint Protection inschakelen: Defender voor Cloud controleert de eindpunten van uw organisatie op actieve oplossingen voor detectie en reactie van bedreigingen, zoals Microsoft Defender voor Eindpunt of een van de belangrijkste oplossingen die in deze lijst worden weergegeven.
Wanneer er geen oplossing voor eindpuntdetectie en -respons (EDR) wordt gevonden, kunt u deze aanbevelingen gebruiken om Microsoft Defender voor Eindpunt te implementeren (opgenomen als onderdeel van Microsoft Defender voor servers).
Andere aanbevelingen in dit besturingselement helpen u bij het implementeren van de Log Analytics-agent en het configureren van bewaking van bestandsintegriteit.
- Statusproblemen met Endpoint Protection op computers moeten worden opgelost
- Statusproblemen met Endpoint Protection op computers moeten worden opgelost
- Statusproblemen met Endpoint Protection in virtuele-machineschaalsets moeten worden opgelost
- Endpoint Protection moet worden geïnstalleerd op computers
- Endpoint Protection moet worden geïnstalleerd op computers
- Endpoint Protection moet worden geïnstalleerd op virtuele-machineschaalsets
- Bewaking van bestandsintegriteit moet zijn ingeschakeld op servers
- Endpoint Protection-oplossing installeren op virtuele machines
- Log Analytics-agent moet worden geïnstalleerd op Linux-machines met Azure Arc
- Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets
- Log Analytics-agent moet worden geïnstalleerd op virtuele machines
- Log Analytics-agent moet worden geïnstalleerd op Windows op azure Arc gebaseerde machines
1 Controle en logboekregistratie inschakelen : gedetailleerde logboeken vormen een cruciaal onderdeel van incidentonderzoeken en vele andere probleemoplossingsbewerkingen. De aanbevelingen in dit besturingselement zijn gericht op het controleren of u waar relevant ook diagnostische logboeken hebt ingeschakeld. - Controle op SQL server moet zijn ingeschakeld
- Diagnostische logboeken in App Service moeten zijn ingeschakeld
- Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld
- Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld
- Diagnostische logboeken in Batch-accounts moeten zijn ingeschakeld
- Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld
- Diagnostische logboeken in Event Hub moeten zijn ingeschakeld
- Diagnostische logboeken in Key Vault moeten zijn ingeschakeld
- Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld
- Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld
- Diagnostische logboeken in zoekservices moeten zijn ingeschakeld
- Diagnostische logboeken in Service Bus moeten zijn ingeschakeld
- Diagnostische logboeken in Virtual Machine Scale Sets moeten zijn ingeschakeld
0 Best practices voor beveiliging implementeren : dit besturingselement heeft geen invloed op uw beveiligingsscore. Daarom is het een verzameling aanbevelingen die belangrijk zijn om te voldoen in het belang van de beveiliging van uw organisatie, maar die we vinden dat we geen deel moeten uitmaken van hoe u uw algehele score beoordeelt. - [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien vereist] Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien vereist] MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- [Inschakelen indien vereist] PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] SQL beheerde exemplaren moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] SQL servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- [Inschakelen indien vereist] Storage accounts moeten CMK (Door de klant beheerde sleutel) gebruiken voor versleuteling
- Er moeten maximaal 3 eigenaren worden aangewezen voor abonnementen
- Toegang tot opslagaccounts met firewall- en virtuele netwerkconfiguraties moet worden beperkt
- Alle advanced threat protection-typen moeten zijn ingeschakeld in SQL geavanceerde instellingen voor gegevensbeveiliging van beheerde exemplaren
- Alle advanced threat protection-typen moeten zijn ingeschakeld in SQL geavanceerde instellingen voor gegevensbeveiliging van de server
- API Management services moeten een virtueel netwerk gebruiken
- Retentie voor controle voor SQL-servers moet zijn ingesteld op minstens 90 dagen
- Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen
- Automation-accountvariabelen moeten worden versleuteld
- Azure Backup moet zijn ingeschakeld voor virtuele machines
- Azure Cosmos DB-accounts moeten firewallregels hebben
- Cognitive Services-accounts moeten gegevensversleuteling inschakelen
- Cognitive Services-accounts moeten netwerktoegang beperken
- Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen
- Standaard IP-filterbeleid moet weigeren zijn
- Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld
- E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
- E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
- Zorg ervoor dat de API-app clientcertificaten voor binnenkomende clientcertificaten heeft ingesteld op Aan
- Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen
- Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL
- De Gast Attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets
- De Gast Attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines
- De Gast Attestation-extensie moet worden geïnstalleerd op ondersteunde Windows virtuele-machineschaalsets
- De extensie Gastverklaring moet worden geïnstalleerd op ondersteunde Windows virtuele machines
- De extensie gastconfiguratie moet worden geïnstalleerd op computers
- Identieke verificatiereferenties
- IoT-apparaten - Agent die onderbenutte berichten verzendt
- IoT-apparaten - Gecontroleerd proces is gestopt met het verzenden van gebeurtenissen
- IoT-apparaten - Poorten openen op apparaat
- IoT-apparaten - Validatiefout van besturingssysteembasislijn
- IoT-apparaten - Permissief firewallbeleid in een van de ketens is gevonden
- IoT-apparaten - Permissieve firewallregel in de invoerketen is gevonden
- IoT-apparaten - Permissieve firewallregel in de uitvoerketen is gevonden
- IoT-apparaten - Upgrade van TLS-coderingssuite nodig
- IP-filterregel groot IP-bereik
- Java moet worden bijgewerkt naar de nieuwste versie voor API-apps
- Java moet worden bijgewerkt naar de nieuwste versie voor functie-apps
- Java moet worden bijgewerkt naar de nieuwste versie voor web-apps
- Key Vault sleutels een vervaldatum moeten hebben
- Key Vault geheimen een vervaldatum moeten hebben
- Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen
- Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
- Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS
- Kubernetes-clusters moeten automatisch gekoppelde API-referenties uitschakelen
- Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
- Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken
- Virtuele Linux-machines moeten validatie van handtekening van kernelmodules afdwingen
- Virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken
- Virtuele Linux-machines moeten Beveiligd opstarten gebruiken
- Machines moeten opnieuw worden opgestart om beveiligingsupdates toe te passen
- MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen
- MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement
- Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL servers
- Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL beheerde exemplaren
- Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines
- Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op Windows virtuele machines
- Network Watcher moet zijn ingeschakeld
- Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
- PHP moet worden bijgewerkt naar de nieuwste versie voor API-apps
- PHP moet worden bijgewerkt naar de nieuwste versie voor web-apps
- Privé-eindpuntverbindingen op Azure SQL Database moeten zijn ingeschakeld
- Openbare netwerktoegang op Azure SQL Database moet worden uitgeschakeld
- Openbare netwerktoegang moet worden uitgeschakeld voor Cognitive Services-accounts
- Python moet worden bijgewerkt naar de nieuwste versie voor API-apps
- Python moet worden bijgewerkt naar de nieuwste versie voor functie-apps
- Python moet worden bijgewerkt naar de nieuwste versie voor web-apps
- Externe foutopsporing moet worden uitgeschakeld voor API-app
- Externe foutopsporing moet worden uitgeschakeld voor functie-app
- Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen
- Beveiligd opstarten moet zijn ingeschakeld op ondersteunde Windows virtuele machines
- SQL servers moeten een Azure Active Directory beheerder hebben ingericht
- Storage accounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
- Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep
- Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten
- Er moet meer dan één eigenaar zijn toegewezen aan abonnementen
- Geldigheidsperiode van certificaten die zijn opgeslagen in Azure Key Vault mag niet langer zijn dan 12 maanden
- Status van gastverklaring van virtuele machines moet in orde zijn
- Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
- De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
- vTPM moet zijn ingeschakeld op ondersteunde virtuele machines
- Web-apps moeten een SSL-certificaat aanvragen voor alle inkomende aanvragen
- Windows Defender Exploit Guard moet zijn ingeschakeld op computers
- Windows webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen
0 Verbeterde beveiligingsfuncties inschakelen : gebruik deze aanbevelingen om een van de verbeterde beveiligingsfunctiesplannen in te schakelen. - Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd
- Azure Kubernetes Service clusters moeten Defender-profiel hebben ingeschakeld
- Microsoft Defender voor App Service moet zijn ingeschakeld
- Microsoft Defender voor Azure SQL Database servers moet zijn ingeschakeld
- Microsoft Defender for Containers moet zijn ingeschakeld
- Microsoft Defender voor DNS moet zijn ingeschakeld
- Microsoft Defender voor Key Vault moet zijn ingeschakeld
- Microsoft Defender voor opensource-relationele databases moet zijn ingeschakeld
- Microsoft Defender voor Resource Manager moet zijn ingeschakeld
- Microsoft Defender voor servers moet zijn ingeschakeld
- Microsoft Defender voor servers moet zijn ingeschakeld voor werkruimten
- Microsoft Defender voor SQL op computers moet zijn ingeschakeld in werkruimten
- Microsoft Defender voor SQL servers op computers moeten zijn ingeschakeld
- Microsoft Defender voor Storage moet zijn ingeschakeld

Veelgestelde vragen - Beveiligingsscore

Als ik slechts drie van de vier aanbevelingen in een beveiligingsbeheer adresseert, verandert mijn beveiligingsscore?

Nee. Het verandert pas wanneer u alle aanbevelingen voor één resource herstelt. Als u de maximale score voor een besturingselement wilt ophalen, moet u alle aanbevelingen voor alle resources herstellen.

Als een aanbeveling niet van toepassing is op mij en ik deze uitschakel in het beleid, wordt mijn beveiligingsbeheer voldaan en wordt mijn beveiligingsscore bijgewerkt?

Ja. We raden u aan aanbevelingen uit te schakelen wanneer ze niet kunnen worden toegepast in uw omgeving. Zie Beveiligingsbeleid uitschakelen voor instructies over het uitschakelen van een specifieke aanbeveling.

Als een beveiligingscontrole mij nul punten biedt voor mijn beveiligingsscore, moet ik dit negeren?

In sommige gevallen ziet u een maximale score voor besturingselementen die groter is dan nul, maar de impact is nul. Wanneer de incrementele score voor het oplossen van resources verwaarloosbaar is, wordt deze afgerond op nul. Negeer deze aanbevelingen niet omdat ze nog steeds beveiligingsverbeteringen brengen. De enige uitzondering is het besturingselement 'Aanvullende best practice'. Het oplossen van deze aanbevelingen verhoogt uw score niet, maar verbetert uw algehele beveiliging.

Volgende stappen

In dit artikel worden de beveiligingsscore en de meegeleverde beveiligingscontroles beschreven.

Raadpleeg de volgende artikelen voor gerelateerd materiaal: