Punkt odniesienia zabezpieczeń platformy Azure dla usługi Microsoft Sentinel

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Microsoft Sentinel. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Microsoft Sentinel.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Microsoft Sentinel, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Microsoft Sentinel całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Microsoft Sentinel.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Nie dotyczy. Usługa Microsoft Sentinel nie została zaprojektowana do wdrożenia w usłudze Azure Virtual Network. Cała podstawowa infrastruktura usługi jest w pełni zarządzana przez firmę Microsoft.

Usługa Microsoft Sentinel nie obsługuje wdrażania bezpośrednio w sieci wirtualnej. Nie można więc używać niektórych funkcji sieciowych z zasobami oferty, takimi jak:

  • Grupy zabezpieczeń sieci
  • Tabele tras
  • Inne urządzenia zależne od sieci, takie jak Azure Firewall

Odpowiedzialność: Microsoft

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Microsoft Sentinel używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft. Zasoby obejmują:

    • Witryna Azure Portal

    • Azure Storage

    • Maszyny wirtualne z systemem Linux i Windows na platformie Azure

    • Azure Key Vault

    • Platforma jako usługa (PaaS)

    • Aplikacje typu oprogramowanie jako usługa (SaaS)

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD powinno mieć wysoki priorytet w praktyce zabezpieczeń w chmurze organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez kont Microsoft logowanie się do swoich aplikacji i zasobów.

Odpowiedzialność: Współużytkowane

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Microsoft Sentinel używa Azure AD do zapewniania zarządzania tożsamościami i dostępem dla zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Tożsamości obejmują tożsamości przedsiębiorstwa, takie jak pracownicy, i tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Azure AD zarządzania tożsamościami i dostępem zapewniają logowanie jednokrotne (SSO) w celu zarządzania i zabezpieczania dostępu do danych i zasobów w chmurze w organizacji.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówka: usługa Microsoft Sentinel używa kont Azure AD do zarządzania zasobami i przeglądania kont użytkowników. Azure AD regularnie uzyskuje dostęp do przypisań, aby upewnić się, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD i przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management (PIM), aby utworzyć przepływy pracy przeglądu dostępu w celu ułatwienia procesu przeglądu.

Ponadto można skonfigurować Azure AD PIM w taki sposób, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów oraz identyfikować konta administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem Azure AD. Musisz oddzielnie zarządzać tymi użytkownikami.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej. Używaj stacji roboczych użytkowników o wysokim poziomie zabezpieczeń i usługi Azure Bastion do wykonywania zadań administracyjnych.

Użyj Azure AD, zaawansowanej ochrony przed zagrożeniami w usłudze Microsoft Defender (ATP) lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Bezpieczne stacje robocze można zarządzać centralnie, aby wymusić konfigurację zabezpieczeń, która obejmuje:

  • Silne uwierzytelnianie

  • Plany bazowe oprogramowania i sprzętu

  • Ograniczony dostęp logiczny i sieciowy

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Usługa Microsoft Sentinel jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Niektóre zasoby mają wstępnie zdefiniowane, wbudowane role. Możesz utworzyć spis lub wykonać zapytania dotyczące tych ról za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Ogranicz uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do wymaganej roli. Ta praktyka uzupełnia podejście typu just in time (JIT) Azure AD PIM. Okresowo przeglądaj role i przypisania.

Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić kontrolę dostępu, użyj szyfrowania w celu ochrony danych przesyłanych przed atakami poza pasmem, takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Usługa Azure Sentinel obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) w wersji 1.2 lub nowszej.

To wymaganie jest opcjonalne w przypadku ruchu w sieciach prywatnych, ale ma kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że klienci łączący się z zasobami platformy Azure mogą używać protokołu TLS w wersji 1.2 lub nowszej.

W przypadku zdalnego zarządzania użyj protokołu Secure Shell (SSH) dla systemu Linux lub protokołu RDP (Remote Desktop Protocol) i TLS dla systemu Windows. Nie używaj niezaszyfrowanego protokołu. Wyłącz słabe szyfry i przestarzałe protokoły SSL, TLS i SSH.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, usługa Azure Sentinel szyfruje dane magazynowane w celu ochrony przed atakami poza pasmem dostępu do bazowego magazynu. Szyfrowanie pomaga zapewnić, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych można zaimplementować więcej szyfrowania magazynowanych w zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania, a także udostępnia opcje zarządzania własnymi kluczami. Klucze zarządzane przez klienta spełniają wymagania prawne dotyczące niektórych usług platformy Azure.

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: upewnij się, że przyznaj zespołom zabezpieczeń uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogli monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

Monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu w zależności od tego, jak strukturę ponosisz. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do głównej grupy zarządzania całej dzierżawy lub uprawnienia zakresu do określonych grup zarządzania lub subskrypcji.

Uwaga: Wgląd w obciążenia i usługi może wymagać większej liczby uprawnień.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure, takich jak Microsoft Sentinel. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń. Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji i przypisz mu dostęp do odczytu do wszystkich zasobów usługi Microsoft Sentinel. Proces można uprościć przy użyciu pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Zastosuj tagi do zasobów platformy Azure, grup zasobów i subskrypcji, aby logicznie zorganizować je w taksonomię. Każdy tag składa się z pary nazw i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o oprogramowaniu na maszynach wirtualnych. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do dat instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Użyj funkcji Adaptacyjne kontrolki aplikacji usługi Microsoft Defender dla chmury, aby określić typy plików, do których może mieć zastosowanie reguła lub której nie można zastosować.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Użyj usługi Azure Resource Graph, aby wykonywać zapytania dotyczące zasobów i odnajdywać je w ramach subskrypcji. Możesz również użyć usługi Azure Monitor, aby utworzyć reguły wyzwalające alerty po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: Usługa Microsoft Sentinel nie zapewnia natywnych możliwości monitorowania zagrożeń bezpieczeństwa związanych z zasobami.

Prześlij wszystkie dzienniki z usługi Microsoft Sentinel do systemu SIEM. Rozwiązanie SIEM umożliwia skonfigurowanie niestandardowych wykrywania zagrożeń.

Pamiętaj, aby monitorować różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty można tworzyć na podstawie danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Azure AD udostępnia następujące dzienniki użytkowników. Dzienniki można wyświetlić w Azure AD raportowania. Możesz zintegrować się z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM i monitorowaniem w celu uzyskania zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — zawiera informacje o użyciu aplikacji zarządzanej i działaniach logowania użytkowników.

  • Dzienniki inspekcji — zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych przez różne funkcje Azure AD. Dzienniki inspekcji obejmują zmiany wprowadzone w dowolnym zasobie w ramach Azure AD. Zmiany obejmują dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.

  • Ryzykowne logowania — wskaźnik prób logowania przez osobę, która może nie być uzasadnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani pod kątem ryzyka — wskaźnik konta użytkownika, który mógł zostać naruszony.

Usługa Microsoft Defender for Cloud może również wyzwalać alerty dotyczące podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania lub przestarzałych kont.

Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrona przed zagrożeniami w usłudze Microsoft Defender for Cloud może zbierać bardziej szczegółowe alerty zabezpieczeń:

  • Poszczególne zasoby obliczeniowe platformy Azure, takie jak maszyny wirtualne, kontenery i usługa App Service

  • Zasoby danych, takie jak Azure SQL Database i Azure Storage

  • Warstwy usług platformy Azure

Ta funkcja zapewnia wgląd w anomalie kont w poszczególnych zasobach.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności automatyzacji są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET dla zasobów usługi Microsoft Sentinel. Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników.

Usługa Microsoft Sentinel obecnie nie generuje dzienników zasobów platformy Azure.

Odpowiedzialność: Klient

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują firmę Microsoft.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: Przeprowadzanie testów penetracyjnych lub działań zespołu czerwonego w zasobach platformy Azure zgodnie z potrzebami i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu firmy Microsoft. Czy testy penetracyjne witryny na żywo są przeprowadzane względem zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze.

Odpowiedzialność: Klient

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo upewnij się, że można przywrócić kopie zapasowe kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki