Azure-beveiligingsbasislijn voor Microsoft Defender for Cloud Apps

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Microsoft Defender for Cloud Apps. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Microsoft Defender for Cloud Apps.

Wanneer een functie relevante Azure Policy definities bevat die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Microsoft Defender for Cloud Apps en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Microsoft Defender for Cloud Apps volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Microsoft Defender for Cloud Apps toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall geconfigureerd voor uw Microsoft Defender for Cloud Apps resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven (bijvoorbeeld: 'MicrosoftCloudAppSecurity') in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Microsoft Defender for Cloud Apps gebruikt Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingsprocedure van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteit waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Microsoft Defender for Cloud Apps azure Active Directory (Azure AD) gebruikt om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Zo kunt u eenmalige aanmelding (SSO) gebruiken voor het beheren en beveiligen van de gegevens en resources van uw organisatie, on premises en in de cloud. Verbind al uw gebruikers, toepassingen en apparaten met de Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: Microsoft Defender for Cloud Apps beschikt over de volgende accounts met hoge bevoegdheden:

  • Globale beheerder en beveiligingsbeheerder: beheerders met volledige toegang hebben volledige machtigingen in Microsoft Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren.

  • Nalevingsbeheerder: heeft alleen-lezenmachtigingen en kan waarschuwingen beheren. Geen toegang tot beveiligingsaanveling voor cloudplatforms. Kan bestandsbeleid maken en wijzigen, acties voor bestandsbeheer toestaan en alle ingebouwde rapporten weergeven onder Gegevensbeheer.

  • Beheerder van nalevingsgegevens: heeft alleen-lezenmachtigingen, kan bestandsbeleid maken en wijzigen, acties voor bestandsbeheer toestaan en alle detectierapporten weergeven. Geen toegang tot beveiligingsaanveling voor cloudplatforms.

  • Beveiligingsoperator: heeft alleen-lezenmachtigingen en kan waarschuwingen beheren.

  • Beveiligingslezer: heeft alleen-lezenmachtiging en kan waarschuwingen beheren. De beveiligingslezer is beperkt tot het uitvoeren van de volgende acties:

  • Beleidsregels maken of bestaande beleidsregels bewerken of wijzigen

  • Beheeracties uitvoeren

  • Detectielogboeken uploaden

  • Apps van derden verbieden of goedkeuren

  • De instellingenpagina voor het IP-adresbereik openen en weergeven

  • Pagina's met systeeminstellingen openen en weergeven

  • De detectie-instellingen openen en weergeven

  • De pagina App-connectors openen en weergeven

  • Het beheerlogboek openen en weergeven

  • De pagina Momentopnamerapporten beheren openen en weergeven

  • De SIEM-agent openen en bewerken

  • Globale lezer: heeft volledige alleen-lezentoegang tot alle aspecten van Microsoft Defender for Cloud Apps. Kan geen instellingen wijzigen of acties ondernemen.

Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau, omdat gebruikers met deze bevoegdheid elke resource in uw Azure-omgeving direct of indirect kunnen lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure Active Directory (Azure AD) inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Microsoft Defender for Cloud Apps Azure Active Directory-accounts (Azure AD) gebruikt om de resources te beheren, gebruikersaccounts te controleren en regelmatig toegang te krijgen tot toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure Privileged Identity Management ook worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Microsoft Defender for Cloud Apps is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: Detectie, classificatie en labeling van gevoelige gegevens

Richtlijnen: Microsoft Defender for Cloud Apps gevoelige gegevens beheert; alle gegevensstroom wordt gedekt door het Microsoft-privacybeoordelings- en SDL-proces. Klanten hebben geen mogelijkheid om de gegevens te beheren,

Verantwoordelijkheid: Microsoft

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Microsoft Defender for Cloud Apps gevoelige gegevens beheert en azure Active Directory-rollen (Azure AD) gebruikt om machtigingen voor verschillende typen gegevens te beheren.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Microsoft Defender for Cloud Apps ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Microsoft Defender for Cloud Apps versleutelt data-at-rest om te beschermen tegen out-of-band-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: alle logboeken van Microsoft Defender for Cloud Apps doorsturen naar uw SIEM, die kunnen worden gebruikt voor het instellen van aangepaste bedreigingsdetecties. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Niet van toepassing; Microsoft Defender for Cloud Apps biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Microsoft Defender for Cloud Apps-service is afhankelijk van Microsoft-tijdsynchronisatiebronnen en wordt niet beschikbaar gesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Microsoft voert beveiligingsbeheer uit op de onderliggende systemen die ondersteuning bieden voor Microsoft Defender for Cloud Apps.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen