Punkt odniesienia zabezpieczeń platformy Azure dla Data Lake Analytics
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Data Lake Analytics. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące Data Lake Analytics.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.
Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Kontrolki nie mają zastosowania do Data Lake Analytics lub za które ponosi odpowiedzialność firma Microsoft, zostały wykluczone. Aby zobaczyć, jak Data Lake Analytics całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Data Lake Analytics.
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.
1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych
Wskazówka: Użyj ustawień zapory dla Data Lake Analytics, aby ograniczyć zakresy zewnętrznych adresów IP, aby zezwolić na dostęp z klientów lokalnych i usług innych firm. Konfiguracja ustawień zapory jest dostępna za pośrednictwem portalu, interfejsów API REST lub programu PowerShell.
Odpowiedzialność: Klient
1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP
Wskazówka: Użyj ustawień zapory dla Data Lake Analytics, aby ograniczyć zakresy zewnętrznych adresów IP, aby zezwolić na dostęp z klientów lokalnych i usług innych firm. Konfiguracja ustawień zapory jest dostępna za pośrednictwem portalu, interfejsów API REST lub programu PowerShell.
Odpowiedzialność: Klient
Rejestrowanie i monitorowanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.
2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń
Wskazówki: pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń, takich jak Data Lake Analytics diagnostyki "inspekcja" i "żądania". W usłudze Azure Monitor użyj obszaru roboczego usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego/archiwalnego, opcjonalnie z funkcjami zabezpieczeń, takimi jak niezmienny magazyn i wymuszone przechowywanie.
Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania do zarządzania informacjami i zdarzeniami innych firm.
Accessing diagnostic logs for Azure Data Lake Analytics (Dostęp do dzienników diagnostycznych usługi Azure Data Lake Analytics)
Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor
Jak rozpocząć pracę z usługą Azure Monitor i integracją rozwiązania SIEM innej firmy
Odpowiedzialność: Klient
2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure
Wskazówki: Włącz ustawienia diagnostyczne dla Data Lake Analytics w celu uzyskania dostępu do dzienników inspekcji i żądań. Należą do nich dane, takie jak źródło zdarzeń, data, użytkownik, sygnatura czasowa i inne przydatne elementy.
Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor
Omówienie rejestrowania i różnych typów dzienników na platformie Azure
Odpowiedzialność: Klient
Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.
Azure Policy wbudowane definicje — Microsoft.DataLakeAnalytics:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dzienniki zasobów w Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń
Wskazówki: W usłudze Azure Monitor ustaw okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności w organizacji. Używaj kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.
Zmienianie okresu przechowywania danych w usłudze Log Analytics
Jak skonfigurować zasady przechowywania dla dzienników konta usługi Azure Storage
Odpowiedzialność: Klient
2.6: Monitorowanie i przeglądanie dzienników
Wskazówki: Analizowanie i monitorowanie dzienników pod kątem nietypowego zachowania i regularne przeglądanie wyników dla zasobów Data Lake Analytics. Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor do przeglądania dzienników i wykonywania zapytań dotyczących danych dziennika. Alternatywnie możesz włączyć i wprowadzić dane do usługi Microsoft Sentinel lub rozwiązania do zarządzania informacjami i zdarzeniami innych firm.
Aby uzyskać więcej informacji na temat obszaru roboczego usługi Log Analytics
Jak wykonywać zapytania niestandardowe w usłudze Azure Monitor
Odpowiedzialność: Klient
2.7: Włączanie alertów dotyczących nietypowych działań
Wskazówka: Włączanie ustawień diagnostycznych dla Data Lake Analytics i wysyłanie dzienników do obszaru roboczego usługi Log Analytics. Dołącz obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia ona rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do rozwiązywania problemów z zabezpieczeniami.
Jak otrzymywać alerty dotyczące danych dziennika usługi Log Analytics
Accessing diagnostic logs for Azure Data Lake Analytics (Dostęp do dzienników diagnostycznych usługi Azure Data Lake Analytics)
Odpowiedzialność: Klient
Tożsamość i kontrola dostępu
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.
3.1: Utrzymywanie spisu kont administracyjnych
Wskazówki: Usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD programu PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych.
Jak uzyskać rolę katalogu w programie Azure AD przy użyciu programu PowerShell
Jak uzyskać członków roli katalogu w programie Azure AD przy użyciu programu PowerShell
Odpowiedzialność: Klient
3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie
Wskazówki: Data Lake Analytics nie ma pojęcia domyślnych haseł, ponieważ uwierzytelnianie jest dostarczane z usługą Azure Active Directory (Azure AD) i zabezpieczane przez kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC).
Odpowiedzialność: Klient
3.3: Korzystanie z dedykowanych kont administracyjnych
Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.
Dostęp just in time można również włączyć przy użyciu usługi Azure Active Directory (Azure AD) Privileged Identity Management i usługi Azure Resource Manager.
Odpowiedzialność: Klient
3.4: Korzystanie z logowania jednokrotnego (SSO) usługi Azure Active Directory
Wskazówka: Wszędzie tam, gdzie to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory (Azure AD) zamiast konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń dotyczących tożsamości i dostępu w usłudze Microsoft Defender for Cloud.
Odpowiedzialność: Klient
3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory
Wskazówki: Włącz uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud, aby chronić zasoby Data Lake Analytics.
Jak włączyć uwierzytelnianie wieloskładnikowe na platformie Azure
Jak monitorować tożsamość i dostęp w usłudze Microsoft Defender for Cloud
Odpowiedzialność: Klient
3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych
Wskazówki: Użyj bezpiecznej stacji roboczej zarządzanej przez platformę Azure (znanej również jako stacja robocza z dostępem uprzywilejowanym lub stacji roboczej z dostępem uprzywilejowanym) do zadań administracyjnych, które wymagają podniesionych uprawnień.
Omówienie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych
Jak włączyć uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD)
Odpowiedzialność: Klient
3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych
Wskazówki: Użyj raportów zabezpieczeń usługi Azure Active Directory (Azure AD) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Monitorowanie działań związanych z tożsamościami i dostępem za pomocą usługi Microsoft Defender for Cloud.
Odpowiedzialność: Klient
3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji
Wskazówki: Użyj usługi Azure Active Directory (Azure AD) nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.
Odpowiedzialność: Klient
3.9: Korzystanie z usługi Azure Active Directory
Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Kontrola dostępu oparta na rolach (RBAC) platformy Azure zapewnia szczegółową kontrolę dostępu klienta do Data Lake Analytics zasobów.
Odpowiedzialność: Klient
3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników
Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj Azure AD tożsamości i przeglądów dostępu, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.
Odpowiedzialność: Klient
3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń
Wskazówki: Włącz ustawienia diagnostyczne dla Data Lake Analytics i usługi Azure Active Directory (Azure AD), wysyłając wszystkie dzienniki do obszaru roboczego usługi Log Analytics. Skonfiguruj żądane alerty (takie jak próby uzyskania dostępu do wyłączonych wpisów tajnych) w usłudze Log Analytics.
Odpowiedzialność: Klient
3.12: Alert dotyczący odchylenia zachowania logowania do konta
Wskazówki: Korzystanie z funkcji ryzyka i usługi Identity Protection w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z zasobami Data Lake Analytics. Należy włączyć automatyczne odpowiedzi za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.
Odpowiedzialność: Klient
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.
4.1: Utrzymywanie spisu informacji poufnych
Wskazówka: użyj tagów, aby ułatwić śledzenie Data Lake Analytics zasobów, które przechowują lub przetwarzają poufne informacje.
Odpowiedzialność: Klient
4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji
Wskazówka: Zaimplementuj izolację przy użyciu oddzielnych subskrypcji, grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak środowisko, poufność danych. Możesz ograniczyć Data Lake Analytics, aby kontrolować poziom dostępu do zasobów Data Lake Analytics, których wymagają aplikacje i środowiska przedsiębiorstwa. Po skonfigurowaniu reguł zapory tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci mogą uzyskiwać dostęp do zasobów Data Lake Analytics. Dostęp do usługi Azure Data Lake Analytics można kontrolować za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Zarządzanie Access Control opartymi na rolach platformy Azure
Zarządzanie usługą Azure Data Lake Analytics przy użyciu programu Azure PowerShell
Odpowiedzialność: Klient
4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji
Wskazówka: Funkcje ochrony przed utratą danych nie są jeszcze dostępne dla zasobów usługi Azure Data Lake Analytics. W razie potrzeby zaimplementuj rozwiązanie innej firmy do celów zgodności.
W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i chroniącą przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.
Odpowiedzialność: Klient
4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych
Wskazówki: Zasoby platformy Microsoft Azure będą domyślnie negocjować protokół TLS 1.2. Upewnij się, że każdy klient łączący się z Data Lake Analytics może negocjować przy użyciu protokołu TLS 1.2 lub nowszego.
Odpowiedzialność: Współużytkowane
4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych
Wskazówki: funkcje identyfikacji danych nie są jeszcze dostępne dla zasobów usługi Azure Data Lake Analytics. W razie potrzeby zaimplementuj rozwiązanie innej firmy do celów zgodności.
Odpowiedzialność: Klient
4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure
Wskazówka: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie sposobu interakcji użytkowników z usługą.
Odpowiedzialność: Klient
4.8: Szyfrowanie poufnych informacji magazynowanych
Wskazówki: Dane są przechowywane na domyślnym koncie Data Lake Storage Gen1. W przypadku danych magazynowanych Data Lake Storage Gen1 obsługuje funkcję "domyślnie włączoną", przezroczystą szyfrowanie.
Odpowiedzialność: Współużytkowane
4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure
Wskazówka: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpienia produkcyjnego zasobów usługi Azure Data Lake Analytics.
Odpowiedzialność: Klient
Zarządzanie lukami w zabezpieczeniach
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.
5.1: Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach
Wskazówki: Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w zakresie zabezpieczania zasobów usługi Azure Data Lake Analytics.
Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują usługę Azure Data Lake Analytics.
Odpowiedzialność: Klient
5.5: Użyj procesu oceny ryzyka, aby ustalić priorytety korygowania wykrytych luk w zabezpieczeniach
Wskazówki: Użyj wspólnego programu oceniania ryzyka (na przykład wspólnego systemu oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka dostarczonych przez narzędzie do skanowania innej firmy.
Odpowiedzialność: Klient
Zarządzanie magazynem i zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.
6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów
Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań dotyczących wszystkich zasobów (takich jak obliczenia, magazyn, sieć, porty i protokoły itp.) w subskrypcjach i odnajdywanie ich. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w Twoich subskrypcjach.
Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem usługi Azure Resource Graph Explorer, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.
Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph
Omówienie kontroli dostępu opartej na rolach platformy Azure
Odpowiedzialność: Klient
6.2: Obsługa metadanych elementów zawartości
Wskazówka: Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.
Odpowiedzialność: Klient
6.3: Usuwanie nieautoryzowanych zasobów platformy Azure
Wskazówki: Używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów usługi Azure Data Lake Analytics. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.
Ponadto należy użyć Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:
Niedozwolone typy zasobów
Dozwolone typy zasobów
Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.
Odpowiedzialność: Klient
6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure
Wskazówka: Użyj Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:
Niedozwolone typy zasobów
Dozwolone typy zasobów
Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji i odnajdywania ich.
Odpowiedzialność: Klient
6.9: Używanie tylko zatwierdzonych usług platformy Azure
Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:
- Niedozwolone typy zasobów
- Dozwolone typy zasobów
Dodatkowe informacje są dostępne w linkach, do których się odwołujesz
Odpowiedzialność: Klient
6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager
Wskazówki: Konfigurowanie dostępu warunkowego platformy Azure w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".
Odpowiedzialność: Klient
Bezpieczna konfiguracja
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.
7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure
Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DataLakeAnalytics", aby utworzyć niestandardowe zasady inspekcji lub wymuszania konfiguracji usługi Azure Data Lake Analytics. Możesz również korzystać z wbudowanych definicji zasad związanych z usługą Azure Data Lake Analytics, takich jak:
- Dzienniki diagnostyczne w Data Lake Analytics powinny być włączone
Dodatkowe informacje są dostępne w linkach, do których się odwołujesz
Odpowiedzialność: Klient
7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure
Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.
Odpowiedzialność: Klient
7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure
Wskazówki: Użyj Azure Repos do bezpiecznego przechowywania kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager, skrypty Desired State Configuration itp. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD) w przypadku integracji z usługą Azure DevOps lub Azure AD, jeśli są zintegrowane z programem TFS.
Odpowiedzialność: Klient
7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure
Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.DataLakeAnalytics", aby utworzyć niestandardowe zasady do generowania alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist] efekty, aby automatycznie wymuszać konfiguracje zasobów usługi Azure Data Lake Analytics.
Odpowiedzialność: Klient
7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń
Wskazówka: Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.
Odpowiedzialność: Klient
Ochrona przed złośliwym oprogramowaniem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.
8.2: Wstępne skanowanie plików do przekazania do zasobów platformy Azure nieobsadowanych
Wskazówka: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym obsługującym usługi platformy Azure (na przykład Azure Data Lake Analytics), ale nie jest uruchamiana w zawartości klienta.
Wstępne skanowanie zawartości przekazywanej do zasobów platformy Azure, takich jak App Service, Data Lake Analytics, Blob Storage itp. Firma Microsoft nie może uzyskać dostępu do danych w tych wystąpieniach.
Odpowiedzialność: Klient
Odzyskiwanie danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.
9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych
Wskazówki: Data Lake Analytics dzienniki zadań i dane wyjściowe są przechowywane w podstawowej usłudze Data Lake Storage Gen1. Za pomocą różnych metod można kopiować dane, w tym narzędzie ADLCopy, Azure PowerShell lub Azure Data Factory. Można również używać Azure Automation do regularnego tworzenia kopii zapasowych danych.
Zarządzanie zasobami Azure Data Lake Storage Gen1 przy użyciu Eksplorator usługi Storage
Kopiowanie danych z obiektów blob usługi Azure Storage do usługi Azure Data Lake Storage Gen1
Odpowiedzialność: Klient
9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta
Wskazówki: Data Lake Analytics dzienniki zadań i dane wyjściowe są przechowywane w podstawowej usłudze Data Lake Storage Gen1. Za pomocą różnych metod można kopiować dane, w tym narzędzie ADLCopy, Azure PowerShell lub Azure Data Factory.
Zarządzanie zasobami Azure Data Lake Storage Gen1 przy użyciu Eksplorator usługi Storage
Kopiowanie danych z obiektów blob usługi Azure Storage do usługi Azure Data Lake Storage Gen1
Odpowiedzialność: Klient
9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta
Wskazówki: Okresowo przeprowadzaj przywracanie danych kopii zapasowej w celu przetestowania integralności danych.
Odpowiedzialność: Klient
9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta
Wskazówki: Data Lake Analytics kopii zapasowych przechowywanych w Data Lake Storage Gen1 lub usłudze Azure Storage domyślnie obsługują szyfrowanie i nie można ich wyłączyć. Kopie zapasowe należy traktować jako poufne dane i stosować odpowiednie mechanizmy kontroli dostępu i ochrony danych w ramach tego punktu odniesienia.
Odpowiedzialność: Klient
Reagowanie na zdarzenia
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.
10.1: Tworzenie przewodnika reagowania na zdarzenia
Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.
Wskazówki dotyczące tworzenia własnego procesu reagowania na zdarzenia zabezpieczeń
Przewodnik obsługi zdarzeń związanych z bezpieczeństwem komputerowym firmy NIST
Odpowiedzialność: Klient
10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń
Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.
Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.
Odpowiedzialność: Klient
10.3: Testowanie procedur reagowania na zabezpieczenia
Wskazówki: Przeprowadź ćwiczenia, aby przetestować możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i luki, a następnie zrewiduj plan reagowania zgodnie z potrzebami.
Odpowiedzialność: Klient
10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń
Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.
Odpowiedzialność: Klient
10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia
Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.
Odpowiedzialność: Klient
10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń
Wskazówka: Funkcja automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury umożliwia automatyczne wyzwalanie odpowiedzi za pośrednictwem usługi "Logic Apps" dotyczących alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.
Odpowiedzialność: Klient
Testy penetracyjne i ćwiczenia typu „red team”
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.
11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń
Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.
Odpowiedzialność: Współużytkowane