Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Storage

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do usługi Azure Storage. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Storage.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki , które nie mają zastosowania do usługi Azure Storage, lub za które odpowiada firma Microsoft, zostały wykluczone. Aby zobaczyć, jak usługa Azure Storage całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Storage.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: konfigurowanie zapory konta magazynu przez ograniczenie dostępu do klientów z określonych zakresów publicznych adresów IP, wybieranie sieci wirtualnych lub określonych zasobów platformy Azure. Możesz również skonfigurować prywatne punkty końcowe, aby ruch do usługi magazynu z przedsiębiorstwa podróżował wyłącznie za pośrednictwem sieci prywatnych.

Uwaga: klasyczne konta magazynu nie obsługują zapór i sieci wirtualnych.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Storage:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Konta magazynu powinny ograniczać dostęp do sieci Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, odmowa, wyłączone 1.1.1
Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej Te zasady sprawdzają, czy żadne konto magazynu nie jest skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. Inspekcja, Wyłączone 1.0.0

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówki: usługa Azure Storage udostępnia model zabezpieczeń warstwowych. Dostęp do konta magazynu można ograniczyć do żądań pochodzących z określonych adresów IP, zakresów adresów IP lub z listy podsieci w usłudze Azure Virtual Network. Możesz użyć usługi Microsoft Defender for Cloud i postępować zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów sieciowych na platformie Azure. Ponadto włącz dzienniki przepływu sieciowej grupy zabezpieczeń dla sieci wirtualnych lub podsieci skonfigurowanej dla kont magazynu za pośrednictwem zapory konta magazynu i wysyłaj dzienniki do konta magazynu na potrzeby inspekcji ruchu.

Pamiętaj, że jeśli masz prywatne punkty końcowe dołączone do konta magazynu, nie można skonfigurować reguł sieciowej grupy zabezpieczeń dla podsieci.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: Nie dotyczy; zalecenie jest przeznaczone dla aplikacji internetowych działających w Azure App Service lub zasobach obliczeniowych.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: włączanie usługi Microsoft Defender for Storage dla konta usługi Azure Storage. Usługa Microsoft Defender for Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Zintegrowane alerty usługi Microsoft Defender for Cloud są oparte na działaniach, dla których komunikacja sieciowa została skojarzona z adresem IP, który został pomyślnie rozwiązany, niezależnie od tego, czy adres IP jest znanym ryzykownym adresem IP (na przykład znanym cryptominerem) lub adresem IP, który nie został wcześniej rozpoznany jako ryzykowny. Alerty zabezpieczeń są wyzwalane, gdy wystąpią anomalie w aktywności.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: Network Watcher przechwytywanie pakietów umożliwia tworzenie sesji przechwytywania w celu śledzenia ruchu między kontem usługi Storage a maszyną wirtualną. Filtry są udostępniane dla sesji przechwytywania, aby zapewnić przechwytywanie tylko żądanego ruchu. Przechwytywanie pakietów ułatwia diagnozowanie anomalii sieci, zarówno reaktywnie, jak i proaktywnie. Inne zastosowania obejmują zbieranie statystyk sieciowych, uzyskiwanie informacji na temat włamań sieciowych, debugowanie komunikacji między klientem a serwerem i wiele innych. Możliwość zdalnego wyzwalania przechwytywania pakietów ułatwia ręczne uruchamianie przechwytywania pakietów na żądanej maszynie wirtualnej, co pozwala zaoszczędzić cenny czas.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: Usługa Microsoft Defender for Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane, gdy wystąpią anomalie w aktywności. Te alerty zabezpieczeń są zintegrowane z usługą Microsoft Defender for Cloud i są również wysyłane za pośrednictwem poczty e-mail do administratorów subskrypcji, ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Nie dotyczy; zalecenie jest przeznaczone dla aplikacji internetowych działających w Azure App Service lub zasobach obliczeniowych.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: w przypadku zasobów w sieciach wirtualnych, które wymagają dostępu do konta magazynu, użyj tagów usługi Virtual Network dla skonfigurowanego Virtual Network do definiowania kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład Storage) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić na ruch dla odpowiedniej usługi lub go odrzucić. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Jeśli dostęp sieciowy musi być określony do określonych kont magazynu, należy użyć zasad punktu końcowego usługi Virtual Network.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych skojarzonych z kontem usługi Azure Storage przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.Storage" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci zasobów konta magazynu.

Możesz również używać wbudowanych definicji zasad związanych z kontem magazynu, takich jak: Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówka: Użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu. Tagowanie umożliwia kojarzenie wbudowanych i niestandardowych par nazwa-wartość z danym zasobem sieciowym, co ułatwia organizowanie zasobów sieciowych i powiązanie zasobów platformy Azure z projektem sieci.

Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Sieciowe grupy zabezpieczeń obsługują tagi, ale poszczególne reguły zabezpieczeń nie są obsługiwane. Reguły zabezpieczeń mają pole Opis , którego można użyć do przechowywania niektórych informacji, które zwykle umieszcza się w tagu.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj Azure Policy, aby rejestrować zmiany konfiguracji zasobów sieciowych. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktów końcowych, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego/archiwalnego, opcjonalnie z funkcjami zabezpieczeń, takimi jak niezmienny magazyn i wymuszone przechowywanie.

Odpowiedzialność: Klient

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: usługa Azure analityka magazynu udostępnia dzienniki dla obiektów blob, kolejek i tabel. Możesz użyć Azure Portal, aby skonfigurować, które dzienniki są rejestrowane dla konta.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówka: Podczas przechowywania dzienników zdarzeń zabezpieczeń w obszarze roboczym konta usługi Azure Storage lub usługi Log Analytics można ustawić zasady przechowywania zgodnie z wymaganiami organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Aby przejrzeć dzienniki usługi Azure Storage, dostępne są typowe opcje, takie jak zapytania w ofercie usługi Log Analytics, a także unikatowa opcja bezpośredniego wyświetlania plików dziennika. W usłudze Azure Storage dzienniki są przechowywane w obiektach blob, do których należy uzyskiwać dostęp bezpośrednio http://accountname.blob.core.windows.net/$logs (folder rejestrowania jest domyślnie ukryty, więc musisz przejść bezpośrednio. Nie będzie on wyświetlany w poleceniach listy)

Ponadto włącz usługę Microsoft Defender dla magazynu dla konta magazynu. Usługa Microsoft Defender for Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane, gdy wystąpią anomalie w aktywności. Te alerty zabezpieczeń są zintegrowane z usługą Microsoft Defender for Cloud i są również wysyłane pocztą e-mail do administratorów subskrypcji ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń.

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówki: W usłudze Microsoft Defender dla Chmury włącz konto usługi Microsoft Defender dla magazynu. Włącz ustawienia diagnostyczne dla konta magazynu i wyślij dzienniki do obszaru roboczego usługi Log Analytics. Dołącz obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia ona rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do rozwiązywania problemów z zabezpieczeniami.

Odpowiedzialność: Klient

2.8: Scentralizowanie rejestrowania chroniącego przed złośliwym oprogramowaniem

Wskazówka: Korzystanie z usługi Microsoft Defender for Cloud i włączanie usługi Microsoft Defender for Storage do wykrywania złośliwego oprogramowania przekazywanych do usługi Azure Storage przy użyciu analizy reputacji skrótu i podejrzanego dostępu z aktywnego węzła wyjścia Tor (anonimizującego serwera proxy).

Odpowiedzialność: Klient

2.9: Włączanie rejestrowania zapytań DNS

Wskazówki: Rozwiązanie usługi Azure DNS Analytics (wersja zapoznawcza) w usłudze Azure Monitor zbiera szczegółowe informacje o infrastrukturze DNS w zakresie zabezpieczeń, wydajności i operacji. Obecnie nie obsługuje to kont usługi Azure Storage, jednak można użyć rozwiązania do rejestrowania dns innej firmy.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD programu PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: konta usługi Azure Storage ani usługa Azure Active Directory (Azure AD) mają pojęcie domyślnych lub pustych haseł. Usługa Azure Storage implementuje model kontroli dostępu, który obsługuje kontrolę dostępu opartą na rolach (RBAC) platformy Azure, a także klucz współużytkowany i sygnatury dostępu współdzielonego (SAS). Cechą uwierzytelniania klucza współużytkowanego i sygnatury dostępu współdzielonego jest to, że żadna tożsamość nie jest skojarzona z obiektem wywołującym i dlatego nie można wykonać autoryzacji opartej na uprawnieniach podmiotu zabezpieczeń.

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych, które mają dostęp do konta usługi Storage. Użyj usługi Microsoft Defender for Cloud Identity i zarządzania dostępem, aby monitorować liczbę kont administracyjnych.

Możesz również włączyć dostęp Just In Time/Just-Enough-Access przy użyciu usługi Azure Active Directory (Azure AD) Privileged Identity Management ról uprzywilejowanych dla usług firmy Microsoft i usługi Azure Resource Manager.

Odpowiedzialność: Klient

3.4: Korzystanie z logowania jednokrotnego (SSO) usługi Azure Active Directory

Wskazówka: Wszędzie tam, gdzie to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory (Azure AD) zamiast konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włącz uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud, aby chronić zasoby konta magazynu.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Użyj stacji roboczych z dostępem uprzywilejowanym (stacje robocze z dostępem uprzywilejowanym) z uwierzytelnianiem wieloskładnikowymi skonfigurowanym do logowania się i konfigurowania zasobów konta magazynu.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: wysyłanie alertów wykrywania ryzyka w usłudze Microsoft Defender for Cloud do usługi Azure Monitor i konfigurowanie niestandardowych alertów/powiadomień przy użyciu grup akcji. Włącz konto usługi Microsoft Defender for Storage, aby wygenerować alerty dotyczące podejrzanych działań. Ponadto użyj funkcji Wykrywania ryzyka w usłudze Azure Active Directory (Azure AD), aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj dostępu warunkowego nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Platforma Azure zapewnia kontrolę dostępu opartą na rolach (RBAC) platformy Azure w celu precyzyjnej kontroli dostępu klienta do zasobów na koncie magazynu. Użyj Azure AD poświadczeń, jeśli jest to możliwe jako najlepsze rozwiązanie w zakresie zabezpieczeń, zamiast używać klucza konta, co może być łatwiejsze w zabezpieczeniach. Gdy projekt aplikacji wymaga sygnatur dostępu współdzielonego w celu uzyskania dostępu do usługi Blob Storage, użyj poświadczeń Azure AD, aby utworzyć sygnatury dostępu współdzielonego delegowania użytkowników (SAS), jeśli jest to możliwe w celu uzyskania lepszych zabezpieczeń.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Przejrzyj dzienniki usługi Azure Active Directory (Azure AD), aby ułatwić odnajdywanie nieaktualnych kont, które mogą obejmować te z rolami administracyjnymi konta magazynu. Ponadto za pomocą przeglądów dostępu do tożsamości platformy Azure można efektywnie zarządzać członkostwem w grupach, uzyskiwać dostęp do aplikacji dla przedsiębiorstw, które mogą służyć do uzyskiwania dostępu do zasobów konta magazynu i przypisań ról. Dostęp użytkowników powinien być regularnie przeglądany, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Możesz również użyć sygnatury dostępu współdzielonego (SAS), aby zapewnić bezpieczny delegowany dostęp do zasobów na koncie magazynu bez naruszania bezpieczeństwa danych. Możesz kontrolować zasoby, do których może uzyskiwać dostęp klient, jakie uprawnienia mają w tych zasobach i jak długo sygnatura dostępu współdzielonego jest prawidłowa, między innymi parametrami.

Zapoznaj się również z anonimowym dostępem do odczytu do kontenerów i obiektów blob. Domyślnie kontener i wszystkie jego obiekty blob mogą być dostępne tylko dla użytkownika, który otrzymał odpowiednie uprawnienia. Za pomocą usługi Azure Monitor można otrzymywać alerty dotyczące dostępu anonimowego dla kont usługi Storage przy użyciu warunku uwierzytelniania anonimowego.

Jednym z skutecznych sposobów zmniejszenia ryzyka niespecyjnego dostępu do konta użytkownika jest ograniczenie czasu trwania dostępu udzielanego użytkownikom. Ograniczone czasowo identyfikatory URI sygnatury dostępu współdzielonego to jeden skuteczny sposób automatycznego wygaśnięcia dostępu użytkownika do konta usługi Storage. Ponadto rotacja kluczy konta magazynu jest częstą metodą zapewnienia, że nieoczekiwany dostęp za pośrednictwem kluczy konta magazynu jest ograniczony.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: użyj analityka magazynu, aby uzyskać szczegółowe informacje o pomyślnych i zakończonych niepowodzeniem żądaniach do usługi magazynu. Wszystkie dzienniki są przechowywane w blokowych obiektach blob w kontenerze o nazwie $logs, które są tworzone automatycznie po włączeniu analityka magazynu dla konta magazynu.

Utwórz ustawienia diagnostyczne dla kont użytkowników usługi Azure Active Directory (Azure AD), wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Żądane alerty można skonfigurować w obszarze roboczym usługi Log Analytics.

Aby monitorować błędy uwierzytelniania względem kont usługi Azure Storage, możesz utworzyć alerty informujące o osiągnięciu określonych progów metryk zasobów magazynu. Ponadto użyj usługi Azure Monitor, aby otrzymywać alerty o dostępie anonimowym dla kont usługi Storage przy użyciu warunku uwierzytelniania anonimowego.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: korzystanie z funkcji ryzyka i ochrony tożsamości usługi Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z zasobami konta magazynu. Automatyczne odpowiedzi należy włączyć za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.

Odpowiedzialność: Klient

3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej

Wskazówki: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, skrytka klienta (wersja zapoznawcza dla konta magazynu) udostępnia klientom interfejs umożliwiający przeglądanie i zatwierdzanie lub odrzucanie żądań dostępu do danych klienta. Firma Microsoft nie będzie wymagać ani nie zażąda dostępu do wpisów tajnych organizacji przechowywanych na koncie magazynu.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: użyj tagów, aby pomóc w śledzeniu zasobów konta magazynu, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: implementowanie izolacji przy użyciu oddzielnych subskrypcji, grup zarządzania i kont magazynu dla poszczególnych domen zabezpieczeń, takich jak środowisko i poufność danych. Możesz ograniczyć konto magazynu do kontrolowania poziomu dostępu do kont magazynu, których wymagają aplikacje i środowiska przedsiębiorstwa, na podstawie typu i podzestawu używanych sieci. Po skonfigurowaniu reguł sieci tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci mogą uzyskiwać dostęp do konta magazynu. Dostęp do usługi Azure Storage można kontrolować za pośrednictwem kontroli dostępu opartej na rolach platformy Azure (RBAC platformy Azure).

Możesz również skonfigurować prywatne punkty końcowe, aby zwiększyć bezpieczeństwo w miarę ruchu między siecią wirtualną a usługą przechodzącą przez sieć szkieletową firmy Microsoft, eliminując narażenie z publicznego Internetu.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: w przypadku zasobów konta magazynu przechowując lub przetwarzając poufne informacje oznacz zasoby jako poufne przy użyciu tagów. Aby zmniejszyć ryzyko utraty danych za pośrednictwem eksfiltracji, ogranicz ruch sieciowy wychodzący dla kont usługi Azure Storage przy użyciu Azure Firewall.

Ponadto użyj zasad punktu końcowego usługi sieci wirtualnej, aby filtrować ruch sieciowy wychodzący do kont usługi Azure Storage za pośrednictwem punktu końcowego usługi i zezwalać na eksfiltrację danych tylko do określonych kont usługi Azure Storage.

Odpowiedzialność: Klient

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: możesz wymusić użycie protokołu HTTPS, włączając bezpieczny transfer wymagany dla konta magazynu. Gdy ta opcja jest włączona, połączenia korzystające z protokołu HTTP będą odrzucane. Ponadto użyj usługi Microsoft Defender for Cloud i Azure Policy, aby wymusić bezpieczny transfer dla konta magazynu.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Storage:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy włączyć bezpieczny transfer na konta magazynu Inspekcja wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuch i przejęcie sesji Inspekcja, odmowa, wyłączone 2.0.0

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: Funkcje identyfikacji danych nie są jeszcze dostępne dla konta usługi Azure Storage i powiązanych zasobów. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności.

Odpowiedzialność: Klient

4.6. Użyj kontroli dostępu opartej na rolach, aby kontrolować dostęp do zasobów

Wskazówki: usługa Azure Active Directory (Azure AD) autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Usługa Azure Storage definiuje zestaw wbudowanych ról RBAC platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych obiektów blob lub kolejek.

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: szyfrowanie usługi Azure Storage jest włączone dla wszystkich kont magazynu i nie można go wyłączyć. Usługa Azure Storage automatycznie szyfruje dane, gdy są utrwalane w chmurze. Dane odczytywane z usługi Azure Storage są odszyfrowywane przed zwróceniem. Szyfrowanie usługi Azure Storage umożliwia zabezpieczanie danych magazynowanych bez konieczności modyfikowania kodu lub dodawania kodu do wszystkich aplikacji.

Odpowiedzialność: Klient

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w zasobach konta usługi Storage. Możesz również włączyć rejestrowanie usługi Azure Storage, aby śledzić, jak każde żądanie wykonane względem usługi Azure Storage zostało autoryzowane. Dzienniki wskazują, czy żądanie zostało wykonane anonimowo przy użyciu tokenu OAuth 2.0 przy użyciu klucza współdzielonego, czy przy użyciu sygnatury dostępu współdzielonego (SAS). Ponadto użyj usługi Azure Monitor, aby otrzymywać alerty o dostępie anonimowym dla kont usługi Storage przy użyciu warunku uwierzytelniania anonimowego.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud, aby stale przeprowadzać inspekcję i monitorować konfigurację kont magazynu.

Odpowiedzialność: Klient

5.4. Porównanie skanów luk w zabezpieczeniach z powrotem

Wskazówki: Nie dotyczy; Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują konta magazynu.

Odpowiedzialność: Klient

5.5. Użyj procesu oceny ryzyka, aby określić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: użyj domyślnych ocen ryzyka (wskaźnik bezpieczeństwa) udostępnianych przez usługę Microsoft Defender for Cloud.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o wszystkie zasoby (w tym konta usługi Storage) w ramach subskrypcji i odnajdywania ich. Upewnij się, że masz odpowiednie (odczyt) uprawnienia w dzierżawie i możesz wyliczyć wszystkie subskrypcje platformy Azure oraz zasoby w ramach subskrypcji.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów konta magazynu, które dają metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia kont magazynu i powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto użyj usługi Microsoft Defender for Storage, aby wykryć nieautoryzowane zasoby platformy Azure.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: musisz utworzyć spis zatwierdzonych zasobów platformy Azure zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań dotyczących zasobów i odnajdywania ich w ramach subskrypcji. Może to pomóc w środowiskach opartych na zabezpieczeniach, takich jak te z kontami usługi Storage.

Odpowiedzialność: Klient

6.7: Usuwanie niezatwierdzonych zasobów platformy Azure i aplikacji oprogramowania

Wskazówki: Klient może zapobiec tworzeniu lub użyciu zasobów przy użyciu Azure Policy zgodnie z wymaganiami zasad firmy klienta.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ClassicStorage:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Konta magazynu powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowej usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Resource Manager platformy Azure i zarządzanie, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania Inspekcja, odmowa, wyłączone 1.0.0

Azure Policy wbudowane definicje — Microsoft.Storage:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Konta magazynu powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowej usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Resource Manager platformy Azure i zarządzanie, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania Inspekcja, odmowa, wyłączone 1.0.0

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management". Może to zapobiec tworzeniu i zmianom zasobów w środowisku o wysokim poziomie zabezpieczeń, takim jak te z kontami magazynu.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw Microsoft.Storage, aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji wystąpień konta magazynu. Możesz również użyć wbudowanych definicji Azure Policy dla konta usługi Azure Storage, takich jak:

  • Inspekcja nieograniczonego dostępu sieciowego do kont magazynu
  • Wdrażanie usługi Microsoft Defender for Storage
  • Konta magazynu powinny być migrowane do nowych zasobów usługi Azure Resource Manager
  • Należy włączyć bezpieczny transfer na konta magazynu

Skorzystaj z zaleceń usługi Microsoft Defender dla chmury jako bezpiecznego punktu odniesienia konfiguracji dla kont magazynu.

Odpowiedzialność: Klient

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia dla zasobów konta magazynu.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Repos do bezpiecznego przechowywania kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager, skrypty Desired State Configuration itp. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD), jeśli są zintegrowane z usługą Azure DevOps lub Azure AD, jeśli są zintegrowane z programem TFS.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: skorzystaj z Azure Policy, aby otrzymywać alerty, przeprowadzać inspekcję i wymuszać konfiguracje systemu dla konta usługi Storage. Ponadto utwórz proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Skorzystaj z usługi Microsoft Defender dla chmury, aby przeprowadzić skanowanie punktów odniesienia dla zasobów konta usługi Azure Storage.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: usługa Azure Storage automatycznie szyfruje dane, gdy są utrwalane w chmurze. Możesz użyć kluczy zarządzanych przez firmę Microsoft do szyfrowania konta magazynu lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli używasz kluczy dostarczonych przez klienta, możesz bezpiecznie przechowywać klucze przy użyciu usługi Azure Key Vault.

Ponadto często obracaj klucze konta magazynu, aby ograniczyć wpływ utraty lub ujawnienia kluczy konta magazynu.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: Autoryzowanie dostępu do obiektów blob i kolejek w ramach kont usługi Azure Storage przy użyciu usługi Azure Active Directory (Azure AD) i tożsamości zarządzanych. Usługa Azure Blob i Queue Storage obsługują uwierzytelnianie Azure AD za pomocą tożsamości zarządzanych dla zasobów platformy Azure.

Tożsamości zarządzane dla zasobów platformy Azure mogą autoryzować dostęp do danych obiektów blob i kolejek przy użyciu poświadczeń Azure AD z aplikacji działających w usłudze Azure Virtual Machines r, aplikacji funkcji, zestawów skalowania maszyn wirtualnych i innych usług. Korzystając z tożsamości zarządzanych dla zasobów platformy Azure wraz z uwierzytelnianiem Azure AD, można uniknąć przechowywania poświadczeń przy użyciu aplikacji uruchamianych w chmurze.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików, które mają zostać przekazane do zasobów platformy Azure, które nie są obliczane

Wskazówki: Używanie usługi Microsoft Defender for Storage do wykrywania przekazywania złośliwego oprogramowania do usługi Azure Storage przy użyciu analizy reputacji skrótów i podejrzanego dostępu z aktywnego węzła wyjścia Tor (anonimizującego serwera proxy).

Możesz również wstępnie skanować dowolną zawartość pod kątem złośliwego oprogramowania przed przekazaniem do zasobów platformy Azure, takich jak App Service, Data Lake Storage, Blob Storage i inne, aby spełnić wymagania organizacji.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: dane na koncie usługi Microsoft Azure Storage są zawsze automatycznie replikowane w celu zapewnienia trwałości i wysokiej dostępności. Usługa Azure Storage kopiuje dane tak, aby była chroniona przed zaplanowanymi i nieplanowanymi zdarzeniami, w tym przejściowymi awariami sprzętu, awariami sieci lub zasilaniem oraz ogromnymi klęskami żywiołowymi. Dane można replikować w tym samym centrum danych, w centrach danych strefowych w tym samym regionie lub w różnych regionach geograficznych.

Możesz również włączyć automatyzację platformy Azure, aby wykonywać regularne migawki obiektów blob.

Odpowiedzialność: Klient

9.2. Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Aby utworzyć kopię zapasową danych z usług obsługiwanych przez konto magazynu, dostępnych jest wiele metod, w tym przy użyciu narzędzia azcopy lub narzędzi innych firm. Niezmienny magazyn dla usługi Azure Blob Storage umożliwia użytkownikom przechowywanie obiektów danych o znaczeniu krytycznym dla działania firmy w stanie WORM (zapis raz, odczyt wielu). Ten stan sprawia, że dane nie są wymazywalne i niezmodyfikowalne dla interwału określonego przez użytkownika.

Klucze zarządzane przez klienta/podane można utworzyć w ramach usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo przeprowadzaj przywracanie danych certyfikatów Key Vault, kluczy, zarządzanych kont magazynu i wpisów tajnych przy użyciu następujących poleceń programu PowerShell:

Restore-AzKeyVaultCertificate Restore-AzKeyVaultKey Restore-AzKeyVaultManagedStorageAccount Restore-AzKeyVaultSecret

Uwaga: jeśli chcesz skopiować dane do i z usługi Azure Table Storage, zainstaluj narzędzie AzCopy w wersji 7.3.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: aby włączyć klucze zarządzane przez klienta na koncie magazynu, musisz użyć Key Vault platformy Azure do przechowywania kluczy. Należy włączyć zarówno właściwości Usuwanie nietrwałe, jak i Nie przeczyszczać w magazynie kluczy. funkcja usuwania nietrwałego Key Vault umożliwia odzyskiwanie usuniętych magazynów i obiektów magazynu, takich jak klucze, wpisy tajne i certyfikaty. W przypadku tworzenia kopii zapasowych danych konta usługi Storage w obiektach blob usługi Azure Storage włącz usuwanie nietrwałe, aby zapisywać i odzyskiwać dane po usunięciu migawek obiektów blob lub obiektów blob. Kopie zapasowe należy traktować jako dane poufne i stosować odpowiednie mechanizmy kontroli dostępu i ochrony danych w ramach tego punktu odniesienia. Ponadto w celu zapewnienia lepszej ochrony można przechowywać obiekty danych o znaczeniu krytycznym dla działania firmy w stanie WORM (zapis raz, odczyt wielu).

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być najpierw badane. Ważność jest oparta na tym, jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, inne niż prod) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych okresach, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktowe zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji ciągłego eksportowania, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w ciągły, ciągły sposób. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówki: użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w zakresie alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami zaangażowania firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii firmy Microsoft i wykonywania testów penetracyjnych red teaming i na żywo na żywo w odniesieniu do infrastruktury, usług i aplikacji w chmurze zarządzanej przez firmę Microsoft.

Odpowiedzialność: Współużytkowane

Następne kroki