Azure-beveiligingsbasislijn voor Microsoft Defender for Identity

Deze beveiligingsbasislijn past richtlijnen van Azure Security Benchmark versie 2.0 toe op Microsoft Defender for Identity.

Waarschuwing

Dit artikel heeft betrekking op de Microsoft Defender for Identity klassieke portal, die nu is afgeschaft. Klanten worden nu automatisch omgeleid naar Microsoft 365 Defender.

Zie Microsoft Defender for Identity klassieke portaldocumentatie en Microsoft Defender for Identity in Microsoft 365 Defender voor meer informatie.

De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingsbesturingselementen die zijn gedefinieerd door de Azure Security Benchmark en de gerelateerde richtlijnen die van toepassing zijn op Microsoft Defenderfor Identity.

Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld, zodat u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark kunt meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Besturingselementen die niet van toepassing zijn op Microsoft Defender for Identity en besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Microsoft Defender for Identity volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Microsoft Defender for Identity toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall geconfigureerd voor uw Defender for Identity-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven (bijvoorbeeld: 'AzureAdvancedThreatProtection') in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels van de servicetag en werkt de servicetag automatisch bij wanneer adressen veranderen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Defender for Identity gebruikt Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault, PaaS en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen bij het beoordelen van de identiteitsbeveiligingspostuur ten opzichte van de aanbevelingen voor aanbevolen procedures van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder een Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: Defender for Identity heeft de volgende accounts met hoge bevoegdheden:

Globale beheerder

Beveiligingsbeheerder

Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op een verhoogd niveau, omdat gebruikers met deze bevoegdheid direct of indirect elke resource in uw Azure-omgeving kunnen lezen en wijzigen.

U kunt bevoegde JIT-toegang (Just-In-Time) tot Azure-resources en Azure Active Directory (Azure AD) inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Defender for Identity gebruikt Azure Active Directory-accounts (Azure AD) voor het beheren van de resources, het controleren van gebruikersaccounts en het regelmatig toewijzen van toegang om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor een toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Bovendien kan Azure Privileged Identity Management ook worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory, Microsoft Defender voor Eindpunt en/of Microsoft Intune om een veilig en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Defender for Identity beveiligt gevoelige gegevens door de toegang te beperken met behulp van Azure Active Directory-rollen (Azure AD).

Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf. De bedrijfssegmentatiestrategie moet ook worden geïnformeerd door de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform, dat wordt beheerd door Microsoft, geldt dat alle klantinhoud als gevoelig wordt beschouwd en dat gegevens worden beschermd tegen verlies en blootstelling. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, implementeert Microsoft standaardbesturingselementen en -mogelijkheden voor gegevensbeveiliging.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Ter aanvulling op toegangscontroles moeten gegevens die onderweg zijn, worden beveiligd tegen out-of-band-aanvallen (bijvoorbeeld verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Defender for Identity ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, kunnen onderhandelen over TLS v1.2 of hoger. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen, en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden overgedragen tussen Azure-datacenters.

Verantwoordelijkheid: Microsoft

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Defender for Identity data-at-rest om te beschermen tegen out-of-band-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: zorg ervoor dat beveiligingsteams beveiligingslezermachtigingen krijgen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor cloud.

Afhankelijk van hoe de verantwoordelijkheden van het beveiligingsteam zijn gestructureerd, kan bewaking op beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Defender for Identity kan u op de hoogte stellen wanneer verdachte activiteiten worden gedetecteerd door beveiligings- en statuswaarschuwingen naar uw Syslog-server te verzenden via een benoemde sensor. Stuur alle logboeken van Defender for Identity door naar uw SIEM die kunnen worden gebruikt voor het instellen van aangepaste detecties van bedreigingen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven voor analisten te verminderen. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD-rapportage of kunnen worden geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers

  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in resources binnen Azure AD zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.

  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.

  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender for Cloud kan ook waarschuwen voor bepaalde verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen, afgeschafte accounts in het abonnement. Naast de basisbewaking van de beveiligingshygiëne kunt u met de threat protection-module van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app-service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u accountafwijkingen in de afzonderlijke resources zien.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die zijn gegenereerd door eindpuntapparaten, netwerkresources en andere beveiligingssystemen. Gebruik in Azure Monitor Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren, en gebruik Azure Storage-accounts voor langetermijnopslag en archiveringsopslag.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Defender for Identity biedt aan om alle beveiligingsgerelateerde logboeken door te sturen naar uw SIEM voor gecentraliseerd beheer.

Verantwoordelijkheid: Klant

LT-7: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Niet van toepassing; Defender for Identity biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. Defender for Identity is afhankelijk van microsoft-tijdsynchronisatiebronnen en is niet beschikbaar voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-6: Evaluaties van beveiligingsproblemen in software uitvoeren

Richtlijnen: Microsoft voert beheer van beveiligingsproblemen uit op de onderliggende systemen die Defender for Identity ondersteunen.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen