Azure-beveiligingsbasislijn voor Data Lake Analytics

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Data Lake Analytics. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Data Lake Analytics.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Data Lake Analytics of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Data Lake Analytics volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Data Lake Analytics toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Gebruik firewallinstellingen voor Data Lake Analytics om externe IP-bereiken te beperken om toegang vanaf uw on-premises clients en services van derden toe te staan. De configuratie van firewallinstellingen is beschikbaar via portal, REST API's of PowerShell.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: Gebruik firewallinstellingen voor Data Lake Analytics om externe IP-bereiken te beperken om toegang vanaf uw on-premises clients en services van derden toe te staan. De configuratie van firewallinstellingen is beschikbaar via portal, REST API's of PowerShell.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens, zoals Data Lake Analytics diagnostische gegevens 'audit' en 'aanvragen'. Gebruik in Azure Monitor een Log Analytics-werkruimte om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag, optioneel met beveiligingsfuncties zoals onveranderbare opslag en afgedwongen bewaarperioden.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een systeeminformatie- en gebeurtenisbeheeroplossing van derden.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Diagnostische instellingen inschakelen voor Data Lake Analytics om toegang te krijgen tot audit- en aanvraaglogboeken. Deze omvatten gegevens zoals gebeurtenisbron, datum, gebruiker, tijdstempel en andere nuttige elementen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DataLakeAnalytics:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Stel in Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Analyseer en controleer logboeken op afwijkend gedrag en controleer regelmatig de resultaten voor uw Data Lake Analytics resources. Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te bekijken en query's uit te voeren op logboekgegevens. U kunt ook gegevens aan boord van Microsoft Sentinel of een systeeminformatie en gebeurtenisbeheeroplossing van derden inschakelen en onboarden.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Schakel diagnostische instellingen in voor Data Lake Analytics en verzend logboeken naar een Log Analytics-werkruimte. Onboarding van uw Log Analytics-werkruimte naar Microsoft Sentinel omdat deze een SOAR-oplossing (Automated Response) voor beveiligingsindeling biedt. Hierdoor kunnen playbooks (geautomatiseerde oplossingen) worden gemaakt en gebruikt om beveiligingsproblemen op te lossen.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Azure Active Directory (Azure AD) heeft ingebouwde rollen die expliciet moeten worden toegewezen en waarvoor query's kunnen worden uitgevoerd. Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Data Lake Analytics beschikt niet over het concept van standaardwachtwoorden omdat verificatie wordt geleverd met Azure Active Directory (Azure AD) en wordt beveiligd door op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts.

U kunt ook Just-In-Time-toegang inschakelen met behulp van Azure Active Directory (Azure AD) Privileged Identity Management en Azure Resource Manager.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Gebruik waar mogelijk eenmalige aanmelding van Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik microsoft Defender voor cloudidentiteit en aanbevelingen voor toegang.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity en aanbevelingen voor toegangsbeheer volgen om uw Data Lake Analytics resources te beschermen.

Verantwoordelijkheid: Klant

3.6: Speciale machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Gebruik een beveiligd, door Azure beheerd werkstation (ook wel een Privileged Access Workstation of PAW genoemd) voor beheertaken waarvoor verhoogde bevoegdheden zijn vereist.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten vanuit beheerdersaccounts

Richtlijnen: Gebruik Azure Active Directory-beveiligingsrapporten (Azure AD) voor het genereren van logboeken en waarschuwingen wanneer er verdachte of onveilige activiteiten plaatsvinden in de omgeving. Gebruik Microsoft Defender voor Cloud om identiteiten en toegangsactiviteiten te bewaken.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Gebruik Azure Active Directory (Azure AD) benoemde locaties om alleen toegang te verlenen vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Gebruik Azure Active Directory (Azure AD) als het centrale verificatie- en autorisatiesysteem. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) biedt gedetailleerde controle over de toegang van een client tot Data Lake Analytics resources.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken voor het detecteren van verouderde accounts. Gebruik bovendien Azure AD identiteits- en toegangsbeoordelingen om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Schakel diagnostische instellingen in voor Data Lake Analytics en Azure Active Directory (Azure AD), waarmee alle logboeken naar een Log Analytics-werkruimte worden verzonden. Configureer de gewenste waarschuwingen (zoals pogingen om toegang te krijgen tot uitgeschakelde geheimen) in Log Analytics.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik de functies risico- en identiteitsbeveiliging van Azure Active Directory (Azure AD) om geautomatiseerde reacties te configureren op gedetecteerde verdachte acties met betrekking tot uw Data Lake Analytics-resources. U moet geautomatiseerde antwoorden via Microsoft Sentinel inschakelen om de beveiligingsreacties van uw organisatie te implementeren.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventarisatie van gevoelige informatie onderhouden

Richtlijnen: gebruik tags om te helpen bij het bijhouden van Data Lake Analytics resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Isolatie implementeren met behulp van afzonderlijke abonnementen, beheergroepen voor afzonderlijke beveiligingsdomeinen, zoals omgeving, gegevensgevoeligheid. U kunt uw Data Lake Analytics beperken om het toegangsniveau van uw Data Lake Analytics resources te beheren die uw toepassingen en bedrijfsomgevingen eisen. Wanneer firewallregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken toegang tot uw Data Lake Analytics resources. U kunt de toegang tot Azure Data Lake Analytics beheren via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Verantwoordelijkheid: Klant

4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: functies voor preventie van gegevensverlies zijn nog niet beschikbaar voor Azure Data Lake Analytics-resources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Microsoft Azure-resources onderhandelen standaard over TLS 1.2. Zorg ervoor dat clients die verbinding maken met uw Data Lake Analytics kunnen onderhandelen via TLS 1.2 of hoger.

Verantwoordelijkheid: Gedeeld

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: Functies voor gegevensidentificatie zijn nog niet beschikbaar voor Azure Data Lake Analytics-resources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Verantwoordelijkheid: Klant

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om te bepalen hoe gebruikers met de service communiceren.

Verantwoordelijkheid: Klant

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: Gegevens worden opgeslagen in het standaardaccount Data Lake Storage Gen1. Voor data-at-rest ondersteunt Data Lake Storage Gen1 'standaard ingeschakeld', transparante versleuteling.

Verantwoordelijkheid: Gedeeld

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer er wijzigingen plaatsvinden in productie-exemplaren van Azure Data Lake Analytics-resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: Volg aanbevelingen van Microsoft Defender for Cloud voor het beveiligen van uw Azure Data Lake Analytics-resources.

Microsoft voert beveiligingsbeheer uit op de onderliggende systemen die Ondersteuning bieden voor Azure Data Lake Analytics.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Gebruik een gemeenschappelijk programma voor het scoren van risico's (bijvoorbeeld Common Vulnerability Scoring System) of de standaardrisicobeoordelingen van uw hulpprogramma voor scannen van derden.

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) in uw abonnementen op te vragen en te detecteren. Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources in uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Azure Resource Graph Explorer, wordt het ten zeerste aanbevolen om Azure Resource Manager-resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Azure Data Lake Analytics-resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Gebruik daarnaast Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Daarnaast gebruikt u Azure Resource Graph om resources in de abonnementen op te vragen/te detecteren.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Configureer voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.DataLakeAnalytics om aangepast beleid te maken om de configuratie van uw Azure Data Lake Analytics-service te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot uw Azure-Data Lake Analytics, zoals:

  • Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren indien niet aanwezig] effecten om beveiligde instellingen af te dwingen in uw Azure-resources.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Gebruik Azure-opslagplaatsen om uw code veilig op te slaan en te beheren, zoals aangepaste Azure-beleidsregels, Azure Resource Manager-sjablonen, Desired State Configuration scripts, enzovoort. Voor toegang tot de resources die u beheert in Azure DevOps, kunt u machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Azure AD indien geïntegreerd met TFS.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.DataLakeAnalytics om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Gebruik Azure Policy [audit], [weigeren] en [implementeren indien niet aanwezig] effecten om automatisch configuraties af te dwingen voor uw Azure Data Lake Analytics-resources.

Verantwoordelijkheid: Klant

7.13: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources in Azure

Richtlijnen: Microsoft antimalware is ingeschakeld op de onderliggende host die Ondersteuning biedt voor Azure-services (bijvoorbeeld Azure Data Lake Analytics), maar deze wordt niet uitgevoerd op klantinhoud.

Scan alle inhoud die wordt geüpload naar Azure-resources vooraf, zoals App Service, Data Lake Analytics, Blob Storage, enzovoort. Microsoft heeft geen toegang tot uw gegevens in deze exemplaren.

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Data Lake Analytics takenlogboeken en gegevensuitvoer worden opgeslagen in de onderliggende Data Lake Storage Gen1-service. U kunt verschillende methoden gebruiken om gegevens te kopiëren, waaronder ADLCopy, Azure PowerShell of Azure Data Factory. U kunt ook Azure Automation gebruiken om regelmatig een back-up van gegevens te maken.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Data Lake Analytics takenlogboeken en gegevensuitvoer worden opgeslagen in de onderliggende Data Lake Storage Gen1-service. U kunt verschillende methoden gebruiken om gegevens te kopiëren, waaronder ADLCopy, Azure PowerShell of Azure Data Factory.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Voer regelmatig gegevensherstel van uw back-upgegevens uit om de integriteit van de gegevens te testen.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Data Lake Analytics back-ups die zijn opgeslagen in uw Data Lake Storage Gen1 of Azure Storage ondersteunen standaard versleuteling en kunnen niet worden uitgeschakeld. U moet uw back-ups behandelen als gevoelige gegevens en de relevante besturingselementen voor toegang en gegevensbeveiliging toepassen als onderdeel van deze basislijn.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer bovendien duidelijk abonnementen (voor bijvoorbeeld productie, niet-prod) met behulp van tags en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen om uw Azure-resources te beschermen. Identificeer zwakke punten en hiaten en pas uw antwoordplan zo nodig aan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen