Azure-beveiligingsbasislijn voor Microsoft Sentinel

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Microsoft Sentinel. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Microsoft Sentinel.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Microsoft Sentinel en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Microsoft Sentinel volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor de beveiligingsbasislijn van Microsoft Sentinel.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: niet van toepassing. Microsoft Sentinel is niet ontworpen om te implementeren in een Azure-Virtual Network. Alle onderliggende infrastructuur voor de service wordt volledig beheerd door Microsoft.

Microsoft Sentinel biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. U kunt dus geen bepaalde netwerkfuncties gebruiken met de resources van het aanbod, zoals:

• Netwerkbeveiligingsgroepen
• Routetabellen
• Andere netwerkafhankelijke apparaten, zoals een Azure Firewall

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Microsoft Sentinel gebruikt Azure Active Directory (Azure AD) als standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

• Microsoft Cloud-resources. Resources zijn onder andere:

  • Azure Portal

  • Azure Storage

  • Virtuele Azure Linux- en Windows-machines

  • Azure Key Vault

  • Platform-as-a-Service (PaaS)

  • SaaS-toepassingen (Software-as-a-Service)

• De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen bij het beoordelen van de identiteitsbeveiligingspostuur ten opzichte van de best practice-aanbevelingen van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-accounts zich kunnen aanmelden bij hun toepassingen en resources.

• Machtigingen in Microsoft Sentinel

• Tenancy in Azure Active Directory

• Een Azure AD-instantie maken en configureren

• Inzicht in Azure RBAC in Microsoft Sentinel

Verantwoordelijkheid: Gedeeld

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Microsoft Sentinel gebruikt Azure AD om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Identiteiten omvatten zakelijke identiteiten zoals werknemers en externe identiteiten, zoals partners, leveranciers en leveranciers. Azure AD identiteits- en toegangsbeheer bieden eenmalige aanmelding (SSO) voor het beheren en beveiligen van toegang tot de on-premises en cloudgegevens en -resources van uw organisatie.

• Inzicht in eenmalige aanmelding van toepassingen met Azure AD

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Microsoft Sentinel gebruikt Azure AD accounts om de resources te beheren en gebruikersaccounts te controleren. Azure AD heeft regelmatig toegang tot toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te bekijken. Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. U kunt ook Azure AD Privileged Identity Management (PIM) gebruiken om werkstromen voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Bovendien kan Azure AD PIM ook worden geconfigureerd om u te waarschuwen wanneer er een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

• Een toegangsbeoordeling maken van Azure-resourcerollen in Privileged Identity Management(PIM)

• Identiteits- en toegangsbeoordelingen van Azure AD

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en Azure Bastion voor beheertaken.

Gebruik Azure AD, Microsoft Defender Advanced Threat Protection (ATP) of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. U kunt beveiligde werkstations centraal beheren om een beveiligingsconfiguratie af te dwingen die het volgende omvat:

• Strenge verificatie

• Software- en hardwarebasislijnen

• Beperkte logische en netwerktoegang

Raadpleeg de volgende bronnen voor meer informatie:

• Implementatie van bevoegde toegangswerkstations

• Een werkstation met uitgebreide toegang gebruiken

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Microsoft Sentinel is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de resources te beheren. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of opvragen via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

Beperk de bevoegdheden die u toewijst aan resources via Azure RBAC tot wat de rollen vereisen. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

• Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)

• RBAC configureren in Azure

• Identiteits- en toegangsbeoordelingen van Azure AD

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Als aanvulling op toegangsbeheer gebruikt u versleuteling om gegevens tijdens de overdracht te beschermen tegen out-of-band-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure Sentinel biedt ondersteuning voor gegevensversleuteling tijdens overdracht met TLS (Transport Layer Security) v1.2 of hoger.

Deze vereiste is optioneel voor verkeer op particuliere netwerken, maar is essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources TLS v1.2 of hoger kunnen gebruiken.

Voor extern beheer gebruikt u Secure Shell (SSH) voor Linux of RDP (Remote Desktop Protocol) en TLS voor Windows. Gebruik geen niet-versleuteld protocol. Schakel zwakke coderingen en verouderde SSL-, TLS- en SSH-versies en -protocollen uit.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

• Inzicht in versleuteling tijdens overdracht met Azure

• Informatie over TLS-beveiliging

• Dubbele versleuteling voor Azure-gegevens die onderweg zijn

• Uw externe oplossing verbinden met Common Event Format

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Azure Sentinel data-at-rest om te beschermen tegen out-of-band-aanvallen die toegang hebben tot onderliggende opslag. Versleuteling zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u waar beschikbaar meer versleuteling in rust implementeren op Azure-resources. Azure beheert standaard uw versleutelingssleutels en biedt ook opties voor het beheren van uw eigen sleutels. Door de klant beheerde sleutels voldoen aan wettelijke vereisten voor bepaalde Azure-services.

• Meer informatie over versleuteling van data-at-rest in Azure

• Data-at-rest dubbele versleuteling in Azure

• Door de klant beheerde versleutelingssleutels configureren

• Versleutelingsmodel en sleutelbeheertabel

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Bewaking van beveiligingsrisico's kan de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team, afhankelijk van hoe u verantwoordelijkheden structureert. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op de hoofdbeheergroep van een hele tenant, of bereikmachtigingen voor specifieke beheergroepen of abonnementen.

Opmerking: Voor zichtbaarheid van workloads en services zijn mogelijk meer machtigingen vereist.

• Overzicht van rol Beveiligingslezer

• Overzicht van Azure-beheergroepen

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Microsoft Sentinel. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren, en als invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep die het geautoriseerde beveiligingsteam van uw organisatie bevat en wijs deze leestoegang toe aan alle Microsoft Sentinel-resources. U kunt het proces vereenvoudigen met één roltoewijzing op hoog niveau in uw abonnement.

Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op virtuele machines (VM's) te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Gebruik Microsoft Defender for Cloud Adaptive Application Controls om op te geven op welke bestandstypen een regel al dan niet van toepassing is.

• Query's maken met Azure Resource Graph Explorer

• Inventarisbeheer van Microsoft Defender voor Cloud-assets

• Zie de handleiding voor het benoemen en taggen van resources voor meer informatie over het taggen van assets

• Inventaris van virtuele Azure-machines inschakelen

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken waarmee waarschuwingen worden geactiveerd wanneer ze een niet-goedgekeurde service detecteren.

• Azure Policy configureren en beheren

• Een specifiek resourcetype weigeren met Azure Policy

• Query's maken met Azure Resource Graph Explorer

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Microsoft Sentinel biedt geen systeemeigen mogelijkheden om beveiligingsrisico's met betrekking tot de bijbehorende resources te bewaken.

Stuur logboeken van Microsoft Sentinel door naar uw SIEM-systeem. U kunt uw SIEM gebruiken om aangepaste bedreigingsdetecties in te stellen.

Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit, om fout-positieven te verminderen voor analisten om door te sorteren. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

• Aangepaste regels maken voor het detecteren van bedreigingen

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD bevat de volgende gebruikerslogboeken. U kunt de logboeken weergeven in Azure AD rapportage. U kunt integreren met Azure Monitor, Microsoft Sentinel of andere SIEM- en bewakingshulpprogramma's voor geavanceerde gebruiksvoorbeelden voor bewaking en analyse:

• Aanmeldingen: biedt informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

• Auditlogboeken: biedt traceerbaarheid via logboeken voor alle wijzigingen die zijn aangebracht door verschillende Azure AD functies. Auditlogboeken bevatten wijzigingen in elke resource binnen Azure AD. Wijzigingen zijn onder andere het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.

• Riskante aanmeldingen: een indicator voor aanmeldingspogingen door iemand die mogelijk niet de legitieme eigenaar van een gebruikersaccount is.

• Gebruikers met een vlag voor risico: een indicator voor een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren over verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen of over afgeschafte accounts.

Naast de basisbewaking van beveiligingscontroles kan de module Bedreigingsbeveiliging van Microsoft Defender for Cloud uitgebreidere beveiligingswaarschuwingen verzamelen van:

• Afzonderlijke Azure-rekenresources, zoals VM's, containers en App Service

• Gegevensbronnen zoals Azure SQL Database en Azure Storage

• Azure-servicelagen

Met deze mogelijkheid krijgt u inzicht in accountafwijkingen in afzonderlijke resources.

• Auditrapporten over activiteiten in Azure Active Directory

• Azure AD Identity Protection inschakelen

• Beveiliging tegen bedreigingen in Microsoft Defender voor Cloud

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Automation-activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor uw Microsoft Sentinel-resources. U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers resources hebben gewijzigd.

Microsoft Sentinel produceert momenteel geen Azure-resourcelogboeken.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Informatie over logboekregistratie en verschillende logboektypen in Azure

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Microsoft voert beveiligingsbeheer uit op de onderliggende systemen die Microsoft ondersteunen.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid. Gebruik de Red Teaming-strategie en uitvoering van Microsoft. Live sitepenetratietests uitvoeren op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

• Penetratietesten in Azure

• Regels voor het inzetten van penetratietests

• Microsoft Cloud Red Teaming

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

• Key Vault sleutels herstellen in Azure

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: zorg ervoor dat u maatregelen hebt om sleutelverlies te voorkomen en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

• Voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault inschakelen

Verantwoordelijkheid: Klant

Volgende stappen

• Zie Overzicht Azure Security Benchmark V2
• Meer informatie over Azure-beveiligingsbasislijnen