Azure-beveiligingsbasislijn voor Network Watcher

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Network Watcher. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Network Watcher.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Network Watcher en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Network Watcher volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Network Watcher toewijzingsbestand voor de beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Network Watcher maakt de onderliggende DNS-configuraties niet beschikbaar. Deze instellingen worden onderhouden door Microsoft.

Verantwoordelijkheid: Microsoft

Uitgebreide toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Network Watcher is geïntegreerd met Azure RBAC om de toegang tot de resources te beheren. Met Azure RBAC kunt u toegang tot Azure-resources beheren via roltoewijzingen. Wijs deze rollen toe aan:

  • Gebruikers
  • Groepen
  • Service-principals
  • Beheerde identiteiten

Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources. U kunt deze rollen inventariseren of er query's op uitvoeren via hulpprogramma's, zoals:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Beperk altijd de bevoegdheden die u toewijst aan resources via Azure RBAC aan wat de rollen vereisen. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM). Controleer deze bevoegdheden periodiek.

Gebruik ingebouwde rollen om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.

Als u Network Watcher mogelijkheden wilt gebruiken, wijst u het account toe waarmee u zich aanmeldt bij Azure met een van deze ingebouwde rollen:

  • Eigenaar
  • Inzender
  • Netwerkbijdrager

Of gebruik een aangepaste rol waaraan de acties zijn toegewezen die worden vermeld voor specifieke Network Watcher mogelijkheden.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Richtlijnen: Azure Network Watcher biedt geen ondersteuning voor klanten-lockbox. Microsoft kan met klanten samenwerken via niet-lockbox-methoden om goedkeuring te verlenen voor toegang tot klantgegevens.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Microsoft beheert de onderliggende infrastructuur voor Azure Network Watcher en gerelateerde resources. Het implementeert strikte controles om verlies of blootstelling van klantgegevens te voorkomen.

Verantwoordelijkheid: Microsoft

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Azure Network Watcher ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Azure biedt standaard versleuteling voor gegevens die onderweg zijn tussen Azure-datacenters.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-2: Zorg ervoor dat het beveiligingsteam toegang heeft tot assetinventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een continu bijgewerkte inventaris van assets in Azure, zoals Network Watcher. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventarisatie is ook een invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep die het geautoriseerde beveiligingsteam van uw organisatie bevat. Leestoegang geven tot het beveiligingsteam voor alle Network Watcher resources. U kunt deze acties vereenvoudigen in één roltoewijzing op hoog niveau binnen uw abonnement.

Als u logisch wilt ordenen in een taxonomie, past u tags toe op uw:

  • Azure-resources
  • Resourcegroepen
  • Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Network Watcher heeft geen systeemeigen mogelijkheden om beveiligingsrisico's te bewaken die betrekking hebben op de bijbehorende resources.

Stuur logboeken die betrekking hebben op Azure Network Watcher door naar uw SIEM. U kunt uw SIEM gebruiken om aangepaste bedreigingsdetecties in te stellen. Bewaak verschillende typen Azure-assets op mogelijke bedreigingen en afwijkingen. Als u fout-positieven wilt verminderen voor analisten om door te sorteren, richt u zich op het verkrijgen van waarschuwingen van hoge kwaliteit. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Resourcelogboeken van netwerkbeveiligingsgroepen (NSG) en NSG-stroomlogboeken inschakelen en verzamelen. Gebruik deze logboeken voor beveiligingsanalyse ter ondersteuning van:

  • Incidentonderzoeken
  • Detectie van bedreigingen
  • Genereren van beveiligingswaarschuwingen

De stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte. Gebruik Vervolgens Traffic Analytics om inzichten te bieden. Network Watcher geen DNS-querylogboeken produceert of verwerkt.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Een waarschuwing is ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Het azure-activiteitenlogboek gebruiken, configuraties bewaken en wijzigingen voor uw Azure Network Watcher-exemplaren detecteren. Behalve op het besturingsvlak (bijvoorbeeld de Azure Portal), genereert Network Watcher zelf geen auditlogboeken. Voor resources in een virtueel Azure-netwerk biedt Network Watcher hulpprogramma's voor het volgende:

  • Monitor
  • Diagnosticeren
  • Metrische gegevens bekijken
  • Logboeken in- of uitschakelen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Als u de correlatie van Azure Network Watcher logboekgegevens wilt inschakelen, centraliseert u de opslag en analyse van logboekregistratie. Wijs voor elke logboekbron het volgende toe:

  • Een gegevenseigenaar
  • Toegangsrichtlijnen
  • Opslaglocatie
  • Hulpprogramma's die worden gebruikt voor het verwerken en openen van de gegevens
  • Vereisten voor gegevensretentie

Azure-activiteitenlogboeken integreren in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door:

  • Eindpuntapparaten
  • Netwerkbronnen
  • Andere beveiligingssystemen

In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren. Gebruik Azure Storage-accounts voor langetermijn- en archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt. De organisaties gebruiken vervolgens Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Network Watcher service is afhankelijk van microsoft-tijdsynchronisatiebronnen en wordt deze niet beschikbaar gesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Met Azure Policy definieert en implementeert u standaardbeveiligingsconfiguraties voor Azure Network Watcher. Met Azure Policy aliassen in de naamruimte Microsoft.Network maakt u aangepast beleid om de netwerkconfiguratie van uw Network Watcher-exemplaren te controleren of af te dwingen. Maak ook gebruik van ingebouwde beleidsdefinities, zoals:

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Gebruik de beleidsdefinities Deny and DeployIfNotExists in Azure Policy om beveiligde instellingen af te dwingen voor Azure Network Watcher in uw Azure-resources.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg voor herstel van alle kritieke beveiligingsresultaten.

Maakt u zich zorgen dat uw penetratietests microsoft-beleid schenden? Volg vervolgens de Regels voor het testen van Microsoft Cloud-penetratietests. Gebruik de strategie en uitvoering van Red Teaming en live site-penetratietests van Microsoft voor door Microsoft beheerde:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure Network Watcher implementeert geen klantgerichte rekenresources waarvoor klanten antimalwarebeveiliging moeten configureren. Microsoft verwerkt de onderliggende infrastructuur voor Azure Network Watcher. Deze infrastructuur omvat het verwerken van antimalware.

Verantwoordelijkheid: Microsoft

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Azure Network Watcher implementeert geen klantgerichte rekenresources waarvoor klanten antimalwarebeveiliging moeten configureren. Microsoft verwerkt de onderliggende infrastructuur voor Azure Network Watcher. Deze infrastructuur omvat het verwerken van antimalware.

Verantwoordelijkheid: Microsoft

Volgende stappen