Azure-beveiligingsbasislijn voor Virtual Machine Scale Sets

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Virtual Machine Scale Sets. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Virtual Machine Scale Sets.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Virtual Machine Scale Sets of waarvoor de verantwoordelijkheid van Microsoft is uitgesloten. Als u wilt zien hoe Virtual Machine Scale Sets volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Virtual Machine Scale Sets toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Wanneer u een virtuele Azure-machine (VM) maakt, moet u een virtueel netwerk maken of een bestaand virtueel netwerk gebruiken en de VIRTUELE machine configureren met een subnet. Zorg ervoor dat voor alle geïmplementeerde subnetten een netwerkbeveiligingsgroep is toegepast met netwerktoegangsbeheer dat specifiek is voor vertrouwde poorten en bronnen van uw toepassingen.

Als u een specifieke use-case voor een gecentraliseerde firewall hebt, kunt u Azure Firewall ook gebruiken om aan deze vereisten te voldoen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht Microsoft Defender voor Cloud analyseert de verkeerspatronen van internetgerichte virtuele machines en biedt aanbevelingen voor netwerkbeveiligingsgroepen die de potentiële kwetsbaarheid voor aanvallen verminderen AuditIfNotExists, uitgeschakeld 3.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke JIT-toegang (Just-In-Time) voor netwerken wordt als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender for Cloud om aanbevelingen voor netwerkbeveiliging te identificeren en te volgen om uw Azure VM-resources (Virtual Machine) in Azure te beveiligen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole voor de VM's voor ongebruikelijke activiteiten.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: Als u uw virtuele-machineschaalset (VMSS) gebruikt om webtoepassingen te hosten, gebruikt u een netwerkbeveiligingsgroep (NSG) op het VMSS-subnet om te beperken welk netwerkverkeer, poorten en protocollen mogen communiceren. Volg een netwerkbenadering met minimale bevoegdheden bij het configureren van uw NSG's om alleen vereist verkeer naar uw toepassing toe te staan.

U kunt azure Web Application Firewall (WAF) ook implementeren voor kritieke webtoepassingen voor extra inspectie van binnenkomend verkeer. Schakel diagnostische instelling in voor WAF en neem logboeken op in een opslagaccount, Event Hub of Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: DDoS Standard-beveiliging (Distributed Denial of Service) inschakelen op virtuele netwerken om DDoS-aanvallen te beschermen. Met Microsoft Defender for Cloud Integrated Threat Intelligence kunt u de communicatie met bekende schadelijke IP-adressen bewaken. Configureer Azure Firewall voor elk van uw Virtual Network segmenten, waarbij Bedreigingsinformatie is ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.

U kunt de Just-In-Time-netwerktoegang van Microsoft Defender for Cloud gebruiken om de blootstelling van Windows Virtual Machines te beperken tot de goedgekeurde IP-adressen gedurende een beperkte periode. Gebruik ook Microsoft Defender for Cloud Adaptive Network Hardening om NSG-configuraties aan te bevelen die poorten en bron-IP-adressen beperken op basis van werkelijke verkeers- en bedreigingsinformatie.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht Microsoft Defender voor Cloud analyseert de verkeerspatronen van internetgerichte virtuele machines en biedt aanbevelingen voor netwerkbeveiligingsgroepen die de potentiële kwetsbaarheid voor aanvallen verminderen AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke JIT-toegang (Just-In-Time) voor netwerken wordt als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0

1.5: Netwerkpakketten vastleggen

Hulp: U kunt NSG-stroomlogboeken opnemen in een opslagaccount om stroomrecords te genereren voor uw Azure-Virtual Machines. Wanneer u afwijkende activiteiten onderzoekt, kunt u Network Watcher pakketopname inschakelen, zodat netwerkverkeer kan worden gecontroleerd op ongebruikelijke en onverwachte activiteiten.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Door pakketopnamen te combineren die worden geleverd door Network Watcher en een opensource-IDS-hulpprogramma, kunt u netwerkinbraakdetectie uitvoeren voor een breed scala aan bedreigingen. U kunt ook Azure Firewall implementeren in de Virtual Network segmenten, waarbij Bedreigingsinformatie is ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: Als u virtuele-machineschaalset (VMSS) gebruikt om webtoepassingen te hosten, kunt u Azure Application Gateway implementeren voor webtoepassingen waarvoor HTTPS/SSL is ingeschakeld voor vertrouwde certificaten. Met Azure Application Gateway leidt u het webverkeer van uw toepassing naar specifieke resources door listeners toe te wijzen aan poorten, regels te maken en resources toe te voegen aan een back-endpool zoals VMSS, enzovoort.

Verantwoordelijkheid: Klant

1.8: Complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: gebruik Virtual Network servicetags om netwerktoegangsbeheer in netwerkbeveiligingsgroepen te definiëren of Azure Firewall geconfigureerd voor uw virtuele Azure-machines. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor Azure Virtual Machine Scale Sets met behulp van Azure Policy. U kunt Ook Azure Blueprints gebruiken om grootschalige Azure VM-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, roltoewijzingen en Azure Policy toewijzingen, in één blauwdrukdefinitie te verpakken. U kunt de blauwdruk toepassen op abonnementen en resourcebeheer inschakelen via blauwdrukversiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor documentverkeer

Richtlijnen: U kunt tags gebruiken voor netwerkbeveiligingsgroepen (NSG) en andere resources met betrekking tot netwerkbeveiliging en verkeersstroom die zijn geconfigureerd voor uw virtuele Windows-machines. Gebruik voor afzonderlijke NSG-regels het veld Beschrijving om bedrijfsbehoefte en/of duur op te geven voor regels die verkeer naar/van een netwerk toestaan.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Gebruik het Azure-activiteitenlogboek om wijzigingen in netwerkresourceconfiguraties met betrekking tot uw virtuele-machineschaalset van Azure te controleren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkinstellingen of -resources plaatsvinden.

Gebruik Azure Policy om configuraties te valideren (en/of te herstellen) voor netwerkresources met betrekking tot virtuele-machineschaalset.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Windows-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een windows-gastconfiguratiebeleidsdefinitie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.0.1
Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor Azure-resources, maar u hebt de mogelijkheid om de instellingen voor tijdsynchronisatie voor uw Virtual Machines te beheren.

Verantwoordelijkheid: Gedeeld

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Activiteitenlogboeken kunnen worden gebruikt om bewerkingen en acties te controleren die worden uitgevoerd op resources van virtuele-machineschaalsets. Het activiteitenlogboek bevat alle schrijfbewerkingen (PUT, POST, DELETE) voor uw resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

U kunt logboekgegevens inschakelen en onboarden die zijn geproduceerd uit Azure-activiteitenlogboeken of virtuele-machinebronnen naar Microsoft Sentinel of een SIEM van derden voor centraal beheer van beveiligingslogboeken.

Gebruik Microsoft Defender voor Cloud om bewaking van beveiligingslogboeken te bieden voor Azure Virtual Machines. Gezien het volume aan gegevens dat door het beveiligings gebeurtenislogboek wordt gegenereerd, wordt het niet standaard opgeslagen.

Als uw organisatie de gegevens van het beveiligingsgebeurtenislogboek van de virtuele machine wil bewaren, kan deze worden opgeslagen in een Log Analytics-werkruimte op de gewenste laag voor gegevensverzameling die is geconfigureerd in Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat de agent is geregistreerd bij een andere werkruimte dan de ID die is opgegeven in de beleidsparameter. auditIfNotExists 1.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.0

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken kunnen worden gebruikt om bewerkingen en acties te controleren die worden uitgevoerd op resources van virtuele-machineschaalsets. Het activiteitenlogboek bevat alle schrijfbewerkingen (PUT, POST, DELETE) voor uw resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Schakel de verzameling diagnostische gegevens van gastbesturingssystemen in door de diagnostische extensie op uw Virtual Machines (VM) te implementeren. U kunt de diagnostische extensie gebruiken om diagnostische gegevens te verzamelen, zoals toepassingslogboeken of prestatiemeteritems van een virtuele Azure-machine.

Voor geavanceerde zichtbaarheid van de toepassingen en services die worden ondersteund door de Virtuele-machineschaalset van Azure, kunt u zowel Azure Monitor voor VM's als Application Insights inschakelen. Met Application Insights kunt u uw toepassing bewaken en telemetrie vastleggen, zoals HTTP-aanvragen, uitzonderingen, enzovoort, zodat u problemen tussen de VM's en uw toepassing kunt correleren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Resourcelogboeken in Virtual Machine Scale Sets moeten zijn ingeschakeld Het verdient aanbeveling om Logboeken in te schakelen zodat het activiteitenspoor kan worden nagemaakt als er onderzoek is vereist na een incident of inbreuk. AuditIfNotExists, uitgeschakeld 2.0.1

2.4: Beveiligingslogboeken verzamelen van besturingssystemen

Richtlijnen: Microsoft Defender for Cloud gebruiken om bewaking van beveiligingslogboeken voor Azure Virtual Machines te bieden. Gezien het volume aan gegevens dat door het beveiligings gebeurtenislogboek wordt gegenereerd, wordt het niet standaard opgeslagen.

Als uw organisatie de gegevens van het beveiligingsgebeurtenislogboek van de virtuele machine wil bewaren, kan deze worden opgeslagen in een Log Analytics-werkruimte op de gewenste laag voor gegevensverzameling die is geconfigureerd in Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat de agent is geregistreerd bij een andere werkruimte dan de ID die is opgegeven in de beleidsparameter. auditIfNotExists 1.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.0

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Zorg ervoor dat voor opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van logboeken van virtuele machines, de bewaarperiode voor logboeken is ingesteld volgens de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Analyseer en controleer logboeken op afwijkend gedrag en controleer regelmatig de resultaten. Gebruik Azure Monitor om logboeken te controleren en query's uit te voeren op logboekgegevens.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden om uw logboeken te controleren en te controleren.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Gebruik Microsoft Defender for Cloud die is geconfigureerd met een Log Analytics-werkruimte voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen voor uw Azure-Virtual Machines.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden om waarschuwingen voor afwijkende activiteiten in te stellen.

Verantwoordelijkheid: Klant

2.8: Antimalwarelogboekregistratie centraliseren

Richtlijnen: U kunt Microsoft Antimalware gebruiken voor Azure Cloud Services en Virtual Machines en uw virtuele Windows-machines configureren om gebeurtenissen te registreren bij een Azure Storage-account. Configureer een Log Analytics-werkruimte om de gebeurtenissen van de opslagaccounts op te nemen en waar nodig waarschuwingen te maken. Volg de aanbevelingen in Microsoft Defender for Cloud: 'Compute & Apps'. Voor virtuele Linux-machines hebt u een hulpprogramma van derden nodig voor detectie van beveiligingsproblemen met antimalware.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. AuditIfNotExists, uitgeschakeld 3.0.0
Microsoft Antimalware voor Azure moet zijn geconfigureerd om automatisch beveiligingsdefinities bij te werken Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Ontbrekende Endpoint Protection bewaken in Microsoft Defender for Cloud Servers zonder een geïnstalleerde Endpoint Protection-agent worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Implementeer een oplossing van derden van Azure Marketplace voor DNS-logboekregistratie zoals uw organisatie nodig heeft.

Verantwoordelijkheid: Klant

2.10: Opdrachtregelcontrolelogboekregistratie inschakelen

Richtlijnen: Microsoft Defender for Cloud biedt bewaking van beveiligingslogboeken voor Azure Virtual Machines (VM). Microsoft Defender for Cloud richt de Microsoft Monitoring Agent in op alle ondersteunde Azure-VM's en nieuwe vm's die worden gemaakt als automatische inrichting is ingeschakeld OF u kunt de agent handmatig installeren. De agent schakelt de gebeurtenis voor het maken van processen 4688 en het veld CommandLine in gebeurtenis 4688 in. Nieuwe processen die op de VM zijn gemaakt, worden vastgelegd door EventLog en bewaakt door de detectieservices van Microsoft Defender for Cloud.

Voor virtuele Linux-machines kunt u consolelogboekregistratie handmatig per knooppunt configureren en syslogs gebruiken om de gegevens op te slaan. Gebruik ook de Log Analytics-werkruimte van Azure Monitor om logboeken te controleren en query's uit te voeren op syslog-gegevens van virtuele Azure-machines.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Hoewel Azure Active Directory (Azure AD) de aanbevolen methode is om gebruikerstoegang te beheren, heeft Azure Virtual Machines mogelijk lokale accounts. Zowel lokale als domeinaccounts moeten worden gecontroleerd en beheerd, normaal gesproken met een minimale footprint. Daarnaast maakt u gebruik van Azure Privileged Identity Management voor beheerdersaccounts die worden gebruikt voor toegang tot de resources van de virtuele machines.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Azure Virtual Machine Scale Set en Azure Active Directory (Azure AD) hebben niet het concept van standaardwachtwoorden. Klant die verantwoordelijk is voor toepassingen van derden en Marketplace-services die standaardwachtwoorden kunnen gebruiken.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts die toegang hebben tot uw virtuele machines. Gebruik Microsoft Defender voor Cloud-identiteits- en toegangsbeheer om het aantal beheerdersaccounts te controleren. Beheerdersaccounts die worden gebruikt voor toegang tot Azure Virtual Machine-resources, kunnen ook worden beheerd door Azure Privileged Identity Management (PIM). Azure Privileged Identity Management biedt verschillende opties, zoals Just-In-Time-uitbreiding, waarvoor meervoudige verificatie is vereist voordat een rol wordt aangenomen en overdrachtsopties, zodat machtigingen alleen beschikbaar zijn voor specifieke tijdsbestekken en een fiatteur nodig hebben.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders niet één of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 1.0.0
Windows-machines controleren met extra accounts in de groep Administrators Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders leden bevat die niet worden vermeld in de beleidsparameter. auditIfNotExists 1.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 1.0.0

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: gebruik waar mogelijk eenmalige aanmelding met Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

Verantwoordelijkheid: Klant

3.6: Veilige, door Azure beheerde werkstations gebruiken voor beheertaken

Richtlijnen: PAW's (bevoegde toegangswerkstations) gebruiken met meervoudige verificatie die is geconfigureerd om u aan te melden en Azure-resources te configureren.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten vanuit beheerdersaccounts

Richtlijnen: Gebruik Azure Active Directory (Azure AD) Privileged Identity Management (PIM) voor het genereren van logboeken en waarschuwingen wanneer er verdachte of onveilige activiteiten plaatsvinden in de omgeving. Gebruik Azure AD Risicodetecties om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven. De klant kan eventueel waarschuwingen van Microsoft Defender voor cloudrisicodetectie opnemen in Azure Monitor en aangepaste waarschuwingen/meldingen configureren met behulp van actiegroepen.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Gebruik beleid voor voorwaardelijke toegang (Azure AD) van Azure Active Directory (Azure AD) en benoemde locaties om toegang te verlenen vanuit alleen specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Gebruik Azure Active Directory (Azure AD) als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en veilig gebruikersreferenties opslaat. U kunt beheerde identiteiten gebruiken om te verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code. Uw code die wordt uitgevoerd op een virtuele machine, kan de beheerde identiteit gebruiken om toegangstokens aan te vragen voor services die ondersteuning bieden voor Azure AD verificatie.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken voor het detecteren van verouderde accounts. Gebruik bovendien Azure AD identiteitstoegangsbeoordelingen om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. De toegang van de gebruiker kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben. Wanneer u virtuele Azure-machines gebruikt, moet u de lokale beveiligingsgroepen en gebruikers controleren om ervoor te zorgen dat er geen onverwachte accounts zijn die het systeem kunnen in gevaar brengen.

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: configureer diagnostische instellingen voor Azure Active Directory (Azure AD) om de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte te verzenden. Gebruik Azure Monitor ook om logboeken te controleren en query's uit te voeren op logboekgegevens van virtuele Azure-machines.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik de functies risico- en identiteitsbeveiliging van Azure Active Directory (Azure AD) om geautomatiseerde reacties te configureren op gedetecteerde verdachte acties met betrekking tot uw opslagaccountbronnen. U moet geautomatiseerde antwoorden via Microsoft Sentinel inschakelen om de beveiligingsreacties van uw organisatie te implementeren.

Verantwoordelijkheid: Klant

3.13: Microsoft toegang bieden tot relevante klantgegevens tijdens ondersteuningsscenario's

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot klantgegevens (zoals tijdens een ondersteuningsaanvraag), gebruikt u Customer Lockbox voor virtuele Azure-machines om aanvragen voor klantgegevenstoegang te controleren en goed te keuren of af te wijzen.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventarisatie van gevoelige informatie onderhouden

Richtlijnen: Tags gebruiken om te helpen bij het bijhouden van virtuele Azure-machines die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Resources moeten worden gescheiden door virtueel netwerk/subnet, op de juiste wijze worden gelabeld en beveiligd binnen een netwerkbeveiligingsgroep (NSG) of door een Azure Firewall. Voor Virtual Machines het opslaan of verwerken van gevoelige gegevens implementeert u beleid en procedures om ze uit te schakelen wanneer ze niet in gebruik zijn.

Verantwoordelijkheid: Klant

4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Implementeer oplossingen van derden op netwerkperimeters die controleren op niet-geautoriseerde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten tijdens het waarschuwen van informatiebeveiligingsprofessionals.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig voor bescherming tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Gegevens die onderweg zijn naar, van en tussen Virtual Machines (VM) waarop Windows wordt uitgevoerd, worden op een aantal manieren versleuteld, afhankelijk van de aard van de verbinding, zoals bij het maken van verbinding met een VM in een RDP- of SSH-sessie.

Microsoft gebruikt het TLS-protocol (Transport Layer Security) om gegevens te beveiligen wanneer deze onderweg zijn tussen de cloudservices en klanten.

Verantwoordelijkheid: Gedeeld

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: Gebruik een hulpprogramma voor actieve detectie van derden om alle gevoelige informatie te identificeren die is opgeslagen, verwerkt of verzonden door de technologiesystemen van de organisatie, met inbegrip van die op locatie of bij een externe serviceprovider en de inventaris van gevoelige informatie van de organisatie bij te werken.

Verantwoordelijkheid: Klant

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u taken binnen uw team scheiden en alleen de hoeveelheid toegang verlenen aan gebruikers op uw virtuele machine (VM) die ze nodig hebben om hun taken uit te voeren. In plaats van iedereen onbeperkte machtigingen op de VIRTUELE machine te geven, kunt u alleen bepaalde acties toestaan. U kunt toegangsbeheer configureren voor de virtuele machine in de Azure Portal, met behulp van de Azure CLI of Azure PowerShell.

Verantwoordelijkheid: Klant

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Richtlijnen: Implementeer een hulpprogramma van derden, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer af te dwingen om het risico op gegevensschendingen te beperken.

Verantwoordelijkheid: Klant

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: virtuele schijven op Virtual Machines (VM) worden in rust versleuteld met behulp van versleuteling aan de serverzijde of Azure Disk Encryption (ADE). Azure Disk Encryption maakt gebruik van de DM-Crypt functie van Linux voor het versleutelen van beheerde schijven met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert ADE doordat u alle typen besturingssystemen en installatiekopieën voor uw VM's kunt gebruiken door gegevens in de Storage-service te versleutelen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-gekoppelde schijven moeten worden versleuteld Met dit beleid wordt elke niet-gekoppelde schijf gecontroleerd waarvoor geen versleuteling is ingeschakeld. Controle, uitgeschakeld 1.0.0
Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen Virtuele machines zonder ingeschakelde schijfversleuteling worden als aanbevelingen bewaakt door Microsoft Defender for Cloud. AuditIfNotExists, uitgeschakeld 2.0.1

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in virtuele-machineschaalsets en gerelateerde resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: volg aanbevelingen van Microsoft Defender for Cloud over het uitvoeren van evaluaties van beveiligingsproblemen op uw Azure-Virtual Machines. Gebruik azure Security aanbevolen of een externe oplossing voor het uitvoeren van evaluatie van beveiligingsproblemen voor uw virtuele machines.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Microsoft Defender for Cloud omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. AuditIfNotExists, uitgeschakeld 3.0.0

5.2: Geautomatiseerde oplossing voor patchbeheer van besturingssystemen implementeren

Richtlijnen: Schakel automatische besturingssysteemupgrades in voor ondersteunde besturingssysteemversies of voor aangepaste installatiekopieën die zijn opgeslagen in een Shared Image Gallery.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn. AuditIfNotExists, uitgeschakeld 3.0.0
Systeemupdates moeten op uw computers worden geïnstalleerd Ontbrekende beveiligingsupdates op uw servers worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 4.0.0

5.3: Geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden

Richtlijnen: Azure Virtual Machine Scale Sets (VMSS) kan automatische upgrades van installatiekopieën van het besturingssysteem gebruiken. U kunt de Azure Desired State Configuration -extensie (DSC) gebruiken voor onderliggende virtuele machines in de VMSS. DSC wordt gebruikt om de VM's te configureren wanneer ze online komen, zodat ze de gewenste software uitvoeren.

Verantwoordelijkheid: Klant

5.4: Scans van beveiligingsproblemen met back-to-back vergelijken

Richtlijnen: Scanresultaten met consistente intervallen exporteren en de resultaten vergelijken om te controleren of beveiligingsproblemen zijn opgelost. Bij het gebruik van aanbeveling voor beveiligingsbeheer die door Microsoft Defender voor Cloud wordt voorgesteld, kan de klant in de portal van de geselecteerde oplossing draaien om historische scangegevens weer te geven.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Gebruik de standaardrisicoclassificaties (Secure Score) van Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen Controleer beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd en weergegeven als aanbevelingen in Microsoft Defender for Cloud. AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. AuditIfNotExists, uitgeschakeld 3.0.0

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (inclusief virtuele machines) binnen uw abonnementen. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en dat u alle Azure-abonnementen en resources in uw abonnementen kunt inventariseren.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen op basis van een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Virtual Machines schaalsets en gerelateerde resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: Maak een inventarisatie van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources volgens de behoeften van onze organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure-beleid om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Gebruik bovendien de Azure Resource Graph om resources in de abonnementen op te vragen/te detecteren. Dit kan helpen in omgevingen met hoge beveiliging, zoals omgevingen met opslagaccounts.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: Azure Automation biedt volledige controle tijdens de implementatie, bewerkingen en buiten gebruik stellen van workloads en resources. Maak gebruik van Azure Virtual Machine Inventory om het verzamelen van informatie over alle software op Virtual Machines te automatiseren. Opmerking: softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Om toegang te krijgen tot de installatiedatum en andere informatie, moet de klant diagnostische gegevens op gastniveau inschakelen en de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte brengen.

Adaptieve toepassingsbesturingselementen zijn momenteel niet beschikbaar voor Virtual Machine Scale Sets.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Azure Automation biedt volledige controle tijdens de implementatie, bewerkingen en buiten gebruik stellen van workloads en resources. U kunt Wijzigingen bijhouden gebruiken om alle software te identificeren die op Virtual Machines is geïnstalleerd. U kunt uw eigen proces implementeren of Azure Automation State Configuration gebruiken om niet-geautoriseerde software te verwijderen.

Verantwoordelijkheid: Klant

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: momenteel zijn adaptieve toepassingsbesturingselementen niet beschikbaar voor Virtual Machine Scale Sets. Gebruik software van derden om het gebruik te beheren voor alleen goedgekeurde toepassingen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. AuditIfNotExists, uitgeschakeld 3.0.0

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure-beleid om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0

6.10: Onderhoud een inventaris van goedgekeurde softwaretitels

Richtlijnen: Momenteel zijn adaptieve toepassingsbesturingselementen niet beschikbaar voor Virtual Machine Scale Sets. Implementeer een oplossing van derden als dit niet voldoet aan de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. AuditIfNotExists, uitgeschakeld 3.0.0

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App 'Microsoft Azure Management'.

Verantwoordelijkheid: Klant

6.12: De mogelijkheid van gebruikers beperken om scripts uit te voeren binnen rekenresources

Richtlijnen: Afhankelijk van het type scripts kunt u besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren binnen Azure-rekenresources te beperken.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: Toepassingen met een hoog risico die zijn geïmplementeerd in uw Azure-omgeving, kunnen worden geïsoleerd met behulp van een virtueel netwerk, subnet, abonnementen, beheergroepen, enzovoort en voldoende beveiligd zijn met een Azure Firewall, Web Application Firewall (WAF) of netwerkbeveiligingsgroep (NSG).

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy of Microsoft Defender for Cloud om beveiligingsconfiguraties voor alle Azure-resources te onderhouden. Azure Resource Manager heeft ook de mogelijkheid om de sjabloon te exporteren in JavaScript Object Notation (JSON), die moet worden gecontroleerd om ervoor te zorgen dat de configuraties voldoen aan/overschrijden de beveiligingsvereisten voor uw bedrijf.

Verantwoordelijkheid: Klant

7.2: Veilige besturingssysteemconfiguraties instellen

Richtlijnen: Microsoft Defender voor Cloud-aanbeveling Beveiligingsproblemen in beveiligingsconfiguraties op uw Virtual Machines gebruiken om beveiligingsconfiguraties op alle rekenresources te onderhouden.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Azure Resource Manager-sjablonen en Azure-beleid gebruiken om Azure-resources die zijn gekoppeld aan de Virtual Machines Schaalsets veilig te configureren. Azure Resource Manager-sjablonen zijn JSON-bestanden die worden gebruikt voor het implementeren van virtuele machines, samen met Azure-resources en aangepaste sjablonen moeten worden onderhouden. Microsoft voert het onderhoud uit op de basissjablonen. Gebruik Azure Policy [weigeren] en [implementeren als dit niet bestaat] om beveiligde instellingen af te dwingen voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.4: Beveiligde besturingssysteemconfiguraties onderhouden

Richtlijnen: Er zijn verschillende opties voor het onderhouden van een veilige configuratie voor Azure Virtual Machines (VM) voor implementatie:

  1. Azure Resource Manager-sjablonen: dit zijn JSON-bestanden die worden gebruikt voor het implementeren van een VIRTUELE machine vanuit het Azure Portal en aangepaste sjablonen moeten worden onderhouden. Microsoft voert het onderhoud uit op de basissjablonen.

  2. Aangepaste virtuele harde schijf (VHD): In sommige gevallen is het mogelijk vereist dat aangepaste VHD-bestanden worden gebruikt, zoals bij het omgaan met complexe omgevingen die niet via andere middelen kunnen worden beheerd.

  3. Azure Automation State Configuration: Zodra het basis besturingssysteem is geïmplementeerd, kan dit worden gebruikt voor gedetailleerdere controle van de instellingen en afgedwongen via het automatiseringsframework.

Voor de meeste scenario's kunnen de Microsoft-basis-VM-sjablonen in combinatie met de Azure Automation Desired State Configuration helpen bij het voldoen aan en onderhouden van de beveiligingsvereisten.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen Controleer beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd en weergegeven als aanbevelingen in Microsoft Defender for Cloud. AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. AuditIfNotExists, uitgeschakeld 3.0.0

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Azure DevOps gebruiken om uw code veilig op te slaan en te beheren, zoals aangepaste Azure-beleidsregels, Azure Resource Manager-sjablonen, Desired State Configuration scripts, enzovoort. Voor toegang tot de resources die u beheert in Azure DevOps, zoals uw code, builds en het bijhouden van werk, moet u machtigingen hebben voor deze specifieke resources. De meeste machtigingen worden verleend via ingebouwde beveiligingsgroepen, zoals beschreven in Machtigingen en toegang. U kunt machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory als deze zijn geïntegreerd met TFS.

Verantwoordelijkheid: Klant

7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan

Richtlijnen: Als u aangepaste installatiekopieën (bijvoorbeeld virtuele harde schijf) gebruikt, gebruikt u op rollen gebaseerd toegangsbeheer van Azure om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: maak gebruik van Azure Policy om systeemconfiguraties voor uw virtuele machines te waarschuwen, controleren en af te dwingen. Ontwikkel bovendien een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen

Richtlijnen: Azure Automation State Configuration is een configuratiebeheerservice voor Desired State Configuration (DSC)-knooppunten in een cloud- of on-premises datacenter. Het maakt schaalbaarheid mogelijk op duizenden machines snel en eenvoudig vanaf een centrale, veilige locatie. U kunt eenvoudig machines onboarden, declaratieve configuraties toewijzen en rapporten weergeven met de naleving van elke machine met de gewenste status die u hebt opgegeven.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender for Cloud om basislijnscans uit te voeren voor uw virtuele Azure-machines. Aanvullende methoden voor geautomatiseerde configuratie zijn onder andere het gebruik van Azure Automation State Configuration.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: Azure Automation State Configuration is een configuratiebeheerservice voor Desired State Configuration (DSC)-knooppunten in een cloud- of on-premises datacenter. Het maakt schaalbaarheid mogelijk op duizenden machines snel en eenvoudig vanaf een centrale, veilige locatie. U kunt eenvoudig machines onboarden, declaratieve configuraties toewijzen en rapporten weergeven met de naleving van elke machine met de gewenste status die u hebt opgegeven.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen Controleer beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd en weergegeven als aanbevelingen in Microsoft Defender for Cloud. AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. AuditIfNotExists, uitgeschakeld 3.0.0

7.11: Azure-geheimen veilig beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault om geheimbeheer voor uw cloudtoepassingen te vereenvoudigen en te beveiligen.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Beheerde identiteiten gebruiken om Azure-services een automatisch beheerde identiteit te bieden in Azure Active Directory (Azure AD). Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: Gebruik Microsoft Antimalware voor virtuele Azure Windows-machines om uw resources continu te bewaken en te verdedigen. U hebt een hulpprogramma van derden nodig voor antimalwarebeveiliging in virtuele Azure Linux-machine.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. AuditIfNotExists, uitgeschakeld 3.0.0
Ontbrekende Endpoint Protection bewaken in Microsoft Defender voor cloud Servers zonder een geïnstalleerde Endpoint Protection-agent worden als aanbevelingen bewaakt door Microsoft Defender for Cloud AuditIfNotExists, uitgeschakeld 3.0.0

8.3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: wanneer Microsoft Antimalware voor Azure wordt geïmplementeerd voor virtuele Windows-machines, worden de meest recente handtekening-, platform- en engine-updates standaard geïnstalleerd. Volg aanbevelingen in Microsoft Defender voor Cloud: 'Compute-apps & ' om ervoor te zorgen dat alle eindpunten up-to-date zijn met de meest recente handtekeningen. Het Windows-besturingssysteem kan verder worden beveiligd met extra beveiliging om het risico op virus- of malwareaanvallen te beperken met de Microsoft Defender Advanced Threat Protection-service die is geïntegreerd met Microsoft Defender for Cloud.

U hebt een hulpprogramma van derden nodig voor antimalwarebeveiliging in virtuele Azure Linux-machine.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Antimalware voor Azure moet zijn geconfigureerd om automatisch beveiligingsdefinities bij te werken Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Een momentopname maken van het exemplaar van de virtuele-machineschaalset of de beheerde schijf die is gekoppeld aan het exemplaar met behulp van PowerShell of REST API's. U kunt ook Azure Automation gebruiken om de back-upscripts regelmatig uit te voeren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 2.0.0

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Maak momentopnamen van uw virtuele Azure-machines of de beheerde schijven die zijn gekoppeld aan deze exemplaren met behulp van PowerShell- of REST API's. Maak een back-up van door de klant beheerde sleutels in Azure Key Vault.

Schakel Azure Backup en richt u op Azure Virtual Machines (VM), evenals de gewenste frequentie en bewaarperioden. Dit omvat volledige back-up van de systeemstatus. Als u Azure-schijfversleuteling gebruikt, verwerkt Azure VM Backup automatisch de back-up van door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Compute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 2.0.0

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg ervoor dat u de mogelijkheid hebt om periodiek gegevensherstel van beheerde schijven uit te voeren binnen Azure Backup. Test indien nodig inhoud terugzetten naar een geïsoleerd virtueel netwerk of abonnement. Klant om de herstelbewerking van door de klant beheerde sleutels te testen.

Als u Azure Disk Encryption gebruikt, kunt u uw virtuele-machineschaalsets herstellen met de schijfversleutelingssleutels. Wanneer u schijfversleuteling gebruikt, kunt u de Azure-VM herstellen met de schijfversleutelingssleutels.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Verwijderbeveiliging voor beheerde schijven inschakelen met behulp van vergrendelingen. Schakel Soft-Delete- en opschoningsbeveiliging in Key Vault in om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een procedure voor het scoren en prioritiseren van incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de metrische gegevens die worden gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer bovendien duidelijk abonnementen (bijvoorbeeld productie, niet-prod) met behulp van tags en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren, met name die die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen om uw Azure-resources te beschermen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te leggen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of niet-geautoriseerde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om reacties automatisch te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Voer regelmatig penetratietests uit voor uw Azure-resources en zorg voor herstel van alle kritieke beveiligingsresultaten

Richtlijnen: Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Verantwoordelijkheid: Gedeeld

Volgende stappen