Azure-beveiligings basislijn voor micro soft Defender voor identiteitAzure security baseline for Microsoft Defender for Identity

In deze beveiligings basislijn worden richt lijnen van de Azure Security Bench Mark-versie 2,0 naar micro soft Defender voor identiteit toegepast.This security baseline applies guidance from the Azure Security Benchmark version 2.0 to Microsoft Defender for Identity. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen.The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. De inhoud wordt gegroepeerd op basis van de beveiligings controles die zijn gedefinieerd door de Azure Security-benchmark en de bijbehorende richt lijnen die van toepassing zijn op micro soft Defender voor identiteit.The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Microsoft Defender for Identity. Besturings elementen die niet van toepassing zijn op micro soft Defender voor identiteit zijn uitgesloten.Controls not applicable to Microsoft Defender for Identity have been excluded.

Voor een overzicht van de manier waarop micro soft Defender voor de identiteit volledig is toegewezen aan de beveiligings benchmark van Azure, raadpleegt u het volledige bestand micro soft Defender for Identity Security Baseline-toewijzing.To see how Microsoft Defender for Identity completely maps to the Azure Security Benchmark, see the full Microsoft Defender for Identity security baseline mapping file.

NetwerkbeveiligingNetwork Security

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.For more information, see the Azure Security Benchmark: Network Security.

NS-6: netwerk beveiligings regels vereenvoudigenNS-6: Simplify network security rules

Hulp: Azure Virtual Network Service-Tags gebruiken om netwerk toegangs beheer te definiëren voor netwerk beveiligings groepen of Azure firewall die voor uw Defender zijn geconfigureerd voor identiteits bronnen.Guidance: Use Azure Virtual Network Service Tags to define network access controls on network security groups or Azure Firewall configured for your Defender for Identity resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt.You can use service tags in place of specific IP addresses when creating security rules. Door de naam van de service label (bijvoorbeeld: ' AzureAdvancedThreatProtection ') op te geven in het juiste bron-of doel veld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren.By specifying the service tag name (For example: "AzureAdvancedThreatProtection") in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. Micro soft beheert de adres voorvoegsels die zijn opgenomen in het servicetag van de service en werkt de servicetag automatisch bij met gewijzigde adressen.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

IdentiteitsbeheerIdentity Management

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.For more information, see the Azure Security Benchmark: Identity Management.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteemIM-1: Standardize Azure Active Directory as the central identity and authentication system

Richt lijnen: Defender for identity gebruikt Azure Active Directory (Azure AD) als de standaard service voor identiteits-en toegangs beheer.Guidance: Defender for Identity uses Azure Active Directory (Azure AD) as the default identity and access management service. U moet Azure AD standaardiseren om het identiteits-en toegangs beheer van uw organisatie in te bepalen:You should standardize Azure AD to govern your organization's identity and access management in:

  • Microsoft Cloud resources, zoals de Azure Portal, Azure Storage, virtuele machine van Azure (Linux en Windows), Azure Key Vault, PaaS en SaaS-toepassingen.Microsoft Cloud resources, such as the Azure portal, Azure Storage, Azure Virtual Machine (Linux and Windows), Azure Key Vault, PaaS, and SaaS applications.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.Your organization's resources, such as applications on Azure or your corporate network resources.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de Cloud beveiligings procedure van uw organisatie.Securing Azure AD should be a high priority in your organization's cloud security practice. Azure AD biedt een beveiligde score voor identiteiten om u te helpen bij het beoordelen van identiteits beveiliging postuur ten opzichte van de aanbevelingen van micro soft best practice.Azure AD provides an identity secure score to help you assess identity security posture relative to Microsoft's best practice recommendations. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.Use the score to gauge how closely your configuration matches best practice recommendations, and to make improvements in your security posture.

Opmerking: Azure AD biedt ondersteuning voor externe identiteit waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.Note: Azure AD supports external identity that allows users without a Microsoft account to sign in to their applications and resources with their external identity.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

IM-4: Gebruik krachtige besturingselementen voor verificatie voor alle op Azure Active Directory gebaseerde toegangIM-4: Use strong authentication controls for all Azure Active Directory based access

Richt lijnen: Defender for Identity maakt gebruik van Azure Active Directory die ondersteuning biedt voor krachtige verificatie-instellingen door middel van meervoudige verificatie en krachtige methoden met een wacht woord.Guidance: Defender for Identity uses Azure Active Directory that supports strong authentication controls through multifactor authentication, and strong passwordless methods.

  • Multi-factor Authentication: Schakel Azure AD multi-factor Authentication in en volg Azure Security Center aanbevelingen voor identiteits-en toegangs beheer voor een aantal aanbevolen procedures in de configuratie van multi-factor Authentication.Multifactor authentication - Enable Azure AD multifactor authentication and follow Azure Security Center Identity and Access Management recommendations for some best practices in your multifactor authentication setup. Multi-factor Authentication kan worden afgedwongen voor alle, Selecteer gebruikers of op het niveau per gebruiker op basis van aanmeldings voorwaarden en risico factoren.Multifactor authentication can be enforced on all, select users or at the per-user level based on sign-in conditions and risk factors.
  • Verificatie met wacht woord-drie verificatie opties met een wacht woord zijn beschikbaar: Windows hello voor bedrijven, Microsoft Authenticator-app en on-premises verificatie methoden zoals Smart Cards.Passwordless authentication - Three passwordless authentication options are available: Windows Hello for Business, Microsoft Authenticator app, and on-premises authentication methods such as smart cards.

Voor beheerders en bevoegde gebruikers zorgt u ervoor dat het hoogste niveau van de methode voor sterke verificatie wordt gebruikt, gevolgd door het juiste beleid voor sterke authenticatie voor andere gebruikers te implementeren.For administrator and privileged users, ensure the highest level of the strong authentication method is used, followed by rolling out the appropriate strong authentication policy to other users.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

Bevoegde toegangPrivileged Access

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.For more information, see the Azure Security Benchmark: Privileged Access.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperkenPA-1: Protect and limit highly privileged users

Richt lijnen: Defender for Identity heeft de volgende accounts met zeer privileges: globale beheerderGuidance: Defender for Identity has the following highly-privileged accounts: Global administrator

BeveiligingsbeheerderSecurity administrator

Beperk het aantal accounts of rollen met veel bevoegdheden en beveilig deze accounts op een verhoogd niveau, omdat gebruikers met deze bevoegdheid elke resource in uw Azure-omgeving direct of indirect kunnen lezen en wijzigen.Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level because users with this privilege can directly or indirectly read and modify every resource in your Azure environment.

U kunt toegang met Just-in-time (JIT) voor Azure-resources en Azure Active Directory (Azure AD) inschakelen met behulp van Azure AD Privileged Identity Management (PIM).You can enable just-in-time (JIT) privileged access to Azure resources and Azure Active Directory (Azure AD) using Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben.JIT grants temporary permissions to perform privileged tasks only when users need it. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

PA-2: Beheerderstoegang tot essentiële bedrijfssystemen beperkenPA-2: Restrict administrative access to business-critical systems

Richt lijnen: Defender for Identity maakt gebruik van Azure RBAC (op rollen gebaseerd toegangs beheer) voor het isoleren van toegang tot bedrijfskritische systemen door te beperken welke accounts bevoegde toegang krijgen tot de abonnementen en beheer groepen waarin ze zich bevinden.Guidance: Defender for Identity uses Azure role-based access control (Azure RBAC) to isolate access to business-critical systems by restricting which accounts are granted privileged access to the subscriptions and management groups they are in.

Zorg ervoor dat u ook de toegang tot de beheer-, identiteits-en beveiligings systemen beperkt die beheerders toegang hebben tot uw bedrijfskritische toegang, zoals Active Directory-domein controllers (Dc's), beveiligings hulpprogramma's en Systeembeheer Programma's met agents die zijn geïnstalleerd op bedrijfs kritieke systemen.Ensure that you also restrict access to the management, identity, and security systems that have administrative access to your business-critical access such as Active Directory Domain Controllers (DCs), security tools, and system management tools with agents installed on business-critical systems. Aanvallers die deze beheer-en beveiligings systemen misbruiken, kunnen ze onmiddellijk weaponize om bedrijfs kritieke activa te manipuleren.Attackers who compromise these management and security systems can immediately weaponize them to compromise business-critical assets.

Alle typen besturings elementen voor toegang moeten worden afgestemd op uw bedrijfs segmentatie strategie om een consistent toegangs beheer te garanderen.All types of access controls should be aligned to your enterprise segmentation strategy to ensure consistent access control.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

PA-3: Gebruikerstoegang regelmatig controleren en afstemmenPA-3: Review and reconcile user access regularly

Richt lijnen: Defender for Identity gebruikt Azure Active Directory accounts om de resources te beheren, gebruikers accounts te controleren en toegangs toewijzingen regel matig te gebruiken om ervoor te zorgen dat de accounts en hun toegang geldig zijn.Guidance: Defender for Identity uses Azure Active Directory accounts to manage its resources, review user accounts, and access assignment regularly to ensure the accounts and their access are valid. U kunt Azure AD-toegangs beoordelingen gebruiken om groepslid maatschappen, de toegang tot bedrijfs toepassingen en roltoewijzingen te controleren.You can use Azure AD access reviews to review group memberships, access to enterprise applications, and role assignments. Azure AD Reporting kan logboeken bieden waarmee u verlopen accounts kunt detecteren.Azure AD reporting can provide logs to help discover stale accounts. U kunt Azure AD Privileged Identity Management ook gebruiken om een werk stroom voor een toegangs beoordeling te maken om het controle proces te vergemakkelijken.You can also use Azure AD Privileged Identity Management to create an access review report workflow to facilitate the review process.

Daarnaast kan Azure Privileged Identity Management ook worden geconfigureerd om te worden gewaarschuwd wanneer er een uitzonderlijk groot aantal beheerders accounts wordt gemaakt en om beheerders accounts te identificeren die verouderd of onjuist zijn geconfigureerd.In addition, Azure Privileged Identity Management can also be configured to alert when an excessive number of administrator accounts are created, and to identify administrator accounts that are stale or improperly configured.

Opmerking: sommige Azure-Services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD.Note: Some Azure services support local users and roles which are not managed through Azure AD. U moet deze gebruikers afzonderlijk beheren.You will need to manage these users separately.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

PA-6: Werkstations met uitgebreide toegang gebruikenPA-6: Use privileged access workstations

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden.Guidance: Secured, isolated workstations are critically important for the security of sensitive roles like administrators, developers, and critical service operators. Gebruik zeer beveiligde werk stations van gebruikers en/of Azure Bastion voor beheer taken.Use highly secured user workstations and/or Azure Bastion for administrative tasks. Gebruik Azure Active Directory, micro soft Defender voor eind punt en/of Microsoft Intune voor het implementeren van een beveiligd en beheerd gebruikers werkstation voor beheer taken.Use Azure Active Directory, Microsoft Defender for Endpoint, and/or Microsoft Intune to deploy a secure and managed user workstation for administrative tasks. De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.The secured workstations can be centrally managed to enforce secured configuration including strong authentication, software and hardware baselines, restricted logical and network access.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GegevensbeveiligingData Protection

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.For more information, see the Azure Security Benchmark: Data Protection.

DP-2: Gevoelige gegevens beschermenDP-2: Protect sensitive data

Richt lijnen: Defender for Identity beschermt gevoelige gegevens door de toegang te beperken met behulp van Azure Active Directory-rollen (Azure AD).Guidance: Defender for Identity protects sensitive data by restricting access using Azure Active Directory (Azure AD) roles.

Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf.To ensure consistent access control, all types of access control should be aligned to your enterprise segmentation strategy. De strategie voor bedrijfs segmentatie moet ook worden geïnformeerd over de locatie van gevoelige of bedrijfskritische gegevens en systemen.The enterprise segmentation strategy should also be informed by the location of sensitive or business-critical data and systems.

Voor het onderliggende platform, dat wordt beheerd door Microsoft, geldt dat alle klantinhoud als gevoelig wordt beschouwd en dat gegevens worden beschermd tegen verlies en blootstelling.For the underlying platform, which is managed by Microsoft, Microsoft treats all customer content as sensitive and guards against customer data loss and exposure. Om ervoor te zorgen dat klant gegevens binnen Azure beveiligd blijven, implementeert micro soft standaard besturings elementen en mogelijkheden voor gegevens bescherming.To ensure customer data within Azure remains secure, Microsoft implements default data protection controls and capabilities.

Monitoring door Azure Security Center: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

Asset-managementAsset Management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.For more information, see the Azure Security Benchmark: Asset Management.

AM-1: Beveiligingsteam inzicht geven in risico's voor assetsAM-1: Ensure security team has visibility into risks for assets

Richtlijnen: Zorg ervoor dat beveiligingsteams de machtiging Beveiligingslezer hebben in uw Azure-tenant en -abonnementen zodat ze kunnen controleren op beveiligingsrisico's met behulp van Azure Security Center.Guidance: Ensure security teams are granted Security Reader permissions in your Azure tenant and subscriptions so they can monitor for security risks using Azure Security Center.

Afhankelijk van de manier waarop de verantwoordelijkheden van het beveiligings team zijn gestructureerd, kan bewaking voor beveiligings Risico's de verantwoordelijkheid zijn van een centraal beveiligings team of een lokaal team.Depending on how security team responsibilities are structured, monitoring for security risks could be the responsibility of a central security team or a local team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.That said, security insights and risks must always be aggregated centrally within an organization.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.Security Reader permissions can be applied broadly to an entire tenant (Root Management Group) or scoped to management groups or specific subscriptions.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.Note: Additional permissions might be required to get visibility into workloads and services.

Monitoring door Azure Security Center: Momenteel niet beschikbaarAzure Security Center monitoring: Currently not available

Verantwoordelijkheid: KlantResponsibility: Customer

Logboekregistratie en detectie van bedreigingenLogging and Threat Detection

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.For more information, see the Azure Security Benchmark: Logging and Threat Detection.

LT-1: detectie van bedreigingen inschakelen voor Azure-resourcesLT-1: Enable threat detection for Azure resources

Richt lijnen: Defender for Identity kan u op de hoogte stellen wanneer er verdachte activiteiten worden gedetecteerd door beveiligings-en status waarschuwingen naar uw syslog-server te verzenden via een aangewezen sensor.Guidance: Defender for Identity can notify you when it detects suspicious activities, by sending security and health alerts to your Syslog server through a nominated sensor. Door sturen van de logboeken van Defender voor identiteit aan uw SIEM, die kan worden gebruikt voor het instellen van aangepaste bedreigings detecties.Forward any logs from Defender for Identity to your SIEM which can be used to set up custom threat detections. Zorg ervoor dat u verschillende typen Azure-assets bewaakt voor mogelijke dreigingen en afwijkingen.Ensure you are monitoring different types of Azure assets for potential threats and anomalies. Richt u op het ophalen van waarschuwingen met hoge kwaliteit om te voor komen dat de fout-positieven worden gereduceerd.Focus on getting high-quality alerts to reduce false positives for analysts to sort through. Waarschuwingen kunnen worden gebrond op basis van logboek gegevens, agents of andere gegevens.Alerts can be sourced from log data, agents, or other data.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheerLT-2: Enable threat detection for Azure identity and access management

Hulp: Azure Active Directory (Azure AD) bevat de volgende gebruikers logboeken die kunnen worden weer gegeven in azure AD Reporting of zijn geïntegreerd met Azure monitor, Azure Sentinel of andere hulpprogram MA'S voor Siem en controle voor meer geavanceerde bewakings-en analyse-gebruiks voorbeelden:Guidance: Azure Active Directory (Azure AD) provides the following user logs that can be viewed in Azure AD reporting or integrated with Azure Monitor, Azure Sentinel, or other SIEM/monitoring tools for more sophisticated monitoring and analytics use cases:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikersSign-ins – The sign-ins report provides information about the usage of managed applications and user sign-in activities.

  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Voor beelden van audit logboeken zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.Examples of audit logs include changes made to any resources within Azure AD like adding or removing users, apps, groups, roles, and policies.

  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Azure Security Center kan ook worden gewaarschuwd voor bepaalde verdachte activiteiten, zoals een uitzonderlijk aantal mislukte verificatie pogingen, afgeschafte accounts in het abonnement.Azure Security Center can also alert on certain suspicious activities such as an excessive number of failed authentication attempts, deprecated accounts in the subscription. Naast de basis bewaking voor beveiligings hygiëne, kan de bedreigings beveiligings module van Azure Security Center ook uitgebreidere beveiligings waarschuwingen verzamelen van afzonderlijke Azure Compute-resources (virtuele machines, containers, app service), gegevens bronnen (SQL DB en opslag) en Azure-service lagen.In addition to the basic security hygiene monitoring, Azure Security Center's Threat Protection module can also collect more in-depth security alerts from individual Azure compute resources (virtual machines, containers, app service), data resources (SQL DB and storage), and Azure service layers. Met deze mogelijkheid kunt u rekening afwijkingen in de afzonderlijke resources bekijken.This capability allows you to see account anomalies inside the individual resources.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

LT-5: Beheer en analyse van beveiligingslogboek centraliserenLT-5: Centralize security log management and analysis

Richt lijnen: Zorg ervoor dat u Azure-activiteiten logboeken integreert in uw centrale logboek registratie.Guidance: Ensure you are integrating Azure activity logs into your central logging. Opname logboeken via Azure Monitor voor het verzamelen van beveiligings gegevens die zijn gegenereerd door eindpunt apparaten, netwerk bronnen en andere beveiligings systemen.Ingest logs via Azure Monitor to aggregate security data generated by endpoint devices, network resources, and other security systems. Gebruik in Azure Monitor Log Analytics-werk ruimten om analyses uit te voeren en te uitvoeren en gebruik Azure Storage accounts voor lange termijn-en archiverings opslag.In Azure Monitor, use Log Analytics workspaces to query and perform analytics, and use Azure Storage accounts for long term and archival storage.

Daarnaast kunt u gegevens inschakelen en vrijgeven aan Azure Sentinel of een SIEM van derden.In addition, enable and onboard data to Azure Sentinel or a third-party SIEM.

Veel organisaties kiezen voor het gebruik van Azure Sentinel voor ' hot ' gegevens die regel matig worden gebruikt en die worden Azure Storage voor ' koude ' gegevens die minder vaak worden gebruikt.Many organizations choose to use Azure Sentinel for "hot" data that is used frequently and Azure Storage for "cold" data that is used less frequently.

Defender voor identiteits aanbiedingen om alle beveiligings logboeken door te sturen naar uw SIEM voor gecentraliseerd beheer.Defender for Identity offers to forward all security-related logs to your SIEM for centralized management.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

Reageren op incidentenIncident Response

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.For more information, see the Azure Security Benchmark: Incident Response.

IR-1: Voorbereiding: responsproces voor incidenten bijwerken voor AzureIR-1: Preparation – update incident response process for Azure

Richtlijnen: Zorg ervoor dat uw organisatie processen heeft gedefinieerd om te reageren op beveiligingsincidenten, dat deze processen voor Azure zijn bijgewerkt en dat ze regelmatig worden uitgevoerd om de gereedheid ervan te garanderen.Guidance: Ensure your organization has processes to respond to security incidents, has updated these processes for Azure, and is regularly exercising them to ensure readiness.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

IR-2: Voorbereiding: melding van incidenten instellenIR-2: Preparation – setup incident notification

Richtlijnen: Contactgegevens in Azure Security Center instellen in het geval van beveiligingsincidentenGuidance: Set up security incident contact information in Azure Security Center. Deze contactgegevens worden door Microsoft gebruikt om contact met u op te nemen als het Microsoft Security Response Center (MSRC) vaststelt dat een niet-geautoriseerde partij toegang tot uw gegevens heeft gekregen.This contact information is used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. U hebt ook opties voor het aanpassen van incident waarschuwingen en meldingen in verschillende Azure-Services op basis van de behoeften van uw incident respons.You also have options to customize incident alerts and notifications in different Azure services based on your incident response needs.

Monitoring door Azure Security Center: JaAzure Security Center monitoring: Yes

Verantwoordelijkheid: KlantResponsibility: Customer

IR-3: Detectie en analyse: incidenten maken op basis van waarschuwingen van hoge kwaliteitIR-3: Detection and analysis – create incidents based on high quality alerts

Richtlijnen: Zorg ervoor dat u een proces hebt gedefinieerd om waarschuwingen van hoge kwaliteit te maken en de kwaliteit van waarschuwingen te meten.Guidance: Ensure you have a process to create high-quality alerts and measure the quality of alerts. Zo kunt u lessen uit eerdere incidenten ontdekken en waarschuwingen voor analisten prioriteiten geven, zodat ze geen tijd verspillen op valse positieven.This allows you to learn lessons from past incidents and prioritize alerts for analysts, so they don't waste time on false positives.

Waarschuwingen van hoge kwaliteit kunnen worden samengesteld op basis van ervaringen uit eerdere incidenten, op grond van gevalideerde communitybronnen, en door tools te gebruiken die zijn ontworpen om waarschuwingen te genereren en op te schonen door diverse signaalbronnen samen te voegen en er correlaties tussen te ontdekken.High-quality alerts can be built based on experience from past incidents, validated community sources, and tools designed to generate and clean up alerts by fusing and correlating diverse signal sources.

Azure Security Center (ASC) biedt waarschuwingen van hoge kwaliteit in veel Azure-assets.Azure Security Center (ASC) provides high-quality alerts across many Azure assets. U kunt de ASC-dataconnector gebruiken om de waarschuwingen te streamen naar Azure Sentinel.You can use the ASC data connector to stream the alerts to Azure Sentinel. Met Azure Sentinel kunt u geavanceerde waarschuwingsregels opstellen om automatisch incidenten te genereren voor onderzoek.Azure Sentinel lets you create advanced alert rules to generate incidents automatically for an investigation.

Exporteer de waarschuwingen en aanbevelingen van Azure Security Center met behulp van de exportfunctie om zo beter risico's voor Azure-resources te kunnen identificeren.Export your Azure Security Center alerts and recommendations using the export feature to help identify risks to Azure resources. U kunt waarschuwingen en aanbevelingen handmatig exporteren of doorlopend.Export alerts and recommendations either manually or in an ongoing, continuous fashion.

Monitoring door Azure Security Center: Momenteel niet beschikbaarAzure Security Center monitoring: Currently not available

Verantwoordelijkheid: KlantResponsibility: Customer

IR-4: Detectie en analyse - een incident onderzoekenIR-4: Detection and analysis – investigate an incident

Richtlijnen: Zorg ervoor dat analisten verschillende gegevensbronnen kunnen bevragen en gebruiken bij het onderzoeken van mogelijke incidenten, zodat ze een volledig beeld hebben van wat er is gebeurd.Guidance: Ensure analysts can query and use diverse data sources as they investigate potential incidents, to build a full view of what happened. Er moeten verschillende logboeken worden verzameld om de activiteiten van een mogelijke aanvaller in de kill chain te volgen om zo blinde vlekken te voorkomen.Diverse logs should be collected to track the activities of a potential attacker across the kill chain to avoid blind spots. U moet er ook voor zorgen dat inzichten en resultaten worden vastgelegd voor andere analisten, zodat deze kunnen worden geraadpleegd als historische naslaginformatie.You should also ensure insights and learnings are captured for other analysts and for future historical reference.

De gegevens bronnen voor onderzoek bevatten de gecentraliseerde logboek registratie bronnen die al worden verzameld van de services binnen het bereik en het uitvoeren van systemen, maar kan ook het volgende omvatten:The data sources for investigation include the centralized logging sources that are already being collected from the in-scope services and running systems but can also include:

  • Netwerkgegevens: gebruik stroomlogboeken van netwerkbeveiligingsgroepen, Azure Network Watcher en Azure Monitor om logboeken van netwerkstromen en andere analysegegevens vast te leggen.Network data – use network security groups' flow logs, Azure Network Watcher, and Azure Monitor to capture network flow logs and other analytics information.

  • Momentopnamen van actieve systemen:Snapshots of running systems:

    • Gebruik de functie voor het maken van momentopnamen van virtuele machines van Azure om een momentopname of snapshot te maken van de schijf van het actieve systeem.Use Azure virtual machine's snapshot capability to create a snapshot of the running system's disk.

    • Gebruik de voorziening van het besturingssysteem voor het maken van geheugendumps om een momentopname te maken van het geheugen van het actieve systeem.Use the operating system's native memory dump capability to create a snapshot of the running system's memory.

    • Gebruik de momentopnamefunctie van de Azure-services of van uw software om momentopnamen van de actieve systemen te maken.Use the snapshot feature of the Azure services or your software's own capability to create snapshots of the running systems.

Azure Sentinel biedt uitgebreide voorzieningen voor gegevensanalyse voor vrijwel elke logboekbron en een portal voor dossierbeheer om de volledige levenscyclus van incidenten te beheren.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitoring door Azure Security Center: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

IR-5: Detectie en analyse: prioriteiten toekennen aan incidentenIR-5: Detection and analysis – prioritize incidents

Richtlijnen: Bied context aan analisten voor de incidenten waarop ze zich eerst moeten concentreren op basis van de ernst van waarschuwingen en de gevoeligheid van assets.Guidance: Provide context to analysts on which incidents to focus on first based on alert severity and asset sensitivity.

Azure Security Center wijst aan elke waarschuwing een ernst toe om u te helpen bepalen welke waarschuwingen het eerst moeten worden onderzocht.Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. De ernst is gebaseerd op de manier waarop vertrouwen Security Center is in de zoek actie of de analyse die wordt gebruikt om de waarschuwing te geven, evenals het betrouwbaarheids niveau waarvan er sprake is van schadelijke opzet achter de activiteit die tot de waarschuwing heeft geleid.The severity is based on how confident Security Center is in the finding or the analytics used to issue the alert, as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Daarnaast kunt u resources markeren met behulp van tags en een naamgevingssysteem opzetten om Azure-resources te identificeren en categoriseren, met name voor resources die gevoelige gegevens verwerken.Additionally, mark resources using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Monitoring door Azure Security Center: Momenteel niet beschikbaarAzure Security Center monitoring: Currently not available

Verantwoordelijkheid: KlantResponsibility: Customer

IR-6: Insluiting, uitschakeling en herstel: het afhandelen van incidenten automatiserenIR-6: Containment, eradication and recovery – automate the incident handling

Richtlijnen: Automatiseer handmatige, terugkerende taken om de responstijd te versnellen en de werklast van analisten te verlichten.Guidance: Automate manual repetitive tasks to speed up response time and reduce the burden on analysts. Hand matige taken nemen meer tijd in beslag voor het uitvoeren, vertragen van elk incident en het verminderen van het aantal incidenten dat een analist kan verwerken.Manual tasks take longer to execute, slowing each incident, and reducing how many incidents an analyst can handle. Daarnaast raken analisten sneller vermoeid door handmatige taken, met als gevolg dat het risico van menselijke fouten toeneemt en analisten zich minder goed kunnen concentreren.Manual tasks also increase analyst fatigue, which increases the risk of human error that causes delays, and degrades the ability of analysts to focus effectively on complex tasks. Gebruik voorzieningen voor de automatisering van werkstromen in Azure Security Center en Azure Sentinel om automatisch acties te activeren of een playbook uit te voeren in reactie op binnenkomende beveiligingswaarschuwingen.Use workflow automation features in Azure Security Center and Azure Sentinel to automatically trigger actions or run a playbook to respond to incoming security alerts. Het playbook voert acties uit, zoals het verzenden van meldingen, het uitschakelen van accounts en het isoleren van problematische netwerken.The playbook takes actions, such as sending notifications, disabling accounts, and isolating problematic networks.

Monitoring door Azure Security Center: Momenteel niet beschikbaarAzure Security Center monitoring: Currently not available

Verantwoordelijkheid: KlantResponsibility: Customer

Beveiligingspostuur en beveiligingsproblemen beherenPosture and Vulnerability Management

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.For more information, see the Azure Security Benchmark: Posture and Vulnerability Management.

PV-8: Voer regelmatige simulaties van aanvallen uitPV-8: Conduct regular attack simulation

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost.Guidance: As required, conduct penetration testing or red team activities on your Azure resources and ensure remediation of all critical security findings. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid.Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: GedeeldResponsibility: Shared

Governance en strategieGovernance and Strategy

Zie Azure Security Benchmark: governance en strategie.For more information, see the Azure Security Benchmark: Governance and Strategy.

GS-1: Strategie voor asset-management en gegevensbescherming definiërenGS-1: Define asset management and data protection strategy

Richtlijnen: Zorg ervoor dat u een duidelijke strategie voor de continue bewaking en bescherming van systemen en gegevens schriftelijk vastlegt en bekendmaakt.Guidance: Ensure you document and communicate a clear strategy for continuous monitoring and protection of systems and data. Ken hogere prioriteiten toe aan de detectie, beoordeling, beveiliging en bewaking van bedrijfskritieke gegevens en systemen.Prioritize discovery, assessment, protection, and monitoring of business-critical data and systems.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:This strategy should include documented guidance, policy, and standards for the following elements:

  • Standaard voor gegevensclassificatie in overeenstemming met de bedrijfsrisico'sData classification standard in accordance with the business risks

  • Inzicht van beveiligingsorganisaties in risico's en asset-inventarisSecurity organization visibility into risks and asset inventory

  • Goedkeuring door beveiligingsorganisaties van Azure-services voor gebruikSecurity organization approval of Azure services for use

  • Beveiliging van assets op grond van hun levenscyclusSecurity of assets through their lifecycle

  • Vereiste strategie voor toegangsbeheer in overeenstemming met gegevensclassificatie van organisatieRequired access control strategy in accordance with organizational data classification

  • Gebruik van systeemeigen beveiligingsmogelijkheden van Azure en van derde partijenUse of Azure native and third-party data protection capabilities

  • Vereisten voor gegevensversleuteling in gebruiksscenario's met gegevens tijdens een overdracht en data-at-restData encryption requirements for in-transit and at-rest use cases

  • Juiste cryptografische standaardenAppropriate cryptographic standards

Raadpleeg de volgende bronnen voor meer informatie:For more information, see the following references:

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-2: Segmentatiestrategie van bedrijf definiërenGS-2: Define enterprise segmentation strategy

Richtlijnen: Stel een bedrijfsstrategie op om de toegang tot assets te segmenteren door een combinatie van besturingselementen voor het beheer van identiteiten, netwerken, toepassingen, abonnementen, beheergroepen en andere besturingselementen te gebruiken.Guidance: Establish an enterprise-wide strategy to segmenting access to assets using a combination of identity, network, application, subscription, management group, and other controls.

Zorg dat u een nauwgezette afweging maakt tussen de noodzaak om de beveiliging van de rest te scheiden en de noodzaak om systemen die met elkaar moeten kunnen communiceren en toegang moeten hebben tot gegevens, in staat te stellen om hun dagelijkse werklast uit te voeren.Carefully balance the need for security separation with the need to enable daily operation of the systems that need to communicate with each other and access data.

Zorg ervoor dat de segmentatie strategie consistent wordt geïmplementeerd in alle controle typen, zoals netwerk beveiliging, identiteits-en toegangs modellen, en de machtiging/toegangs modellen van de toepassing en de besturings elementen voor Human processen.Ensure that the segmentation strategy is implemented consistently across control types including network security, identity, and access models, and application permission/access models, and human process controls.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-3: Strategie voor het beheer van beveiligingspostuur definiërenGS-3: Define security posture management strategy

Richtlijnen: Meet en beperk voortdurend de risico's die alle individuele assets en de omgeving die ze hosten, lopen.Guidance: Continuously measure and mitigate risks to your individual assets and the environment they are hosted in. Prioriteit geven aan hoogwaardige activa en zeer belichte aanvals oppervlakken, zoals gepubliceerde toepassingen, netwerk ingangen en uitgevende punten, gebruikers-en beheerders eindpunten, enzovoort.Prioritize high-value assets and highly-exposed attack surfaces, such as published applications, network ingress and egress points, user and administrator endpoints, etc.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-4: Organisatierollen, verantwoordelijkheden en aansprakelijkheden afstemmenGS-4: Align organization roles, responsibilities, and accountabilities

Richtlijnen: Zorg ervoor dat u een duidelijke strategie voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie schriftelijk vastlegt en bekendmaakt.Guidance: Ensure you document and communicate a clear strategy for roles and responsibilities in your security organization. Ken een hoge prioriteiten toe aan het verschaffen van duidelijkheid over wie aansprakelijk is voor beveiligingsbeslissingen. Bied opleidingen aan iedereen over het gedeelde verantwoordelijkheidsmodel en biedt technische teams trainingen over technologie ter beveiliging van de cloud.Prioritize providing clear accountability for security decisions, educating everyone on the shared responsibility model, and educate technical teams on technology to secure the cloud.

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-5: Strategie voor netwerkbeveiliging definiërenGS-5: Define network security strategy

Richt lijnen: Stel een Azure-netwerk beveiligings benadering in als onderdeel van de algehele strategie voor het toegangs beheer van uw organisatie.Guidance: Establish an Azure network security approach as part of your organization's overall security access control strategy.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:This strategy should include documented guidance, policy, and standards for the following elements:

  • Gecentraliseerd netwerkbeheer en verantwoordelijkheid voor beveiligingCentralized network management and security responsibility

  • Model voor segmentatie van virtueel netwerk afgestemd op segmentatiestrategie van bedrijfVirtual network segmentation model aligned with the enterprise segmentation strategy

  • Herstelstrategie voor verschillende scenario's met bedreigingen en aanvallenRemediation strategy in different threat and attack scenarios

  • Strategie voor internetrand en inkomend en uitgaand verkeerInternet edge and ingress and egress strategy

  • Strategie voor hybride cloud- en on-premises interconnectiviteitHybrid cloud and on-premises interconnectivity strategy

  • Up-to-date netwerkbeveiligingsartefacten (zoals netwerkdiagrammen, architectuur van referentienetwerk)Up-to-date network security artifacts (e.g. network diagrams, reference network architecture)

Raadpleeg de volgende bronnen voor meer informatie:For more information, see the following references:

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-6: Strategie voor het gebruik van identiteiten en uitgebreide toegang definiërenGS-6: Define identity and privileged access strategy

Richt lijnen: Stel een Azure Identity and privileged Access benaderingen in als onderdeel van de algehele strategie voor beveiligings beheer van uw organisatie.Guidance: Establish an Azure identity and privileged access approaches as part of your organization's overall security access control strategy.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:This strategy should include documented guidance, policy, and standards for the following elements:

  • Een gecentraliseerd identiteits- en verificatiesysteem en bijbehorende interconnectiviteit met andere interne en externe identiteitssystemenA centralized identity and authentication system and its interconnectivity with other internal and external identity systems

  • Krachtige verificatiemethoden in verschillende gebruiksscenario's en onder verschillende voorwaardenStrong authentication methods in different use cases and conditions

  • Bescherming van gebruikers met zeer uitgebreide bevoegdhedenProtection of highly privileged users

  • Bewaking en verwerking van afwijkende gebruikersactiviteitenAnomaly user activities monitoring and handling

  • Proces voor het beoordelen en op elkaar afstemmen van de identiteit en toegangsrechten van gebruikersUser identity and access review and reconciliation process

Raadpleeg de volgende bronnen voor meer informatie:For more information, see the following references:

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

GS-7: Strategie voor logboekregistratie en respons op bedreigingen definiërenGS-7: Define logging and threat response strategy

Richtlijnen: Stel een strategie op voor logboekregistratie en respons op bedreigingen om bedreigingen snel te detecteren en op te lossen terwijl tegelijkertijd aan alle nalevingsvereisten wordt voldaan.Guidance: Establish a logging and threat response strategy to rapidly detect and remediate threats while meeting compliance requirements. Ken een hoge prioriteit toe aan het bieden van waarschuwingen van hoge kwaliteit en naadloze ervaringen aan analisten, zodat ze zich kunnen concentreren op bedreigingen in plaats van op integraties en handmatig uit te voeren stappen.Prioritize providing analysts with high-quality alerts and seamless experiences so that they can focus on threats rather than integration and manual steps.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:This strategy should include documented guidance, policy, and standards for the following elements:

  • De rol en verantwoordelijkheden van de organisatie voor beveiligings bewerkingen (SecOps)The security operations (SecOps) organization's role and responsibilities

  • Een goed gedefinieerd proces voor het reageren op incidenten dat is afgestemd op het NIST of een ander framework binnen de brancheA well-defined incident response process aligning with NIST or another industry framework

  • Logboekregistratie en retentie om ondersteuning te bieden voor de detectie van bedreigingen, het reageren op incidenten en het naleven van regelgevingLog capture and retention to support threat detection, incident response, and compliance needs

  • Informatie en correlatiegegevens over bedreigingen die centraal beschikbaar zijn via SIEM, systeemeigen Azure-mogelijkheden en andere bronnenCentralized visibility of and correlation information about threats, using SIEM, native Azure capabilities, and other sources

  • Communicatie- en meldingenplan met uw klanten, leveranciers en openbaar belanghebbendenCommunication and notification plan with your customers, suppliers, and public parties of interest

  • Gebruik van systeemeigen Azure-platforms en platforms van derden voor het afhandelen van incidenten, zoals logboekregistratie en detectie van bedreigingen, forensische onderzoeken en het oplossen en uitschakelen van aanvallenUse of Azure native and third-party platforms for incident handling, such as logging and threat detection, forensics, and attack remediation and eradication

  • Processen voor het afhandelen van incidenten en activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaalProcesses for handling incidents and post-incident activities, such as lessons learned and evidence retention

Raadpleeg de volgende bronnen voor meer informatie:For more information, see the following references:

Azure Security Center-bewaking: Niet van toepassingAzure Security Center monitoring: Not applicable

Verantwoordelijkheid: KlantResponsibility: Customer

Volgende stappenNext steps