Podstawa zabezpieczeń platformy Azure dla Azure DevTest LabsAzure security baseline for Azure DevTest Labs

Ta linia bazowa zabezpieczeń stosuje wskazówki z programu Azure Security test w wersji 1,0 do Azure DevTest Labs.This security baseline applies guidance from the Azure Security Benchmark version 1.0 to Azure DevTest Labs. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure.The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. Zawartość jest pogrupowana według kontroli zabezpieczeń zdefiniowanych przez program Azure Security test i powiązane wskazówki dotyczące Azure DevTest Labs.The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure DevTest Labs. Kontrolki nie mają zastosowania do Azure DevTest Labs zostały wykluczone.Controls not applicable to Azure DevTest Labs have been excluded.

Aby dowiedzieć się, jak Azure DevTest Labs całkowicie mapować do testu porównawczego zabezpieczeń platformy Azure, zobacz pełny Azure DevTest Labs pliku mapowania linii bazowej zabezpieczeń.To see how Azure DevTest Labs completely maps to the Azure Security Benchmark, see the full Azure DevTest Labs security baseline mapping file.

Bezpieczeństwo sieciNetwork Security

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.For more information, see the Azure Security Benchmark: Network Security.

1,1: Ochrona zasobów platformy Azure w ramach sieci wirtualnych1.1: Protect Azure resources within virtual networks

Wskazówki: podczas wdrażania zasobów Azure DevTest Labs należy utworzyć lub użyć istniejącej sieci wirtualnej.Guidance: When you deploy Azure DevTest Labs resources you must create or use an existing virtual network. Upewnij się, że wybrana Sieć wirtualna ma zastosowana sieciową grupę zabezpieczeń do jej podsieci i kontroli dostępu do sieci skonfigurowanych specyficznie dla zaufanych portów i źródeł aplikacji.Ensure that the chosen virtual network has a network security group applied to its subnets and network access controls configured specific to your application's trusted ports and sources. Gdy zasoby laboratorium są skonfigurowane za pomocą sieci wirtualnej, nie są one publicznie adresowane i można uzyskać do nich dostęp tylko z poziomu sieci wirtualnej.When a lab resources are configured with a virtual network, they are not publicly addressable and can only be accessed from within the virtual network. Istnieje również możliwość utworzenia laboratorium izolowanego od sieci, gdzie wraz ze środowiskami laboratoryjnymi zasoby laboratoryjne, takie jak konto magazynu i magazyny kluczy, również będą całkowicie izolowane i dostępne tylko za pomocą określonych punktów końcowych.You can also choose to create a network isolated lab, where alongside lab environments, lab resources such as Storage Account and Key Vaults will also be completely isolated and only accessible through specified end points.

W zależności od potrzeb organizacji należy używać usługi Zapora platformy Azure do centralnego tworzenia, wymuszania i rejestrowania zasad łączności aplikacji i sieci w ramach subskrypcji i sieci wirtualnych.Depending on your organizational needs, use the Azure Firewall service to centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,2: Monitoruj i Rejestruj konfigurację oraz ruch sieci wirtualnych, podsieci i kart sieciowych1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and NICs

Wskazówki: Wdróż sieciową grupę zabezpieczeń w sieci, do której są wdrażane zasoby Azure DevTest Labs.Guidance: Deploy a network security group on the network that your Azure DevTest Labs resources are deployed to. Włącz dzienniki przepływu sieciowych grup zabezpieczeń w sieciowych grupach zabezpieczeń na potrzeby inspekcji ruchu.Enable network security group flow logs on your network security groups for traffic auditing.

Możesz również wysłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego Log Analytics i użyć Analiza ruchu, aby uzyskać wgląd w przepływ ruchu w chmurze platformy Azure.You may also send NSG flow logs to a Log Analytics Workspace and use Traffic Analytics to provide insights into traffic flow in your Azure cloud. Niektóre zalety Analiza ruchu to możliwość wizualizacji aktywności sieciowej i identyfikowania aktywnych punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wyznaczania konfiguracji sieci.Some advantages of Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,3: Ochrona krytycznych aplikacji sieci Web1.3: Protect critical web applications

Wskazówki: wdrażanie zapory aplikacji sieci Web platformy Azure (WAF) przed krytycznymi aplikacjami sieci Web wdrożonymi przy użyciu szablonów Azure Resource Manager, aby uzyskać dodatkową inspekcję ruchu przychodzącego.Guidance: Deploy Azure Web Application Firewall (WAF) in front of critical web applications deployed using Azure Resource Manager templates for additional inspection of incoming traffic. Włącz ustawienie diagnostyczne dla WAF i pobierania dzienników do konta magazynu, centrum zdarzeń lub Log Analytics obszaru roboczego.Enable diagnostic setting for WAF and ingest logs into a Storage Account, Event Hub, or Log Analytics workspace.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,4: odmowa komunikacji ze znanymi złośliwymi adresami IP1.4: Deny communications with known malicious IP addresses

Wskazówki: wdrażanie Virtual Network platformy Azure (VNET) dla laboratorium usprawnia zabezpieczenia i izolację laboratorium.Guidance: Deploying a Azure Virtual Network (VNet) for a lab enhances security and isolation for your lab. Podsieci, zasady kontroli dostępu i inne funkcje ułatwiają również ograniczanie dostępu.Subnets, access control policies, and other features also aid in restricting access. W przypadku wdrożenia w sieci wirtualnej Azure DevTest Labs nie jest publicznie adresowane i można uzyskać do nich dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej.When deployed in a VNet, Azure DevTest Labs is not publicly addressable and can only be accessed from virtual machines and applications within the VNet.

Włącz ochronę standardową DDoS w sieciach wirtualnych platformy Azure, aby chronić przed atakami DDoS.Enable DDoS Standard protection on your Azure Virtual Networks to guard against DDoS attacks. Użyj Azure Security Center zintegrowanej analizy zagrożeń, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.Use Azure Security Center Integrated Threat Intelligence to deny communications with known malicious IP addresses.

Wdróż zaporę platformy Azure w każdej z granic sieci organizacji z włączoną analizą zagrożeń i skonfigurowaną jako "Alert i Odmów" w celu uzyskania złośliwego ruchu sieciowego.Deploy Azure Firewall at each of the organization's network boundaries with Threat Intelligence enabled and configured to "Alert and deny" for malicious network traffic. Użyj Azure Security Center dostęp do sieci w czasie w celu skonfigurowania sieciowych grup zabezpieczeń w celu ograniczenia narażenia punktów końcowych na zatwierdzone adresy IP przez ograniczony okres.Use Azure Security Center Just In Time Network access to configure NSGs to limit exposure of endpoints to approved IP addresses for a limited period. Aby zalecać sieciowej grupy zabezpieczeń konfiguracje, które ograniczają porty i źródłowe adresy IP w oparciu o rzeczywisty ruch i analizę zagrożeń, należy użyć Azure Security Center.Use Azure Security Center Adaptive Network Hardening to recommend NSG configurations that limit ports and source IPs based on actual traffic and threat intelligence.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,5: rejestrowanie pakietów sieciowych1.5: Record network packets

Wskazówki: Włączanie funkcji przechwytywania pakietów Network Watcher w sieci wirtualnej laboratorium w celu zbadania nietypowych działań.Guidance: Enable Network Watcher packet capture on your lab virtual network to investigate anomalous activities.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,6: wdrażanie opartych na sieci systemów zapobiegania wykrywaniem i dostępem intruzów (identyfikatorów/adresów IP)1.6: Deploy network-based intrusion detection/intrusion prevention systems (IDS/IPS)

Wskazówki: Użyj zapory platformy Azure wdrożonej w sieci wirtualnej z włączoną funkcją analizy zagrożeń.Guidance: Use an Azure Firewall deployed on your virtual network with Threat Intelligence enabled. Filtrowanie oparte na analizie zagrożeń na platformie Azure może wysyłać alerty i odrzucać ruch do i ze znanych złośliwych adresów IP i domen.Azure Firewall Threat intelligence-based filtering can alert and deny traffic to and from known malicious IP addresses and domains. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed. Jeśli Twoja organizacja wymaga dodatkowych funkcji na platformie Azure, wybierz odpowiednią ofertę z witryny Azure Marketplace, która obsługuje funkcje identyfikatorów/adresów IP z możliwościami inspekcji ładunku.If your organization requires additional functionality on top of what Azure Firewall can provide, select an appropriate offer from the Azure Marketplace that supports IDS/IPS functionality with payload inspection capabilities.

Wdrażaj wybrane rozwiązanie zapory w każdej z granic sieci organizacji, aby wykrywać i/lub odrzucać złośliwy ruch.Deploy the firewall solution of your choice at each of your organization's network boundaries to detect and/or deny malicious traffic.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,7: zarządzanie ruchem do aplikacji sieci Web1.7: Manage traffic to web applications

Wskazówki: podczas pracy z DevTest Labs Azure Resource Manager środowiska, które obejmują aplikacje sieci Web, wdróż Application Gateway platformy Azure z WŁĄCZONYm protokołem HTTPS/TLS dla zaufanych certyfikatów.Guidance: When working with DevTest Labs Azure Resource Manager based environments that include web applications, deploy an Azure Application Gateway with HTTPS/TLS enabled for trusted certificates.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,8: Minimalizacja złożoności i kosztów administracyjnych reguł zabezpieczeń sieci1.8: Minimize complexity and administrative overhead of network security rules

Wskazówki: Użyj tagów usługi Virtual Network, aby zdefiniować kontrolę dostępu do sieci dla sieciowych grup zabezpieczeń lub zapory platformy Azure skonfigurowanej dla zasobów DevTest Labs.Guidance: Use Virtual Network Service Tags to define network access controls on Network Security Groups or Azure Firewall configured for your DevTest Labs resources. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP.You can use service tags in place of specific IP addresses when creating security rules. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go odrzucić.By specifying the service tag name (e.g., ApiManagement) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. Firma Microsoft zarządza prefiksami adresów, które obejmują tag usługi, i automatycznie aktualizuje tag usługi jako adresy.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Aby uprościć konfigurację zabezpieczeń, można również użyć grup zabezpieczeń aplikacji.You may also use Application Security Groups to help simplify complex security configuration. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych1.9: Maintain standard security configurations for network devices

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych za pomocą Azure Policy.Guidance: Define and implement standard security configurations for network resources with Azure Policy.

Możesz również użyć planów platformy Azure, aby uprościć duże wdrożenia platformy Azure przez spakowanie kluczowych artefaktów środowiska, takich jak szablony Menedżera zasobów platformy Azure, kontrolki RBAC i zasady, w ramach jednej definicji planu.You may also use Azure Blueprints to simplify large scale Azure deployments by packaging key environment artifacts, such as Azure Resources Manager templates, RBAC controls, and policies, in a single blueprint definition. Możesz zastosować plan do nowych subskrypcji i dostosować kontrolę i zarządzanie przy użyciu wersji.You can apply the blueprint to new subscriptions, and fine-tune control and management through versioning.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,10: udokumentowanie reguł konfiguracji ruchu1.10: Document traffic configuration rules

Wskazówki: Użyj tagów dla zasobów sieciowych skojarzonych z wdrożeniem Azure DevTest Labs, aby logicznie zorganizować je w taksonomię.Guidance: Use tags for network resources associated with your Azure DevTest Labs deployment in order to logically organize them into a taxonomy. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń Użyj pola "Description", aby określić potrzeby biznesowe i/lub czas trwania (itp.) dla reguł zezwalających na ruch do/z sieci.For individual NSG rules, use the "Description" field to specify business need and/or duration (etc.) for any rules that allow traffic to/from a network.

Użyj dowolnych wbudowanych definicji Azure Policy związanych ze znakiem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i powiadomienia o istniejących nieoznakowanych zasobach.Use any of the built-in Azure Policy definitions related to tagging, such as "Require tag and its value" to ensure that all resources are created with Tags and to notify you of existing untagged resources.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukiwać lub wykonywać akcje na zasobach na podstawie ich tagów.You may use Azure PowerShell or Azure CLI to look-up or perform actions on resources based on their Tags.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

1,11: Użyj zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian1.11: Use automated tools to monitor network resource configurations and detect changes

Wskazówki: Użyj dziennika aktywności platformy Azure do monitorowania konfiguracji zasobów i wykrywania zmian w zasobach platformy Azure.Guidance: Use Azure Activity Log to monitor resource configurations and detect changes to your Azure resources. Utwórz alerty w Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w zasobach krytycznych.Create alerts within Azure Monitor that will trigger when changes to critical resources take place.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Rejestrowanie i monitorowanieLogging and Monitoring

Aby uzyskać więcej informacji, zobacz temat Azure Security test: rejestrowanie i monitorowanie.For more information, see the Azure Security Benchmark: Logging and Monitoring.

2,1: Użyj źródeł synchronizacji zatwierdzonego czasu2.1: Use approved time synchronization sources

Wskazówki: Firma Microsoft przechowuje źródła czasu dla zasobów platformy Azure.Guidance: Microsoft maintains time sources for Azure resources. Można jednak zarządzać ustawieniami synchronizacji czasu dla zasobów obliczeniowych.However, you can manage time synchronization settings for your compute resources.

Odpowiedzialność: WspółużytkowaneResponsibility: Shared

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,2: Skonfiguruj centralne zarządzanie dziennikami zabezpieczeń2.2: Configure central security log management

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego log Analytics, usługi Azure Event Hub lub konta usługi Azure Storage w celu archiwizacji.Guidance: Enable Azure Activity Log diagnostic settings and send the logs to a Log Analytics workspace, Azure event hub, or Azure storage account for archive. Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na Azure DevTest Labs wystąpieniach na poziomie płaszczyzny zarządzania.Activity logs provide insight into the operations that were done on your Azure DevTest Labs instances at the management plane-level. Korzystając z danych dziennika aktywności platformy Azure, można określić "co, kto i kiedy" w przypadku operacji zapisu (PUT, POST, DELETE) wykonanych na poziomie płaszczyzny zarządzania dla wystąpień usługi DevTest Labs.Using Azure activity log data, you can determine "what, who, and when" for any write operations (PUT, POST, DELETE) done at the management plane-level for your DevTest Labs instances.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure2.3: Enable audit logging for Azure resources

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego log Analytics, usługi Azure Event Hub lub konta usługi Azure Storage w celu archiwizacji.Guidance: Enable Azure Activity Log diagnostic settings and send the logs to a Log Analytics workspace, Azure event hub, or Azure storage account for archive. Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na Azure DevTest Labs wystąpieniach na poziomie płaszczyzny zarządzania.Activity logs provide insight into the operations that were done on your Azure DevTest Labs instances at the management plane-level. Korzystając z danych dziennika aktywności platformy Azure, można określić "co, kto i kiedy" dla operacji zapisu (PUT, POST, DELETE) wykonanych na poziomie płaszczyzny zarządzania dla wystąpień usługi DevTest Labs.Using Azure Activity Log data, you can determine the "what, who, and when" for any write operations (PUT, POST, DELETE) done at the management plane-level for your DevTest Labs instances.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,4: Zbierz dzienniki zabezpieczeń z systemów operacyjnych2.4: Collect security logs from operating systems

Wskazówki: Azure DevTest Labs maszyny wirtualne są tworzone i własnością klienta.Guidance: Azure DevTest Labs virtual machines (VMs) are created and owned by the customer. W związku z tym organizacja jest odpowiedzialna za monitorowanie.So, it’s the organization’s responsibility to monitor it. Aby monitorować system operacyjny obliczeń, można użyć Azure Security Center.You can use Azure Security Center to monitor the compute OS. Dane zbierane przez Security Center z systemu operacyjnego obejmują typ i wersję systemu operacyjnego, system operacyjny (dzienniki zdarzeń systemu Windows), uruchomione procesy, nazwę komputera, adresy IP i zalogowanego użytkownika.Data collected by Security Center from the operating system includes OS type and version, OS (Windows Event Logs), running processes, machine name, IP addresses, and logged in user. Agent Log Analytics również zbiera pliki zrzutu awaryjnego.The Log Analytics Agent also collects crash dump files.

Aby uzyskać więcej informacji, zobacz następujące artykuły:For more information, see the following articles:

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń2.5: Configure security log storage retention

Wskazówki: w Azure monitor ustawić okres przechowywania dziennika dla log Analytics obszarów roboczych skojarzonych z wystąpieniami Azure DevTest Labs zgodnie z regulacjami zgodności w organizacji.Guidance: In Azure Monitor, set log retention period for Log Analytics workspaces associated with your Azure DevTest Labs instances according to your organization's compliance regulations.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,6: dzienniki monitorowania i przeglądania2.6: Monitor and review Logs

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego log Analytics.Guidance: Enable Azure Activity Log diagnostic settings and send the logs to a Log Analytics workspace. Uruchom zapytania w Log Analytics, aby wyszukiwać terminy, identyfikować trendy, analizować wzorce i udostępniać wiele innych szczegółowych informacji na podstawie danych dziennika aktywności, które mogły zostać zebrane dla Azure DevTest Labs.Run queries in Log Analytics to search terms, identify trends, analyze patterns, and provide many other insights based on the activity log data that may have been collected for Azure DevTest Labs.

Aby uzyskać więcej informacji, zobacz następujące artykuły:For more information, see the following articles:

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

2,7: Włączanie alertów dla nietypowych działań2.7: Enable alerts for anomalous activities

Wskazówki: używanie obszaru roboczego usługi Azure log Analytics do monitorowania i generowania alertów dotyczących nietypowych działań w dziennikach zabezpieczeń i zdarzeniach związanych z Azure DevTest Labs.Guidance: Use Azure Log Analytics workspace for monitoring and alerting on anomalous activities in security logs and events related to your Azure DevTest Labs.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Tożsamość i kontrola dostępuIdentity and Access Control

Aby uzyskać więcej informacji, zobacz informacje o teście zabezpieczeń Azure: Identity i Access Control.For more information, see the Azure Security Benchmark: Identity and Access Control.

3,1: obsługa spisu kont administracyjnych3.1: Maintain an inventory of administrative accounts

Wskazówki: Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i są queryable.Guidance: Azure Active Directory (Azure AD) has built-in roles that must be explicitly assigned and are queryable. Przy użyciu modułu Azure AD PowerShell można uruchamiać zapytania ad hoc w celu odnajdywania kont należących do grup administracyjnych.Use the Azure AD PowerShell module to run ad-hoc queries to discover accounts that are members of administrative groups.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,2: Zmień domyślne hasła, jeśli ma to zastosowanie3.2: Change default passwords where applicable

Wskazówki: Azure Active Directory (Azure AD) nie ma koncepcji domyślnych haseł.Guidance: Azure Active Directory (Azure AD) doesn't have the concept of default passwords. Inne zasoby platformy Azure wymagające hasła wymuszają utworzenie hasła przy użyciu wymagań dotyczących złożoności i minimalnej długości hasła, które różnią się w zależności od usługi.Other Azure resources requiring a password force a password to be created with complexity requirements and a minimum password length, which differ depending on the service. Użytkownik jest odpowiedzialny za aplikacje innych firm i usługi Marketplace, które mogą korzystać z domyślnych haseł.You're responsible for third-party applications and Marketplace services that may use default passwords.

DevTest Labs nie ma koncepcji domyślnych haseł.DevTest Labs doesn't have the concept of default passwords.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,3: Użyj dedykowanych kont administracyjnych3.3: Use dedicated administrative accounts

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.Guidance: Create standard operating procedures around the use of dedicated administrative accounts. Użyj Azure Security Center Zarządzanie tożsamościami i dostępem, aby monitorować liczbę kont administracyjnych.Use Azure Security Center Identity and Access Management to monitor the number of administrative accounts.

Ponadto, aby ułatwić śledzenie dedykowanych kont administracyjnych, można użyć zaleceń z Azure Security Center lub wbudowanych zasad platformy Azure, takich jak:Additionally, to help you keep track of dedicated administrative accounts, you may use recommendations from Azure Security Center or built-in Azure Policies, such as:

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,4: Korzystaj z logowania jednokrotnego (SSO) z usługą Azure Active Directory3.4: Use single sign-on (SSO) with Azure Active Directory

Wskazówki: DevTest Labs używa usługi Azure Active Directory (Azure AD) do zarządzania tożsamościami.Guidance: DevTest Labs uses the Azure Active Directory (Azure AD) service for identity management. Te dwa kluczowe aspekty należy wziąć pod uwagę w przypadku udzielenia użytkownikom dostępu do środowiska w oparciu o DevTest Labs:Consider these two key aspects when you give users access to an environment based on DevTest Labs:

  • Zarządzanie zasobami: zapewnia dostęp do Azure Portal do zarządzania zasobami (tworzenia maszyn wirtualnych, tworzenia środowisk, uruchamiania, zatrzymywania, ponownego uruchamiania, usuwania i stosowania artefaktów itd.).Resource management: It provides access to the Azure portal to manage resources (create VMs, create environments, start, stop, restart, delete, and apply artifacts, and so on). Zarządzanie zasobami odbywa się na platformie Azure przy użyciu kontroli dostępu opartej na rolach (Azure RBAC).Resource management is done in Azure by using Azure role-based access control (Azure RBAC). Przypisujesz role do użytkowników i ustawisz uprawnienia na poziomie zasobów i dostępu.You assign roles to users and set resource and access-level permissions.

  • Maszyny wirtualne (na poziomie sieci): w konfiguracji domyślnej maszyny wirtualne używają konta administratora lokalnego.Virtual machines (network-level): In the default configuration, VMs use a local admin account. Jeśli istnieje dostępna domena (Azure Active Directory Domain Services (Azure AD DS), domena lokalna lub domena oparta na chmurze), komputery można przyłączyć do domeny.If there's a domain available (Azure Active Directory Domain Services (Azure AD DS), an on-premises domain, or a cloud-based domain), machines can be joined to the domain. W celu nawiązania połączenia z maszynami użytkownicy mogą używać ich tożsamości opartych na domenie.Users can then use their domain-based identities using the domain join artifact to connect to the machines.

  • Architektura referencyjna dla DevTest LabsReference architecture for DevTest Labs

  • Opis logowania jednokrotnego w usłudze Azure ADUnderstand SSO with Azure AD

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,5: Użyj uwierzytelniania wieloskładnikowego, aby uzyskać dostęp oparty na Azure Active Directory3.5: Use multi-factor authentication for all Azure Active Directory based access

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego Azure Active Directory (Azure AD) i przestrzeganie Azure Security Center zalecenia dotyczące zarządzania tożsamościami i dostępem.Guidance: Enable Azure Active Directory (Azure AD) multifactor authentication and follow Azure Security Center Identity and Access Management recommendations.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,6: Używaj dedykowanych maszyn (uprzywilejowany dostęp do stacji roboczych) dla wszystkich zadań administracyjnych3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

Wskazówki: Użyj stacji roboczych dostępu uprzywilejowanego (dostępem uprzywilejowanym) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.Guidance: Use privileged access workstations (PAWs) with multifactor authentication configured to log into and configure Azure resources.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,7: Rejestruj i Ostrzegaj o podejrzanych działaniach z kont administracyjnych3.7: Log and alert on suspicious activities from administrative accounts

Wskazówki: Użyj raportów zabezpieczeń usługi Azure Active Directory (Azure AD) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanych lub niebezpiecznych działań w środowisku.Guidance: Use Azure Active Directory (Azure AD) security reports for generation of logs and alerts when suspicious or unsafe activity occurs in the environment. Użyj Azure Security Center, aby monitorować działania związane z tożsamościami i dostępem.Use Azure Security Center to monitor identity and access activity.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,8: Zarządzaj zasobami platformy Azure tylko z zatwierdzonych lokalizacji3.8: Manage Azure resources only from approved locations

Wskazówki: Użyj dostępu warunkowego o nazwie Locations, aby zezwolić na dostęp tylko do określonych logicznych grup zakresów adresów IP lub krajów/regionów.Guidance: Use conditional access named locations to allow access from only specific logical groupings of IP address ranges or countries/regions.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,9: Użyj Azure Active Directory3.9: Use Azure Active Directory

Wskazówki: Użyj Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji.Guidance: Use Azure Active Directory (Azure AD) as the central authentication and authorization system. Usługa Azure AD chroni dane przy użyciu silnego szyfrowania danych przechowywanych i przesyłanych.Azure AD protects data by using strong encryption for data at rest and in transit. Usługa Azure AD również Sole, skróty i bezpieczne przechowywanie poświadczeń użytkownika.Azure AD also salts, hashes, and securely stores user credentials.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,10: regularnie Przeglądaj i Uzgodnij dostęp użytkowników3.10: Regularly review and reconcile user access

Wskazówki: Azure Active Directory (Azure AD) zawiera dzienniki ułatwiające wykrywanie starych kont.Guidance: Azure Active Directory (Azure AD) provides logs to help discover stale accounts. Ponadto za pomocą przeglądów dostępu do tożsamości platformy Azure można efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról.Also, use Azure identity access reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. Dostęp użytkowników może być regularnie przeglądany, aby upewnić się, że tylko Ci użytkownicy mają ciągły dostęp.User access can be reviewed on a regular basis to make sure only the right Users have continued access.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,11: Monitor próbuje uzyskać dostęp do zdezaktywowanych poświadczeń3.11: Monitor attempts to access deactivated credentials

Wskazówki: masz dostęp do źródeł danych dotyczących logowania w usłudze Azure Active Directory (Azure AD), inspekcji i zdarzeń związanych z ryzykiem, które umożliwiają integrację z dowolnymi narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (Siem).Guidance: You have access to Azure Active Directory (Azure AD) sign in Activity, Audit, and Risk Event log sources, which allow you to integrate with any Security Information and Event Management (SIEM) /Monitoring tool.

Proces ten można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników usługi Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego Log Analytics.You can streamline this process by creating Diagnostic Settings for Azure AD user accounts and sending the audit logs and sign-in logs to a Log Analytics Workspace. Można skonfigurować alerty w obszarze roboczym Log Analytics.You can configure alerts within Log Analytics Workspace.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

3,12: odchylenia zachowania podczas logowania do konta3.12: Alert on account login behavior deviation

Wskazówki: Użyj funkcji ryzyka i ochrony tożsamości Azure Active Directory (Azure AD), aby skonfigurować automatyczne odpowiedzi na wykryte podejrzane działania związane z tożsamościami użytkowników.Guidance: Use Azure Active Directory (Azure AD) Risk and Identity Protection features to configure automated responses to detected suspicious actions related to user identities.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Ochrona danychData Protection

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.For more information, see the Azure Security Benchmark: Data Protection.

4,1: przechowywanie spisu poufnych informacji4.1: Maintain an inventory of sensitive Information

Wskazówki: Użyj tagów, aby pomóc w śledzeniu zasobów platformy Azure, które przechowują lub przetwarzają informacje poufne.Guidance: Use tags to assist in tracking Azure resources that store or process sensitive information.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

4,6: Korzystaj z usługi Azure RBAC, aby zarządzać dostępem do zasobów4.6: Use Azure RBAC to manage access to resources

Wskazówki: Użyj kontroli dostępu opartej na rolach (Azure RBAC) na platformie Azure, aby kontrolować dostęp do laboratoriów w Azure DevTest Labs.Guidance: Use Azure role-based access control (Azure RBAC) to control access to labs in Azure DevTest Labs.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

4,9: Rejestruj i Ostrzegaj o zmianach krytycznych zasobów platformy Azure4.9: Log and alert on changes to critical Azure resources

Wskazówki: Użyj Azure monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dla sytuacji, gdy zmiany są wprowadzane do wystąpień DevTest Labs i innych krytycznych lub powiązanych zasobów.Guidance: Use Azure Monitor with the Azure Activity log to create alerts for when changes take place to DevTest Labs instances and other critical or related resources.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Zarządzanie magazynem i zasobamiInventory and Asset Management

Aby uzyskać więcej informacji, zobacz temat Azure Security test: Inventory and Asset Management.For more information, see the Azure Security Benchmark: Inventory and Asset Management.

6,1: Użyj rozwiązania automatycznego odnajdywania zasobów6.1: Use automated asset discovery solution

Wskazówki: Użyj grafu zasobów platformy Azure do wykonywania zapytań i odnajdywania wszystkich zasobów (w tym zasobów DevTest Labs) w ramach subskrypcji.Guidance: Use Azure Resource Graph to query and discover all resources (including DevTest Labs resources) within your subscriptions. Upewnij się, że masz odpowiednie uprawnienia (odczyt) w dzierżawie i możesz wyliczyć wszystkie subskrypcje i zasoby platformy Azure w ramach subskrypcji.Ensure you have appropriate (read) permissions in your tenant and can enumerate all Azure subscriptions and resources within your subscriptions.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,2: Konserwowanie metadanych zasobów6.2: Maintain asset metadata

Wskazówki: stosowanie tagów do zasobów platformy Azure, dzięki czemu metadane są logicznie zorganizowane zgodnie z taksonomią.Guidance: Apply tags to Azure resources giving metadata to logically organize them according to a taxonomy.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,3: Usuń nieautoryzowane zasoby platformy Azure6.3: Delete unauthorized Azure resources

Wskazówki: korzystanie z tagowania, grup zarządzania i oddzielnych subskrypcji oraz oddzielnych laboratoriów, gdzie to konieczne, do organizowania i śledzenia zasobów Lab i związanych z laboratorium.Guidance: Use tagging, management groups, and separate subscriptions, and separate labs where appropriate, to organize and track labs and lab-related resources. Regularnie Uzgadniaj spis i zapewnij szybkie usuwanie nieautoryzowanych zasobów z subskrypcji.Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription quickly.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,4: Definiowanie i obsługa spisu zatwierdzonych zasobów platformy Azure6.4: Define and maintain an inventory of approved Azure resources

Wskazówki: Tworzenie spisu zatwierdzonych zasobów platformy Azure oraz zatwierdzonego oprogramowania dla zasobów obliczeniowych zgodnie z potrzebami organizacji.Guidance: Create an inventory of approved Azure resources and approved software for compute resources as per organizational needs. Jako administrator subskrypcji można także użyć funkcji adaptacyjnego sterowania aplikacjami, która Azure Security Center ułatwia zdefiniowanie zestawu aplikacji, które mogą być uruchamiane w skonfigurowanych grupach maszyn laboratorium.As a subscription admin, you can also use adaptive application controls, a feature of Azure Security Center to help you define a set of applications that are allowed to run on configured groups of lab machines. Ta funkcja jest dostępna zarówno na platformie Azure, jak i w systemie Windows (wszystkie wersje, klasyczne lub Azure Resource Manager) i na maszynach z systemem Linux.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux machines.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,5: Monitoruj niezatwierdzone zasoby platformy Azure6.5: Monitor for unapproved Azure resources

Wskazówki: Użyj usługi Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które mogą być tworzone w subskrypcjach klientów, korzystając z następujących wbudowanych definicji zasad:Guidance: Use Azure policy to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • Niedozwolone typy zasobówNot allowed resource types

  • Dozwolone typy zasobówAllowed resource types

Należy również użyć grafu zasobów platformy Azure do wykonywania zapytań i odnajdywania zasobów w ramach subskrypcji.Also, use the Azure Resource Graph to query/discover resources within the subscriptions. Może pomóc w wysokich środowiskach opartych na zabezpieczeniach, takich jak te z kontami magazynu.It can help in high security-based environments, such as those with Storage accounts.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,6: Monitoruj niezatwierdzone aplikacje oprogramowania w ramach zasobów obliczeniowych6.6: Monitor for unapproved software applications within compute resources

Wskazówki: Azure Automation zapewnia pełną kontrolę podczas wdrażania, działania i likwidowania obciążeń i zasobów.Guidance: Azure Automation provides complete control during deployment, operations, and decommissioning of workloads and resources. Jako administrator subskrypcji możesz użyć spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o całym oprogramowaniu na maszynach wirtualnych DevTest Labs w ramach subskrypcji.As a subscription admin, you can use Azure Virtual Machine inventory to automate the collection of information about all software on DevTest Labs VMs in your subscription. Właściwości nazwa oprogramowania, wersja, Wydawca i czas odświeżania są dostępne w Azure Portal.The software name, version, publisher, and refresh time properties are available from the Azure portal. Aby uzyskać dostęp do daty instalacji i innych informacji, klient musi włączyć diagnostykę na poziomie gościa i przenieść dzienniki zdarzeń systemu Windows do obszaru roboczego Log Analytics.To get access to install date and other information, customer required to enable guest-level diagnostic and bring the Windows Event logs into a Log Analytics Workspace.

Oprócz używania Change Tracking do monitorowania aplikacji programowych, adaptacyjnych kontroli aplikacji w Azure Security Center korzystania z uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy.In addition to using Change Tracking for monitoring of software applications, adaptive application controls in Azure Security Center use machine learning to analyze the applications running on your machines and create an allow list from this intelligence. Ta funkcja znacznie upraszcza proces konfigurowania i konserwowania zasad listy dozwolonych aplikacji, co pozwala uniknąć niechcianego oprogramowania, które ma być używane w danym środowisku.This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to avoid unwanted software to be used in your environment. Można skonfigurować tryb inspekcji lub Tryb wymuszania.You can configure audit mode or enforce mode. Tryb inspekcji tylko przeprowadza inspekcję działania na chronionych maszynach wirtualnych.Audit mode only audits the activity on the protected VMs. Tryb wymuszania wymusza reguły i sprawdza, czy aplikacje, które nie są dozwolone do uruchomienia, są zablokowane.Enforce mode does enforce the rules and makes sure that applications that aren't allowed to run are blocked.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,7: Usuń niezatwierdzone zasoby platformy Azure i aplikacje oprogramowania6.7: Remove unapproved Azure resources and software applications

Wskazówki: Azure Automation zapewnia pełną kontrolę podczas wdrażania, działania i likwidowania obciążeń i zasobów.Guidance: Azure Automation provides complete control during deployment, operations, and decommissioning of workloads and resources. Administrator subskrypcji może używać Change Tracking do identyfikowania wszystkich programów zainstalowanych na maszynach wirtualnych hostowanych w DevTest Labs.As a subscription admin, you may use Change Tracking to identify all software installed on VMs hosted in DevTest Labs. Aby usunąć nieautoryzowane oprogramowanie, można zaimplementować własny proces lub użyć konfiguracji stanu Azure Automation.You can implement your own process or use Azure Automation State Configuration for removing unauthorized software.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,8: Używaj tylko zatwierdzonych aplikacji6.8: Use only approved applications

Wskazówki: jako administrator subskrypcji można użyć Azure Security Center adaptacyjnych kontroli aplikacji, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie i wszystkie nieautoryzowane oprogramowanie jest blokowane na maszynach wirtualnych platformy Azure hostowanych w laboratoriach DevTest Labs.Guidance: As a subscription admin, you can use Azure Security Center Adaptive Application Controls to ensure that only authorized software executes, and all unauthorized software is blocked from executing on Azure VMs hosted in DevTest Labs.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,9: Używaj tylko zatwierdzonych usług platformy Azure6.9: Use only approved Azure services

Wskazówki: Użyj usługi Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które mogą być tworzone w subskrypcjach klientów, korzystając z następujących wbudowanych definicji zasad:Guidance: Use Azure policy to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • Niedozwolone typy zasobówNot allowed resource types
  • Dozwolone typy zasobówAllowed resource types

Materiał referencyjny:Reference Material:

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,10: przechowywanie spisu zatwierdzonych tytułów oprogramowania6.10: Maintain an inventory of approved software titles

Wskazówki: adaptacyjne Sterowanie aplikacjami to inteligentne, zautomatyzowane i kompleksowe rozwiązanie od Azure Security Center, które pomaga kontrolować, które aplikacje mogą być uruchamiane na maszynach z platformą Azure i poza platformą Azure (Windows i Linux) hostowane w DevTest Labs.Guidance: Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center, which helps you control which applications can run on your Azure and non-Azure machines (Windows and Linux), hosted in DevTest Labs. Pamiętaj, że musisz być administratorem subskrypcji, aby skonfigurować to ustawienie dla bazowych zasobów obliczeniowych hostowanych w DevTest Labs.Note you need to be a subscription admin to configure this setting for the underlying compute resources hosted in DevTest Labs. Zaimplementuj rozwiązanie innych firm, jeśli to ustawienie nie spełnia wymagań organizacji.Implement third-party solution if this setting doesn't meet your organization's requirement.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,11: Ogranicz możliwość korzystania przez użytkowników z Azure Resource Manager6.11: Limit users' ability to interact with Azure Resource Manager

Wskazówki: korzystanie z dostępu warunkowego platformy Azure w celu ograniczenia możliwości korzystania przez użytkowników z Azure Resource Manager przez skonfigurowanie dostępu blokowania dla Microsoft Azure aplikacji zarządzania .Guidance: Use Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring Block access for the Microsoft Azure Management App.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,12: Ogranicz możliwość wykonywania skryptów w zasobach obliczeniowych przez użytkowników6.12: Limit users' ability to execute scripts in compute resources

Wskazówki: w zależności od typu skryptów, można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów w ramach maszyn wirtualnych hostowanych w DevTest Labs.Guidance: Depending on the type of scripts, you may use operating system-specific configurations or third-party resources to limit users' ability to execute scripts within the VMs hosted in DevTest Labs. Możesz również użyć Azure Security Center adaptacyjnych kontroli aplikacji, aby upewnić się, że tylko autoryzowane oprogramowanie i wszystkie nieautoryzowane oprogramowanie zostało zablokowane na podstawowych maszynach wirtualnych platformy Azure.You can also use Azure Security Center Adaptive Application Controls to ensure that only authorized software executes, and all unauthorized software is blocked from executing on the underlying Azure VMs.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

6,13: fizyczne lub logiczne rozdzielenie aplikacji wysokiego ryzyka6.13: Physically or logically segregate high risk applications

Wskazówki: aplikacje o wysokim ryzyku wdrożone w środowisku platformy Azure mogą być izolowane przy użyciu sieci wirtualnej, podsieci, subskrypcji, grup zarządzania itd.Guidance: High risk applications deployed in your Azure environment may be isolated using virtual network, subnet, subscriptions, management groups, and so on. i dostatecznie zabezpieczone przez zaporę platformy Azure, zaporę aplikacji sieci Web (WAF) lub sieciową grupę zabezpieczeń (sieciowej grupy zabezpieczeń).and sufficiently secured with either an Azure Firewall, Web Application Firewall (WAF), or network security group (NSG).

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Bezpieczna konfiguracjaSecure Configuration

Aby uzyskać więcej informacji, zobacz temat Azure Security test: bezpieczna konfiguracja.For more information, see the Azure Security Benchmark: Secure Configuration.

7,1: Ustanów bezpieczne konfiguracje dla wszystkich zasobów platformy Azure7.1: Establish secure configurations for all Azure resources

Wskazówki: Użyj aliasów Azure Policy do tworzenia zasad niestandardowych w celu inspekcji lub wymuszania konfiguracji zasobów platformy Azure utworzonych w ramach DevTest Labs.Guidance: Use Azure Policy aliases to create custom policies to audit or enforce the configuration of your Azure resources created as part of DevTest Labs. Możesz również użyć wbudowanych definicji Azure Policy.You may also use built-in Azure Policy definitions.

Ponadto Azure Resource Manager ma możliwość eksportowania szablonu w JavaScript Object Notation (JSON), który powinien zostać sprawdzony, aby upewnić się, że konfiguracje spełniają/przekroczą wymagania dotyczące zabezpieczeń organizacji.Also, Azure Resource Manager has the ability to export the template in JavaScript Object Notation (JSON), which should be reviewed to ensure that the configurations meet / exceed the security requirements for your organization.

Możesz również użyć zaleceń z Azure Security Center jako bezpiecznej linii bazowej konfiguracji dla zasobów platformy Azure.You may also use recommendations from Azure Security Center as a secure configuration baseline for your Azure resources.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,2: Ustanów bezpieczne konfiguracje systemów operacyjnych7.2: Establish secure operating system configurations

Wskazówki: Użyj zaleceń Azure Security Center, aby zachować konfiguracje zabezpieczeń dla wszystkich podstawowych zasobów obliczeniowych utworzonych w ramach DevTest Labs.Guidance: Use Azure Security Center recommendations to maintain security configurations on all underlying compute resources created as part of DevTest Labs. Ponadto możesz użyć niestandardowych obrazów systemu operacyjnego lub Azure Automation konfiguracji stanu lub artefaktów DevTest Labs, aby określić konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację.Additionally, you may use custom operating system images or Azure Automation State configuration or DevTest Labs artifacts to establish the security configuration of the operating system required by your organization.

Odpowiedzialność: WspółużytkowaneResponsibility: Shared

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,3: obsługa bezpiecznych konfiguracji zasobów platformy Azure7.3: Maintain secure Azure resource configurations

Wskazówki: Użyj Azure Policy Odmów i Wdróż, jeśli nie istnieją reguły, aby wymusić bezpieczne ustawienia dla zasobów platformy Azure utworzonych w ramach usługi DevTest Labs.Guidance: Use Azure Policy deny and deploy if not exist rules to enforce secure settings across your Azure resources created as a part of DevTest Labs. Ponadto, możesz użyć szablonów Azure Resource Manager, aby zachować konfigurację zabezpieczeń zasobów platformy Azure wymaganych przez organizację.Also, you may use Azure Resource Manager templates to maintain the security configuration of your Azure resources required by your organization.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,4: Zachowaj konfiguracje bezpiecznego systemu operacyjnego7.4: Maintain secure operating system configurations

Wskazówki: Postępuj zgodnie z zaleceniami Azure Security Center na temat przeprowadzania ocen luk w zabezpieczeniach na podstawie własnych zasobów obliczeniowych platformy Azure utworzonych w ramach laboratorium.Guidance: Follow recommendations from Azure Security Center on performing vulnerability assessments on your underlying Azure compute resources created as part of a lab. Ponadto można użyć szablonów Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację.Also, you may use Azure Resource Manager templates, custom operating system images, or Azure Automation State configuration to maintain the security configuration of the operating system required by your organization. Możesz również użyć rozwiązania fabryki obrazów, które jest rozwiązaniem typu "Konfiguracja jako kod", które automatycznie kompiluje i dystrybuuje obrazy na bieżąco ze wszystkimi wymaganymi konfiguracjami.You can also use the image factory solution, which is a configuration-as-code solution that builds and distributes images automatically on a regular basis with all the desired configurations.

Ponadto w firmie Microsoft są zarządzane i utrzymywane w portalu Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft.Also, Azure Marketplace Virtual Machine Images published by Microsoft are managed and maintained by Microsoft.

Odpowiedzialność: WspółużytkowaneResponsibility: Shared

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,5: bezpiecznie przechowuj konfigurację zasobów platformy Azure7.5: Securely store configuration of Azure resources

Wskazówki: Użyj usługi Azure DevOps, aby bezpiecznie przechowywać kod, taki jak niestandardowe zasady platformy Azure, szablony Azure Resource Manager i skrypty konfiguracji żądanego stanu oraz zarządzać nimi.Guidance: Use Azure DevOps to securely store and manage your code like custom Azure policies, Azure Resource Manager templates and Desired State Configuration scripts. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, można udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w Azure Active Directory (Azure AD) w przypadku integracji z usługą Azure DevOps.To access the resources you manage in Azure DevOps, you can grant or deny permissions to specific users, built-in security groups, or groups defined in Azure Active Directory (Azure AD) if integrated with Azure DevOps.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,6: bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego7.6: Securely store custom operating system images

Wskazówki: Jeśli używasz obrazów niestandardowych, użyj kontroli dostępu opartej na rolach (Azure RBAC) na platformie Azure, aby zapewnić dostęp do obrazów tylko autoryzowanym użytkownikom.Guidance: If using custom images, use Azure role-based access control (Azure RBAC) to ensure only authorized users may access the images. Za pomocą udostępnionej galerii obrazów możesz udostępnić swoje obrazy do określonych laboratoriów, które ich potrzebują.Using a Shared Image Gallery, you can share your images to specific labs that need it. W przypadku obrazów kontenerów Zapisz je w Azure Container Registry i Użyj usługi Azure RBAC, aby zapewnić dostęp do obrazów tylko autoryzowanym użytkownikom.For container images, store them in Azure Container Registry and use Azure RBAC to ensure only authorized users may access the images.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure7.7: Deploy configuration management tools for Azure resources

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów platformy Azure przy użyciu Azure Policy.Guidance: Define and implement standard security configurations for Azure resources using Azure Policy. Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci zasobów platformy Azure utworzonych w ramach DevTest Labs.Use Azure Policy aliases to create custom policies to audit or enforce the network configuration of your Azure resources created under DevTest Labs. Mogą również korzystać z wbudowanych definicji zasad związanych z konkretnymi zasobami.You may also make use of built-in policy definitions related to your specific resources. Ponadto można użyć Azure Automation do wdrożenia zmian konfiguracji.Additionally, you may use Azure Automation to deploy configuration changes.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych7.8: Deploy configuration management tools for operating systems

Wskazówki: Azure Automation konfiguracja stanu to usługa zarządzania konfiguracją dla węzłów konfiguracji żądanego stanu (DSC) w dowolnym chmurze lub lokalnym centrum danych.Guidance: Azure Automation State Configuration is a configuration management service for Desired State Configuration (DSC) nodes in any cloud or on-premises datacenter. Można łatwo dołączać maszyny, przypisywać do nich konfiguracje deklaracyjne i wyświetlać raporty pokazujące zgodność poszczególnych maszyn z wybranym określonym stanem.You can easily onboard machines, assign them declarative configurations, and view reports showing each machine's compliance to the desired state you specified. Możesz również napisać niestandardowy artefakt, który może zostać zainstalowany na każdej maszynie laboratoryjnej, aby upewnić się, że są one zgodne z zasadami organizacji.You can also write a custom artifact that can installed on every lab machine to ensure they are follow organizational policies.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,9: Zaimplementuj automatyczne monitorowanie konfiguracji dla zasobów platformy Azure7.9: Implement automated configuration monitoring for Azure resources

Wskazówki: Użyj Azure Security Center, aby przeprowadzić skanowanie linii bazowej dla zasobów platformy Azure utworzonych w ramach DevTest Labs.Guidance: Use Azure Security Center to perform baseline scans for your Azure Resources created under DevTest Labs. Ponadto należy używać Azure Policy do powiadamiania i inspekcji konfiguracji zasobów platformy Azure.Additionally, use Azure Policy to alert and audit Azure resource configurations.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,10: Zaimplementuj automatyczne monitorowanie konfiguracji dla systemów operacyjnych7.10: Implement automated configuration monitoring for operating systems

Wskazówki: Użyj Azure Security Center, aby przeprowadzić skanowanie linii bazowej dla ustawień systemu operacyjnego i platformy Docker dla kontenerów, które są uruchamiane w środowisku laboratoryjnym.Guidance: Use Azure Security Center to perform baseline scans for OS and Docker settings for containers that are ran in your lab.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,11: bezpieczne zarządzanie wpisami tajnymi platformy Azure7.11: Manage Azure secrets securely

Wskazówki: Użyj tożsamość usługi zarządzanej w połączeniu z Azure Key Vault, aby uprościć i zabezpieczyć poufne Zarządzanie aplikacjami w chmurze.Guidance: Use Managed Service Identity in conjunction with Azure Key Vault to simplify and secure secret management for your cloud applications.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,12: bezpieczne i automatyczne zarządzanie tożsamościami7.12: Manage identities securely and automatically

Wskazówki: Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w usłudze Azure Active Directory (Azure AD).Guidance: Use Managed Identities to provide Azure services with an automatically managed identity in Azure Active Directory (Azure AD). Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze, która obsługuje uwierzytelnianie usługi Azure AD, w tym Key Vault, bez żadnych poświadczeń w kodzie.Managed Identities allows you to authenticate to any service that supports Azure AD authentication, including Key Vault, without any credentials in your code.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

7,13: eliminowanie nieprzewidzianego narażenia na poświadczenia7.13: Eliminate unintended credential exposure

Wskazówki: Implementuj skaner poświadczeń, aby identyfikować poświadczenia w kodzie.Guidance: Implement Credential Scanner to identify credentials within code. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Ochrona przed złośliwym oprogramowaniemMalware Defense

Aby uzyskać więcej informacji, zobacz temat Azure Security test: Obrona złośliwego oprogramowania.For more information, see the Azure Security Benchmark: Malware Defense.

8,1: Użyj centralnie zarządzanego oprogramowania chroniącego przed złośliwym kodem8.1: Use centrally managed antimalware software

Wskazówki: Użyj programu Microsoft chroniącego przed złośliwym kodem dla platformy Azure w celu ciągłego monitorowania i obrony zasobów.Guidance: Use Microsoft Antimalware for Azure to continuously monitor and defend your resources. W przypadku systemu Linux należy zastosować rozwiązanie chroniące przed złośliwym oprogramowaniem innej firmy.For Linux, use third party antimalware solution. Ponadto należy użyć wykrywania zagrożeń Azure Security Center dla usług danych w celu wykrywania złośliwego oprogramowania przekazanego do kont magazynu.Also, use Azure Security Center's Threat detection for data services to detect malware uploaded to storage accounts.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

8,2: przeskanuj pliki przed przekazaniem do zasobów platformy Azure, które nie są obliczeniowe8.2: Pre-scan files to be uploaded to non-compute Azure resources

Wskazówki: oprogramowanie chroniące przed złośliwym oprogramowaniem firmy Microsoft jest włączone na podstawowym hoście obsługującym usługi platformy Azure (na przykład Azure App Service hostowane w laboratorium), ale nie jest ono uruchamiane w Twojej zawartości.Guidance: Microsoft Antimalware is enabled on the underlying host that supports Azure services (for example, Azure App Service hosted in a lab), however, it does not run on your content.

Wstępnie Skanuj pliki przekazane do zasobów platformy Azure, które nie są obliczeniowe, takie jak App Service, Data Lake Storage, Blob Storage itd.Pre-scan files uploaded to non-compute Azure resources, such as App Service, Data Lake Storage, Blob Storage, and so on.

Użyj wykrywania zagrożeń Azure Security Center dla usług danych w celu wykrywania złośliwego oprogramowania przekazanego do kont magazynu.Use Azure Security Center's threat detection for data services to detect malware uploaded to storage accounts.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

8,3: Upewnij się, że oprogramowanie chroniące przed złośliwym oprogramowaniem i podpisy zostały zaktualizowane8.3: Ensure antimalware software and signatures are updated

Wskazówki: po wdrożeniu usługa Microsoft chroniąca przed złośliwym kodem na platformie Azure automatycznie zainstaluje najnowsze aktualizacje sygnatur, platform i aparatu.Guidance: When deployed, Microsoft Antimalware for Azure will automatically install the latest signature, platform, and engine updates by default. Postępuj zgodnie z zaleceniami w Azure Security Center: "COMPUTE & Apps", aby upewnić się, że wszystkie punkty końcowe dla podstawowych zasobów obliczeniowych DevTest Labs są aktualne przy użyciu najnowszych sygnatur.Follow recommendations in Azure Security Center: "Compute & Apps" to ensure all endpoints for DevTest Labs underlying compute resources are up to date with the latest signatures. System operacyjny Windows może być dodatkowo chroniony przy użyciu dodatkowych zabezpieczeń w celu ograniczenia ryzyka ataków na ataki przez wirusy lub złośliwe oprogramowanie w usłudze Microsoft Defender Advanced Threat Protection, która integruje się z Azure Security Center.The Windows OS can be further protected with additional security to limit the risk of virus or malware-based attacks with the Microsoft Defender Advanced Threat Protection service that integrates with Azure Security Center.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Odzyskiwanie danychData Recovery

Aby uzyskać więcej informacji, zobacz test dotyczący zabezpieczeń platformy Azure: odzyskiwanie danych.For more information, see the Azure Security Benchmark: Data Recovery.

9,1: Zapewnij regularne zautomatyzowane przywracanie awaryjne9.1: Ensure regular automated back ups

Wskazówki: obecnie Azure DevTest Labs nie obsługuje kopii zapasowych maszyn wirtualnych i migawek.Guidance: Currently, Azure DevTest Labs doesn't support VM backups and snapshots. Można jednak włączyć i skonfigurować Azure Backup na podstawowych maszynach wirtualnych platformy Azure hostowanych w usłudze DevTest Labs.However, you can enable and configure Azure Backup on the underlying Azure VMs hosted in DevTest Labs. Ponadto można skonfigurować żądaną częstotliwość i okres przechowywania automatycznych kopii zapasowych, o ile masz odpowiedni dostęp do podstawowych zasobów obliczeniowych.And, you can also configure the wanted frequency and retention period for automatic backups as long as you have appropriate access to the underlying compute resources.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

9,2: wykonaj kompletne kopie zapasowe systemu i Utwórz kopię zapasową wszystkich kluczy zarządzanych przez klienta9.2: Perform complete system backups and backup any customer-managed keys

Wskazówki: obecnie Azure DevTest Labs nie obsługuje kopii zapasowych maszyn wirtualnych i migawek.Guidance: Currently, Azure DevTest Labs doesn't support VM backups and snapshots. Można jednak tworzyć migawki podstawowych maszyn wirtualnych platformy Azure hostowanych w laboratoriach DevTest Labs lub dyskach zarządzanych podłączonych do tych wystąpień przy użyciu programu PowerShell lub interfejsów API REST, o ile masz odpowiednie uprawnienia dostępu do podstawowych zasobów obliczeniowych.However, you can create snapshots of your underlying Azure VMs hosted in the DevTest Labs or the managed disks attached to those instances using PowerShell or REST APIs as long as you have appropriate access to the underlying compute resources. Można również utworzyć kopię zapasową wszystkich kluczy zarządzanych przez klienta w ramach Azure Key Vault.You can also back up any customer-managed keys within Azure Key Vault.

Włącz Azure Backup na docelowych maszynach wirtualnych platformy Azure i pożądaną częstotliwość i okres przechowywania.Enable Azure Backup on target Azure VMs, and the wanted frequency and retention periods. Obejmuje to kompletną kopię zapasową stanu systemu.It includes complete system state backup. Jeśli używasz usługi Azure Disk Encryption, kopia zapasowa maszyny wirtualnej platformy Azure automatycznie obsługuje tworzenie kopii zapasowych kluczy zarządzanych przez klienta.If you're using Azure disk encryption, Azure VM backup automatically handles the backup of customer-managed keys.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

9,3: Weryfikuj wszystkie kopie zapasowe, w tym klucze zarządzane przez klienta9.3: Validate all backups including customer-managed keys

Wskazówki: Zapewnij okresowe wykonywanie operacji przywracania danych w ramach Azure Backup.Guidance: Ensure ability to periodically perform data restoration of content within Azure Backup. W razie potrzeby przetestuj przywracanie zawartości do izolowanej sieci wirtualnej lub subskrypcji.If necessary, test restoration of content to an isolated virtual network or subscription. Ponadto Przetestuj przywracanie kopii zapasowych kluczy zarządzanych przez klienta.Also, test restoration of backed up customer-managed keys.

Jeśli używasz usługi Azure Disk Encryption, możesz przywrócić maszynę wirtualną platformy Azure z kluczami szyfrowania dysku.If you're using Azure disk encryption, you can restore the Azure VM with the disk encryption keys. W przypadku korzystania z szyfrowania dysków można przywrócić maszynę wirtualną platformy Azure z kluczami szyfrowania dysku.When using disk encryption, you can restore the Azure VM with the disk encryption keys.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

9,4: zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta9.4: Ensure protection of backups and customer-managed keys

Wskazówki: podczas tworzenia kopii zapasowej dysków zarządzanych przy użyciu Azure Backup maszyny wirtualne są szyfrowane przy użyciu szyfrowanie usługi Storage (SSE).Guidance: When you back up managed disks with Azure Backup, VMs are encrypted at rest with Storage Service Encryption (SSE). Azure Backup może również tworzyć kopie zapasowe maszyn wirtualnych platformy Azure, które są szyfrowane przy użyciu Azure Disk Encryption.Azure Backup can also back up Azure VMs that are encrypted by using Azure Disk Encryption. Azure Disk Encryption integruje się z kluczami szyfrowania funkcji BitLocker (BEKs), które są chronione w magazynie kluczy jako wpisy tajne.Azure Disk Encryption integrates with BitLocker encryption keys (BEKs), which are safeguarded in a key vault as secrets. Azure Disk Encryption integruje się również z kluczami szyfrowania klucza Azure Key Vault (KEKs).Azure Disk Encryption also integrates with Azure Key Vault key encryption keys (KEKs). Włącz Soft-Delete w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.Enable Soft-Delete in Key Vault to protect keys against accidental or malicious deletion.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Reagowanie na zdarzeniaIncident Response

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.For more information, see the Azure Security Benchmark: Incident Response.

10,1: Tworzenie przewodnika odpowiedzi na zdarzenia10.1: Create an incident response guide

Wskazówki: Tworzenie przewodnika odpowiedzi na zdarzenia dla organizacji.Guidance: Develop an incident response guide for your organization. Upewnij się, że istnieją jednokierunkowe plany reagowania na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń i zarządzania z wykrywania na potrzeby przeglądu po zdarzeniu.Ensure there are written incident response plans that define all the roles of personnel as well as the phases of incident handling and management from detection to post-incident review.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

10,2: Tworzenie oceny incydentu i procedury priorytetyzacji10.2: Create an incident scoring and prioritization procedure

Wskazówki: Azure Security Center przypisuje ważność do każdego alertu, aby pomóc w ustaleniu, które alerty należy najpierw zbadać.Guidance: Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. Ważność jest oparta na tym, jak dobrze Security Center znajduje się w wyszukiwaniu lub analitycznym używanym do wystawiania alertu, a także poziom pewności, że istniało złośliwy wpływ na działanie, które prowadziło do alertu.The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Ponadto należy oznaczyć subskrypcje przy użyciu tagów i utworzyć system nazewnictwa, aby identyfikować i klasyfikować zasoby platformy Azure, szczególnie te, które przetwarzają poufne dane.Additionally, mark subscriptions using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. Odpowiedzialność za korygowanie alertów zależy od zagrożenia dla zasobów platformy Azure i środowiska, w którym wystąpiło zdarzenie.It's your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

10,3: procedury odpowiedzi na zabezpieczenia testowe10.3: Test security response procedures

Wskazówki: przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia systemów w regularnych erzeach w celu ochrony zasobów platformy Azure.Guidance: Conduct exercises to test your systems' incident response capabilities on a regular cadence to help protect your Azure resources. Zidentyfikuj słabe punkty i przerwy, a następnie Popraw plan odpowiedzi zgodnie z potrzebami.Identify weak points and gaps and then revise your response plan as needed.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

10,4: Podaj szczegóły kontaktu dotyczącego zabezpieczeń i Skonfiguruj powiadomienia dotyczące alertów dotyczących zdarzeń związanych z zabezpieczeniami10.4: Provide security incident contact details and configure alert notifications for security incidents

Wskazówki: informacje kontaktowe dotyczące zdarzenia zabezpieczeń będą używane przez firmę Microsoft do skontaktowania się z Tobą, jeśli firma Microsoft Security Response Center (MSRC) wykryje, że dostęp do danych zostały nadane przez nielegalną lub nieautoryzowaną stronę.Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.Review incidents after the fact to ensure that issues are resolved.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

10,5: Uwzględnij alerty zabezpieczeń w systemie odpowiedzi na zdarzenia10.5: Incorporate security alerts into your incident response system

Wskazówki: eksportowanie alertów i zaleceń dotyczących Azure Security Center przy użyciu funkcji eksportu ciągłego, która pomaga identyfikować zagrożenia dla zasobów platformy Azure.Guidance: Export your Azure Security Center alerts and recommendations using the continuous export feature to help identify risks to Azure resources. Eksport ciągły umożliwia wyeksportowanie alertów i zaleceń ręcznie lub w stały sposób ciągły.Continuous export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Możesz użyć łącznika danych Azure Security Center do przesyłania strumieniowego alertów do usługi Azure wskaźnikowej.You can use the Azure Security Center data connector to stream the alerts to Azure Sentinel.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

10,6: Automatyzowanie odpowiedzi na alerty zabezpieczeń10.6: Automate the response to security alerts

Wskazówki: korzystanie z funkcji automatyzacji przepływu pracy Azure Security Center do automatycznego wyzwalania odpowiedzi na alerty zabezpieczeń i zalecenia dotyczące ochrony zasobów platformy Azure.Guidance: Use workflow automation feature Azure Security Center to automatically trigger responses to security alerts and recommendations to protect your Azure resources.

Odpowiedzialność: KlientResponsibility: Customer

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Testy penetracyjne i ćwiczenia typu „red team”Penetration Tests and Red Team Exercises

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń platformy Azure: testy penetracji i czerwone ćwiczenia zespołu.For more information, see the Azure Security Benchmark: Penetration Tests and Red Team Exercises.

11,1: Przeprowadź regularne testowanie penetracji zasobów platformy Azure i zadbaj o skorygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

Wskazówki: Postępuj zgodnie z regułami testowania penetracji Microsoft Cloud, aby upewnić się, że testy penetracji nie naruszają zasad firmy Microsoft.Guidance: Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Odpowiedzialność: WspółużytkowaneResponsibility: Shared

Monitorowanie Azure Security Center: brakAzure Security Center monitoring: None

Następne krokiNext steps