Punkt odniesienia zabezpieczeń platformy Azure dla Data Lake Analytics

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Data Lake Analytics. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące Data Lake Analytics.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do Data Lake Analytics lub za które ponosi odpowiedzialność firma Microsoft, zostały wykluczone. Aby zobaczyć, jak Data Lake Analytics całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Data Lake Analytics.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówka: Użyj ustawień zapory dla Data Lake Analytics, aby ograniczyć zakresy zewnętrznych adresów IP, aby zezwolić na dostęp z klientów lokalnych i usług innych firm. Konfiguracja ustawień zapory jest dostępna za pośrednictwem portalu, interfejsów API REST lub programu PowerShell.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówka: Użyj ustawień zapory dla Data Lake Analytics, aby ograniczyć zakresy zewnętrznych adresów IP, aby zezwolić na dostęp z klientów lokalnych i usług innych firm. Konfiguracja ustawień zapory jest dostępna za pośrednictwem portalu, interfejsów API REST lub programu PowerShell.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń, takich jak Data Lake Analytics diagnostyki "inspekcja" i "żądania". W usłudze Azure Monitor użyj obszaru roboczego usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego/archiwalnego, opcjonalnie z funkcjami zabezpieczeń, takimi jak niezmienny magazyn i wymuszone przechowywanie.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania do zarządzania informacjami i zdarzeniami innych firm.

Odpowiedzialność: Klient

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Włącz ustawienia diagnostyczne dla Data Lake Analytics w celu uzyskania dostępu do dzienników inspekcji i żądań. Należą do nich dane, takie jak źródło zdarzeń, data, użytkownik, sygnatura czasowa i inne przydatne elementy.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.DataLakeAnalytics:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dzienniki zasobów w Data Lake Analytics powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor ustaw okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności w organizacji. Używaj kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Analizowanie i monitorowanie dzienników pod kątem nietypowego zachowania i regularne przeglądanie wyników dla zasobów Data Lake Analytics. Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor do przeglądania dzienników i wykonywania zapytań dotyczących danych dziennika. Alternatywnie możesz włączyć i wprowadzić dane do usługi Microsoft Sentinel lub rozwiązania do zarządzania informacjami i zdarzeniami innych firm.

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówka: Włączanie ustawień diagnostycznych dla Data Lake Analytics i wysyłanie dzienników do obszaru roboczego usługi Log Analytics. Dołącz obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia ona rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do rozwiązywania problemów z zabezpieczeniami.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD programu PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Data Lake Analytics nie ma pojęcia domyślnych haseł, ponieważ uwierzytelnianie jest dostarczane z usługą Azure Active Directory (Azure AD) i zabezpieczane przez kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC).

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.

Dostęp just in time można również włączyć przy użyciu usługi Azure Active Directory (Azure AD) Privileged Identity Management i usługi Azure Resource Manager.

Odpowiedzialność: Klient

3.4: Korzystanie z logowania jednokrotnego (SSO) usługi Azure Active Directory

Wskazówka: Wszędzie tam, gdzie to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory (Azure AD) zamiast konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń dotyczących tożsamości i dostępu w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włącz uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud, aby chronić zasoby Data Lake Analytics.

Odpowiedzialność: Klient

3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych

Wskazówki: Użyj bezpiecznej stacji roboczej zarządzanej przez platformę Azure (znanej również jako stacja robocza z dostępem uprzywilejowanym lub stacji roboczej z dostępem uprzywilejowanym) do zadań administracyjnych, które wymagają podniesionych uprawnień.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Użyj raportów zabezpieczeń usługi Azure Active Directory (Azure AD) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Monitorowanie działań związanych z tożsamościami i dostępem za pomocą usługi Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Kontrola dostępu oparta na rolach (RBAC) platformy Azure zapewnia szczegółową kontrolę dostępu klienta do Data Lake Analytics zasobów.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj Azure AD tożsamości i przeglądów dostępu, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: Włącz ustawienia diagnostyczne dla Data Lake Analytics i usługi Azure Active Directory (Azure AD), wysyłając wszystkie dzienniki do obszaru roboczego usługi Log Analytics. Skonfiguruj żądane alerty (takie jak próby uzyskania dostępu do wyłączonych wpisów tajnych) w usłudze Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: Korzystanie z funkcji ryzyka i usługi Identity Protection w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z zasobami Data Lake Analytics. Należy włączyć automatyczne odpowiedzi za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu informacji poufnych

Wskazówka: użyj tagów, aby ułatwić śledzenie Data Lake Analytics zasobów, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówka: Zaimplementuj izolację przy użyciu oddzielnych subskrypcji, grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak środowisko, poufność danych. Możesz ograniczyć Data Lake Analytics, aby kontrolować poziom dostępu do zasobów Data Lake Analytics, których wymagają aplikacje i środowiska przedsiębiorstwa. Po skonfigurowaniu reguł zapory tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci mogą uzyskiwać dostęp do zasobów Data Lake Analytics. Dostęp do usługi Azure Data Lake Analytics można kontrolować za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówka: Funkcje ochrony przed utratą danych nie są jeszcze dostępne dla zasobów usługi Azure Data Lake Analytics. W razie potrzeby zaimplementuj rozwiązanie innej firmy do celów zgodności.

W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i chroniącą przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Zasoby platformy Microsoft Azure będą domyślnie negocjować protokół TLS 1.2. Upewnij się, że każdy klient łączący się z Data Lake Analytics może negocjować przy użyciu protokołu TLS 1.2 lub nowszego.

Odpowiedzialność: Współużytkowane

4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji danych nie są jeszcze dostępne dla zasobów usługi Azure Data Lake Analytics. W razie potrzeby zaimplementuj rozwiązanie innej firmy do celów zgodności.

Odpowiedzialność: Klient

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówka: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie sposobu interakcji użytkowników z usługą.

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: Dane są przechowywane na domyślnym koncie Data Lake Storage Gen1. W przypadku danych magazynowanych Data Lake Storage Gen1 obsługuje funkcję "domyślnie włączoną", przezroczystą szyfrowanie.

Odpowiedzialność: Współużytkowane

4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure

Wskazówka: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpienia produkcyjnego zasobów usługi Azure Data Lake Analytics.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1: Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w zakresie zabezpieczania zasobów usługi Azure Data Lake Analytics.

Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują usługę Azure Data Lake Analytics.

Odpowiedzialność: Klient

5.5: Użyj procesu oceny ryzyka, aby ustalić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: Użyj wspólnego programu oceniania ryzyka (na przykład wspólnego systemu oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka dostarczonych przez narzędzie do skanowania innej firmy.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań dotyczących wszystkich zasobów (takich jak obliczenia, magazyn, sieć, porty i protokoły itp.) w subskrypcjach i odnajdywanie ich. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w Twoich subskrypcjach.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem usługi Azure Resource Graph Explorer, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych elementów zawartości

Wskazówka: Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: Używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów usługi Azure Data Lake Analytics. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto należy użyć Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówka: Użyj Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji i odnajdywania ich.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Konfigurowanie dostępu warunkowego platformy Azure w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DataLakeAnalytics", aby utworzyć niestandardowe zasady inspekcji lub wymuszania konfiguracji usługi Azure Data Lake Analytics. Możesz również korzystać z wbudowanych definicji zasad związanych z usługą Azure Data Lake Analytics, takich jak:

  • Dzienniki diagnostyczne w Data Lake Analytics powinny być włączone

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Użyj Azure Repos do bezpiecznego przechowywania kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager, skrypty Desired State Configuration itp. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD) w przypadku integracji z usługą Azure DevOps lub Azure AD, jeśli są zintegrowane z programem TFS.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DataLakeAnalytics", aby utworzyć niestandardowe zasady do generowania alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist] efekty, aby automatycznie wymuszać konfiguracje zasobów usługi Azure Data Lake Analytics.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików do przekazania do zasobów platformy Azure nieobsadowanych

Wskazówka: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym obsługującym usługi platformy Azure (na przykład Azure Data Lake Analytics), ale nie jest uruchamiana w zawartości klienta.

Wstępne skanowanie zawartości przekazywanej do zasobów platformy Azure, takich jak App Service, Data Lake Analytics, Blob Storage itp. Firma Microsoft nie może uzyskać dostępu do danych w tych wystąpieniach.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych

Wskazówki: Data Lake Analytics dzienniki zadań i dane wyjściowe są przechowywane w podstawowej usłudze Data Lake Storage Gen1. Za pomocą różnych metod można kopiować dane, w tym narzędzie ADLCopy, Azure PowerShell lub Azure Data Factory. Można również używać Azure Automation do regularnego tworzenia kopii zapasowych danych.

Odpowiedzialność: Klient

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Data Lake Analytics dzienniki zadań i dane wyjściowe są przechowywane w podstawowej usłudze Data Lake Storage Gen1. Za pomocą różnych metod można kopiować dane, w tym narzędzie ADLCopy, Azure PowerShell lub Azure Data Factory.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo przeprowadzaj przywracanie danych kopii zapasowej w celu przetestowania integralności danych.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Data Lake Analytics kopii zapasowych przechowywanych w Data Lake Storage Gen1 lub usłudze Azure Storage domyślnie obsługują szyfrowanie i nie można ich wyłączyć. Kopie zapasowe należy traktować jako poufne dane i stosować odpowiednie mechanizmy kontroli dostępu i ochrony danych w ramach tego punktu odniesienia.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadź ćwiczenia, aby przetestować możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i luki, a następnie zrewiduj plan reagowania zgodnie z potrzebami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Funkcja automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury umożliwia automatyczne wyzwalanie odpowiedzi za pośrednictwem usługi "Logic Apps" dotyczących alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki