Azure-beveiligingsbasislijn voor Azure Monitor

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Monitor. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Monitor.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Monitor en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Monitor volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor beveiligingsbasislijnen van Azure Monitor.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Wanneer u Microsoft Azure Monitor-resources implementeert, maakt of gebruikt u een bestaand virtueel netwerk. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Hebt u een systeem dat een hoger risico voor de organisatie kan opleveren? Isoleer dat systeem vervolgens binnen een eigen virtueel netwerk en beveilig het voldoende met een netwerkbeveiligingsgroep (NSG) of Azure Firewall.

Als u microsoft Defender voor Cloud adaptieve netwerkbeveiliging gebruikt, raadt u NSG-configuraties aan waarmee poorten en bron-IP-adressen worden beperkt. Baseer de configuraties op de regels voor extern netwerkverkeer.

Configureer Monitor voor het gebruik van TLS (Transport Layer Security) 1.2. U kunt deze configuratie instellen voor resource-implementaties van Monitor via Azure Resource Manager-sjablonen (ARM-sjablonen). Dwing de configuratie af via Azure Policy. Maar als u verouderde protocollen uitschakelt, kan dit van invloed zijn op de compatibiliteit met eerdere versies van uw service of toepassing.

Voor communicatie met uw Log Analytics-werkruimten en Application Insights-onderdelen heeft uitgaand verkeer van uw netwerk toegang nodig tot een lijst met eindpunten. Normaal gesproken gaat de communicatie via poort 443 of poort 80. Voor sommige Application Insights-functies, zoals beschikbaarheidstests, is binnenkomend verkeer naar uw netwerk vereist.

• Azure Private Link instellen voor Monitor

• Computers verbinden zonder internettoegang met behulp van de Log Analytics-gateway in Monitor

• Private Link gebruiken om netwerken te verbinden met Bewaken

• Gegevensbeveiliging van Azure Monitor-logboeken

• IP-adressen die worden gebruikt door Monitor

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Met behulp van Azure ExpressRoute of vpn (Virtual Private Network) kunt u privéverbindingen maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet. In vergelijking met typische internetverbinding bieden ExpressRoute-verbindingen:

• Meer betrouwbaarheid
• Snellere snelheden
• Lagere latenties

Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk. Gebruik een combinatie van deze VPN-opties en ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Dit verkeer wordt bewaard in het Backbone-netwerk van Azure.

Zodra u uw netwerken hebt gekoppeld, raden we u aan een Private Link te gebruiken om privé te communiceren met uw Monitor-resources. Zie 'Uw Private Link instellen' ontwerpen om te plannen hoe deze is toegepast op uw netwerktopologie.

• Uw Private Link-installatie ontwerpen

• Wat zijn de ExpressRoute-connectiviteitsmodellen?

• Overzicht van Azure VPN

• Peering op virtueel netwerk

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: schakel Private Link in om toegang tot SaaS-services (Software as a Service) van Azure (zoals Monitor) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk toe te staan. Verkeer tussen uw virtuele netwerk en de service loopt via het Backbone-netwerk van Microsoft, waardoor blootstelling van het openbare internet wordt geëlimineerd.

Hier volgen enkele tips voor het beheren van toegang:

• Gebruik de servicetags 'AzureMonitor' om inkomend en uitgaand verkeer via NSG's toe te staan om verkeer toe te staan bij Monitor.
• Gebruik de servicetag ApplicationInsightsAvailability voor al het binnenkomende verkeer via NSG's om testverkeer van beschikbaarheidsbewaking te laten bereiken bij Monitor.
• Als u wilt toestaan dat waarschuwingsmeldingen klanteindpunten bereiken, gebruikt u de servicetag ActionGroup om binnenkomend verkeer via NSG's toe te staan.

Met behulp van regels voor virtuele netwerken kunt u Monitor instellen om alleen communicatie te ontvangen van geselecteerde subnetten in een virtueel netwerk.

Hebt u computers die niet rechtstreeks verbinding kunnen maken met internet? Gebruik vervolgens de Log Analytics-gateway, waarmee gegevens kunnen worden verzonden naar een Log Analytics-werkruimte in Monitor. Dit betekent dat u deze computers niet hoeft te verbinden met internet.

• Private Link instellen voor monitor

• Wat zijn de ExpressRoute-connectiviteitsmodellen?

• Computers verbinden zonder internettoegang met behulp van de Log Analytics-gateway in Monitor

• Overzicht van Azure VPN

• Peering op virtueel netwerk

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Bewaken kan resources bewaken die zijn geïmplementeerd in uw netwerk. Uw netwerk moet uitgaand verkeer dus toestaan om eindpunten te bewaken (zoals logboekopname). U wordt aangeraden een Private Link te gebruiken tussen uw netwerk en uw monitorbronnen. Als u geen Private Link wilt gebruiken, kunt u het uitgaande verkeer van uw netwerk nog steeds beperken tot eindpunten bewaken. Gebruik servicetags voor virtuele Azure-netwerken op NSG's of Azure Firewall.

Wanneer u beveiligingsregels maakt, gebruikt u servicetags in plaats van specifieke IP-adressen. Door de naam van de servicetag op te geven in het bron- of doelveld van de juiste regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die de servicetag omvat. De servicetag wordt automatisch bijgewerkt als adressen worden gewijzigd.

• Overzicht van servicetags

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: volg de aanbevolen procedures voor DNS-beveiliging (Domain Name System) om veelvoorkomende aanvallen te beperken, zoals:

• Dangling DNS
• DNS-amplifications-aanvallen
• DNS-vergiftiging en spoofing

Controleren vereist doorgaans niet dat u uw DNS configureert of op een specifieke manier beheert. Maar als u Privékoppelingen bewaken gebruikt, moet u uw DNS bijwerken. Vervolgens wijzen DNS-zones de monitor-eindpunten toe aan uw privé-IP-adressen.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, beveiligt u DNS-zones en -records tegen onbedoelde of schadelijke wijzigingen. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en resourcevergrendelingen om de beveiliging toe te passen.

• Overzicht van Azure DNS

• Handleiding voor beveiligde DNS-implementatie

• Zwevende DNS-vermeldingen voorkomen en overname van subdomeinen voorkomen

• Een aangepaste DNS configureren voor Azure SQL beheerd exemplaar

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Monitor maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

• Microsoft Cloud-resources, zoals:
  • Azure Portal
  • Azure Storage
  • Virtuele Azure-machine (Linux en Windows)
  • Azure Key Vault
  • Platform as a service (PaaS)
  • SaaS-toepassingen (Software as a Service)
• De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Beveilig Azure AD een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore. Deze score helpt u bij het beoordelen van uw beveiligingspostuur voor identiteiten op basis van de aanbevelingen voor best practices van Microsoft. Met deze score kunt u meten hoe nauw uw configuratie overeenkomt met aanbevelingen voor aanbevolen procedures. Breng vervolgens verbeteringen aan in uw beveiligingspostuur.

Opmerking: Azure AD ondersteunt externe identiteit. Gebruikers zonder Een Microsoft-account kunnen zich aanmelden bij hun toepassingen en resources met hun externe identiteit.

• Tenancy in Azure AD

• Een Azure AD-exemplaar maken en configureren

• Externe id-providers gebruiken voor toepassingen

• Wat is de id-beveiligingsscore in Azure AD?

• Ingebouwde rollen bewaken

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Monitor ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Monitor in plaats van service-principals te maken voor toegang tot andere resources. Monitor kan systeemeigen worden geverifieerd bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. De verificatie vindt plaats via een vooraf gedefinieerde regel voor het verlenen van toegang. Er worden geen referenties gebruikt die zijn vastgelegd in broncode- of configuratiebestanden.

• Azure AD-verificatie voor Application Insights
• Door Azure beheerde identiteiten
• Services die beheerde identiteiten ondersteunen voor Azure-resources

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Bewaken maakt gebruik van Azure AD om identiteits- en toegangsbeheer te bieden voor:

• Azure-resources
• Cloudtoepassingen
• On-premises toepassingen

Identiteits- en toegangsbeheer omvat bedrijfsidentiteiten, zoals werknemers. Het omvat ook externe identiteiten, zoals:

• Partners
• Leveranciers
• Leveranciers

Met deze rangschikking kan eenmalige aanmelding (SSO) toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. Eenmalige aanmelding werkt on-premises en in de cloud. Voor naadloze, veilige toegang, plus meer zichtbaarheid en controle, maakt u verbinding met Azure AD al uw:

• Gebruikers
• Toepassingen
• Apparaten

Lees het volgende artikel voor meer informatie:

• Inzicht in eenmalige aanmelding van toepassingen met Azure AD

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Monitor implementeren met ARM-sjablonen die mogelijk geheimen bevatten die in code zijn gedefinieerd. Implementeer referentiescanner om referenties in uw Monitor-infrastructuur te identificeren als codesjablonen. Referentiescanner stimuleert ook het verplaatsen van gedetecteerde referenties naar veiligere locaties, zoals Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken. Met deze functie worden referenties of andere vormen van geheimen in de code geïdentificeerd.

• Referentiescanner instellen

• Scannen op geheimen in GitHub

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers die aan deze twee rollen zijn toegewezen, kunnen beheerdersrollen delegeren:

• Globale beheerder of bedrijfsbeheerder. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD en services die gebruikmaken van Azure AD identiteiten.

• Beheerder met bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD en binnen Azure AD Privileged Identity Management (PIM). Met deze rol kunt u ook alle aspecten van PIM en beheereenheden beheren.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsassets.

Beperk het aantal accounts of rollen met hoge bevoegdheden. Beveilig deze accounts op verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen.

Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure AD inschakelen met behulp van Azure AD PIM. JIT verleent tijdelijke machtigingen om alleen bevoegde taken uit te voeren wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten zijn in uw Azure AD organisatie.

• Machtigingen voor beheerdersrollen in Azure AD

• Azure PIM-beveiligingswaarschuwingen gebruiken

• Beveiligde bevoegde toegang voor hybride en cloudimplementaties in Azure AD

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Om ervoor te zorgen dat de gebruikersaccounts en hun toegang geldig zijn, gebruikt Monitor regelmatig Azure AD accounts voor:

• Beheer de resources.
• Gebruikersaccounts controleren.
• Toegangstoewijzingen.

Gebruik Azure AD toegangsbeoordelingen om het volgende te bekijken:

• Groepslidmaatschappen
• Toegang tot bedrijfstoepassingen
• Roltoewijzingen

Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. Gebruik ook Azure AD PIM om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te helpen.

U kunt Azure PIM ook configureren om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt. Of configureer om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

• Een toegangsbeoordeling maken van Azure-resourcerollen in PIM

• Identiteits- en toegangsbeoordelingen voor Azure AD gebruiken

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals:

• Beheerders
• Ontwikkelaars
• Kritieke serviceoperators

Gebruik zeer beveiligde gebruikerswerkstations of Azure Bastion voor beheertaken. Als u een beveiligd en beheerd gebruikerswerkstation wilt implementeren, gebruikt u een of meer van:

• Azure AD
• Microsoft Defender Advanced Threat Protection (ATP)
• Microsoft Intune

U kunt de beveiligde werkstations centraal beheren om beveiligde configuratie af te dwingen, waaronder:

• Strenge verificatie
• Software- en hardwarebasislijnen
• Beperkte logische en netwerktoegang

Lees de volgende artikelen voor meer informatie:

• Inzicht krijgen in bevoegde toegangswerkstations

• Een werkstation met uitgebreide toegang gebruiken

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van:

• Azure RBAC
• Toegangsbeheer op basis van netwerken
• RBAC-besturingselementen op basis van Azure Monitor-tabellen.

Om consistent toegangsbeheer te garanderen, moet u alle typen toegangsbeheer uitlijnen op uw bedrijfssegmentatiestrategie. Informeer ook de strategie voor bedrijfssegmentatie met de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende door Microsoft beheerde platform behandelt Microsoft alle klantinhoud als gevoelig. Het beschermt tegen gegevensverlies en blootstelling van klanten. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, implementeert Microsoft enkele standaardbesturingselementen voor gegevensbeveiliging en -mogelijkheden.

• RBAC-besturingselementen op basis van Azure Monitor-tabellen

• Azure RBAC

• Informatie over beveiliging van klantgegevens in Azure

Verantwoordelijkheid: Klant

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Niet van toepassing; voor het onderliggende door Microsoft beheerde platform behandelt Microsoft alle klantinhoud als gevoelig. Het gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, implementeert en onderhoudt Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging.

• Informatie over beveiliging van klantgegevens in Azure

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling. Vervolgens kunnen aanvallers de gegevens niet eenvoudig lezen of wijzigen.

Monitor ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Hoewel deze functie optioneel is voor verkeer op privénetwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, kunnen onderhandelen over TLS v1.2 of hoger. Gebruik een van de volgende mogelijkheden voor extern beheer in plaats van een niet-versleuteld protocol:

• Secure Shell (SSH) voor Linux
• Remote Desktop Protocol (RDP) en TLS voor Windows

Schakel zwakke coderingen uit, plus verouderde versies en protocollen van:

• Secure Sockets Layer (SSL)

• TLS

• SSH

Lees de volgende artikelen voor meer informatie:

• Application Insights configureren om ervoor te zorgen dat gegevens alleen TLS v1.2 of hoger gebruiken

• Log Analytics configureren om ervoor te zorgen dat gegevens alleen TLS v1.2 of hoger gebruiken

• Inzicht in versleuteling tijdens overdracht met Azure

• Informatie over TLS-beveiliging

• Dubbele versleuteling voor Azure-gegevens die onderweg zijn

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Ter aanvulling op besturingselementen voor toegang, versleutelt Monitor gegevens-at-rest. Dit gedrag beschermt tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Het helpt ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u meer versleutelings-at-rest implementeren op alle Azure-resources, indien beschikbaar. Azure beheert standaard uw versleutelingssleutels. Het biedt ook opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services.

• Door de klant beheerde versleutelingssleutels configureren in Monitor

• Versleutelingsmodel en sleutelbeheertabel

• Meer informatie over versleuteling van data-at-rest in Azure

• Data-at-rest dubbele versleuteling in Azure

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen. Vervolgens kunnen de teams controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe u de verantwoordelijkheden van het beveiligingsteam structureringt, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn voor het bewaken van beveiligingsrisico's. Maar aggregeren altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

Pas de machtigingen beveiligingslezer breed toe op een hele tenant (hoofdbeheergroep). Of bereik de machtigingen voor beheergroepen of specifieke abonnementen.

Opmerking: er zijn mogelijk extra machtigingen nodig om inzicht te krijgen in workloads en services.

• Overzicht van de rol Beveiligingslezer

• Overzicht van Azure-beheergroepen

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: uw beveiligingsteams toegang verlenen tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Monitor. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventaris is ook een invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. Wijs vervolgens leestoegang toe aan de groep voor alle bewakingsbronnen. Om dit proces te vereenvoudigen, kunt u één roltoewijzing op hoog niveau binnen uw abonnement gebruiken.

Als u logisch wilt ordenen in een taxonomie, past u tags toe op uw Azure:

• Resources
• Resourcegroepen
• Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Met Monitor kunt u geen toepassing uitvoeren of software installeren op de bijbehorende resources.

• Query's maken met Azure Resource Graph Explorer

• Inventarisbeheer van Microsoft Defender voor Cloud-assets

• Handleiding voor beslissingen over taggen en naamgeving voor resources

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: met behulp van Azure Policy, controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Resource Graph om resources in hun abonnementen op te vragen en te detecteren. Gebruik Monitor ook om regels te maken die waarschuwingen activeren wanneer een niet-goedgekeurde service wordt gedetecteerd.

• Azure Policy configureren en beheren

• Een specifiek resourcetype weigeren met Azure Policy

• Query's maken met Resource Graph Explorer

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Monitor biedt geen systeemeigen mogelijkheden om beveiligingsrisico's te bewaken die betrekking hebben op de bijbehorende resources.

Stuur logboeken van Monitor door naar uw SIEM, die u kunt gebruiken om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. U kunt waarschuwingen van:

• Logboekgegevens
• Agents
• Andere gegevens

Waarschuwingen voor deze logboeken activeren een query met gevoelige logboeken, het opschonen of verwijderen van logboeken.

• Aangepaste regels maken voor het detecteren van bedreigingen

• Cyber bedreigingsinformatie met Microsoft Sentinel

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken:

• Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

• Auditlogboeken. Een auditlogboek biedt traceerbaarheid voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van:

  • Gebruikers
  • Apps
  • Groepen
  • Rollen
  • Beleidsregels

• Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is gedaan door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

• Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

U kunt deze logboeken bekijken in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u de logboeken integreren met:

• Monitor
• Microsoft Sentinel
• Andere SIEM-/bewakingshulpprogramma's

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten. Deze activiteiten omvatten een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van:

• Afzonderlijke Azure-rekenresources (virtuele machines, containers en app service).
• Gegevensbronnen (SQL DB en opslag).
• Azure-servicelagen.

Met deze mogelijkheid kunt u accountafwijkingen binnen afzonderlijke resources zien.

• Controleactiviteitenrapporten in Azure AD

• Azure AD Identity Protection inschakelen

• Bedreigingsbeveiliging in Microsoft Defender for Cloud

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Voor beveiligingsanalyse schakelt u het volgende in en verzamelt u:

• NSG-resourcelogboeken
• NSG-stroomlogboeken
• logboeken Azure Firewall
• WAF-logboeken (Web Application Firewall)

Pas de beveiligingsanalyse toe op ondersteuning:

• Incidentonderzoeken
• Detectie van bedreigingen
• Genereren van beveiligingswaarschuwingen

U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte. Gebruik vervolgens Traffic Analytics om inzichten te bieden.

Monitor produceert of verwerkt geen DNS-querylogboeken die moeten worden ingeschakeld.

• NSG-stroomlogboeken inschakelen

• logboeken en metrische gegevens Azure Firewall

• Traffic Analytics inschakelen en gebruiken

• Bewaking met Azure Network Watcher

• Azure-netwerkbewakingsoplossingen in Azure Monitor

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw monitorresources. Deze logboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). Gebruik activiteitenlogboeken om een fout te vinden bij het oplossen van problemen. Of gebruik de logboeken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Actiegroepen bewaken produceren momenteel geen Azure-resourcelogboeken.

• Platformlogboeken en metrische gegevens verzamelen met Monitor

• Meer informatie over logboekregistratie en verschillende logboektypen in Azure

• Informatie over het verzamelen van gegevens in Microsoft Defender for Cloud

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - microsoft.insights:

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	3.0.1
Resourcelogboeken in Key Vault moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in zoekservices moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Wijs voor elke logboekbron het volgende toe:

• Gegevenseigenaar
• Toegangsrichtlijnen
• Opslaglocatie
• Welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens
• Vereisten voor gegevensretentie

Azure-activiteitenlogboeken integreren in uw centrale logboekregistratie. Logboeken opnemen via Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door:

• Eindpuntapparaten
• Netwerkbronnen
• Andere beveiligingssystemen

Gebruik Log Analytics-werkruimten in Monitor om query's uit te voeren en analyses uit te voeren. Gebruik opslagaccounts voor langetermijn- en archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt. Deze organisaties kiezen vervolgens Opslag voor 'koude' gegevens die minder vaak worden gebruikt.

Voor toepassingen die op Monitor kunnen worden uitgevoerd, stuurt u alle beveiligingslogboeken door naar uw SIEM voor gecentraliseerd beheer.

• Platformlogboeken en metrische gegevens verzamelen met Monitor

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Hulp: Hebt u opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van monitorlogboeken? Stel vervolgens de bewaarperiode voor logboeken in op de nalevingsregels van uw organisatie.

In Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op de nalevingsregels van uw organisatie. Gebruik een van deze onderdelen voor langetermijnopslag en archivering:

• Azure Storage-account
• Azure Data Lake Storage-account
• Log Analytics-werkruimte

Lees de volgende artikelen voor meer informatie:

• Bewaarperiode voor Log Analytics-werkruimte configureren

• Resourcelogboeken opslaan in een opslagaccount

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Bewaken biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Monitor-services zijn afhankelijk van Microsoft-tijdsynchronisatiebronnen, die niet beschikbaar zijn voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Moet u configuraties van uw Azure-resources controleren en afdwingen? Monitor ondersteunt het volgende servicespecifieke beleid dat beschikbaar is in Microsoft Defender voor Cloud. U kunt dit beleid configureren in Microsoft Defender voor Cloud of Azure Policy initiatieven.

• Er moet een Log Analytics-agent worden geïnstalleerd op uw Rolinstanties van Azure Cloud Services (uitgebreide ondersteuning). Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement.
• Automatische inrichting van de Log Analytics-agent voor uw abonnementen in Microsoft Defender for Clouds moet zijn ingeschakeld met de standaardwerkruimte.
• De automatische inrichting van de Log Analytics-agent van Microsoft Defender voor Cloud voor uw abonnementen moet zijn ingeschakeld met een aangepaste werkruimte.
• De Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Microsoft Defender for Cloud-bewaking.
• De Log Analytics-agent moet worden geïnstalleerd op uw virtuele machine voor Microsoft Defender voor Cloud-bewaking.
• Problemen met de status van de Log Analytics-agent moeten worden opgelost op uw computers.
• Exporteren naar een Log Analytics-werkruimte moet worden geïmplementeerd voor Microsoft Defender voor Cloud-gegevens.

Monitor biedt meer beleidsregels voor het beveiligen van gegevens via opname en opslag:

• Application Insights-onderdelen waarvoor Private Link ingeschakeld, moeten BYOS-accounts (Bring Your Own Storage) gebruiken voor de profiler en het foutopsporingsprogramma.
• Werkmappen moeten worden opgeslagen in opslagaccounts die u beheert.
• Opgeslagen query's in Monitor moeten worden opgeslagen in een opslagaccount van de klant voor logboekversleuteling.
• Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK-beveiliging (Bring Your Own Key).
• Azure Monitor-logboekclusters moeten worden versleuteld met een door de klant beheerde sleutel.
• Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling).

Gebruik Azure Blueprints om de implementatie en configuratie van services en toepassingsomgevingen in één blauwdrukdefinitie te automatiseren. Deze services en omgevingen omvatten:

• ARM-sjablonen
• Azure RBAC-besturingselementen
• Beleidsregels

Lees de volgende artikelen voor meer informatie:

• Werken met beveiligingsbeleid in Microsoft Defender for Cloud

• Afbeelding van de implementatie van kaders in landingszone op ondernemingsniveau

• Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren

• Azure Blueprints

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Gebruik Microsoft Defender for Cloud om uw configuratiebasislijn te bewaken. Gebruik de beleidsdefinities Deny and DeployIfNotExists in Azure Policy om veilige configuratie af te dwingen voor Azure-rekenresources, waaronder:

• Virtuele machines
• Containers
• Andere

Lees de volgende artikelen voor meer informatie:

• Inzicht in Azure Policy-effecten

• Beleidsregels voor het afdwingen van naleving maken en beheren

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties onderhouden voor rekenresources

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen maken

Richtlijnen: Microsoft biedt beheer van beveiligingsproblemen op de onderliggende systemen die ondersteuning bieden voor Monitor.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Klanten kunnen Azure Monitor inschakelen in Azure en niet-Azure-VM's door een agent te installeren. Als u mogelijke beveiligingsproblemen in de agent die in uw besturingssysteem wordt uitgevoerd, wilt oplossen, moet u de agent regelmatig upgraden.

Microsoft raadt u aan om automatisch bijwerken altijd te selecteren in uw extensie-implementaties. Hotfix-updates die oplossingen voor beveiligings- of sleutelfouten bevatten, kunnen niet worden afgemeld.

Configureer de Log Analytics-agent voor Windows en Linux in virtuele Azure-machines om standaard een upgrade uit te voeren. Vervolgens worden alle updates met beveiligings- of sleutelfoutoplossingen snel geïmplementeerd.

• De Log Analytics-agent voor Windows en Linux beheren en onderhouden

• Extensie-updatefunctie voor virtuele Azure-machines en Windows

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld. Volg de Regels voor penetratietests van Microsoft om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerd:

• Cloudinfrastructuur
• Services
• Toepassingen

Lees de volgende artikelen voor meer informatie:

• Penetratietesten in Azure

• Regels voor het inzetten van penetratietests

• Microsoft Cloud Red Teaming

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: Gebruik Azure Resource Manager om monitor- en gerelateerde resources te exporteren in een JSON-sjabloon (JavaScript Object Notation). U kunt deze ARM-sjabloon gebruiken om back-ups te maken van monitorconfiguraties en gerelateerde configuraties. Gebruik Azure Automation om de back-upscripts automatisch uit te voeren.

Monitor heeft interne back-ups voor alle klantgegevens. Er is geen actie nodig voor klanten, met uitzondering van logboekgegevens die zijn opgeslagen in de Log Analytics-werkruimten. U kunt de exportfunctie gebruiken om een back-up te maken van deze gegevens, waaronder Application Insights-inhoud die gegevens opslaat in een Log Analytics-werkruimte.

• Log Analytics-werkruimten beheren met ARM-sjablonen

• Log Analytics-werkruimtegegevens exporteren in Monitor

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: zorg ervoor dat u Azure Resource Manager-sjabloonbestanden periodiek kunt herstellen. Test het herstel van door de klant beheerde sleutels.

• Log Analytics-werkruimten beheren met ARM-sjablonen

• Sleutelkluissleutels herstellen in Azure

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat er maatregelen zijn om te voorkomen dat sleutels verloren gaan. Als u sleutels wilt beschermen tegen onbedoelde of schadelijke verwijdering, schakelt u voorlopig verwijderen en opschonen in Key Vault in.

• Voorlopig verwijderen en opschonen inschakelen in Key Vault

Verantwoordelijkheid: Klant

Volgende stappen

• Zie Overzicht Azure Security Benchmark V2
• Meer informatie over Azure-beveiligingsbasislijnen