Punkt odniesienia zabezpieczeń platformy Azure dla Virtual Machine Scale Sets

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Virtual Machine Scale Sets. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązanych wskazówek dotyczących Virtual Machine Scale Sets.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Mechanizmy kontroli nie mają zastosowania do Virtual Machine Scale Sets lub za które ponosi odpowiedzialność firma Microsoft, zostały wykluczone. Aby zobaczyć, jak Virtual Machine Scale Sets całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Virtual Machine Scale Sets.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Podczas tworzenia maszyny wirtualnej platformy Azure musisz utworzyć sieć wirtualną lub użyć istniejącej sieci wirtualnej i skonfigurować maszynę wirtualną z podsiecią. Upewnij się, że wszystkie wdrożone podsieci mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji.

Alternatywnie, jeśli masz konkretny przypadek użycia scentralizowanej zapory, Azure Firewall można również użyć do spełnienia tych wymagań.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu Usługa Microsoft Defender for Cloud analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Przekazywanie ip na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie ip jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (Just In Time) do sieci będzie monitorowany przez usługę Microsoft Defender for Cloud zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zdalnego zarządzania uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić poświadczenia w celu uzyskania dostępu administratora do maszyny. AuditIfNotExists, Disabled 3.0.0

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówki: Użyj usługi Microsoft Defender dla Chmury, aby zidentyfikować i postępować zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów maszyny wirtualnej platformy Azure na platformie Azure. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu dla maszyn wirtualnych pod kątem nietypowej aktywności.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówka: Jeśli używasz zestawu skalowania maszyn wirtualnych (VMSS) do hostowania aplikacji internetowych, użyj sieciowej grupy zabezpieczeń w podsieci zestawu skalowania maszyn wirtualnych, aby ograniczyć dozwolony ruch sieciowy, porty i protokoły. Postępuj zgodnie z podejściem do sieci o najniższych uprawnieniach podczas konfigurowania sieciowych grup zabezpieczeń, aby zezwalać tylko na wymagany ruch do aplikacji.

Można również wdrożyć usługę Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienie diagnostyczne zapory aplikacji internetowej i pozyskiwanie dzienników do konta magazynu, centrum zdarzeń lub obszaru roboczego usługi Log Analytics.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówka: Włącz standardową ochronę przed atakami DDoS (Distributed Denial of Service) w sieciach wirtualnych w celu ochrony przed atakami DDoS. Za pomocą zintegrowanej analizy zagrożeń w usłudze Microsoft Defender for Cloud można monitorować komunikację ze znanymi złośliwymi adresami IP. Skonfiguruj Azure Firewall na każdym z segmentów Virtual Network z włączoną funkcją Analizy zagrożeń i skonfigurowaną na wartość "Alert i odmowa" dla złośliwego ruchu sieciowego.

Aby ograniczyć narażenie systemu Windows Virtual Machines na zatwierdzone adresy IP przez ograniczony okres, można użyć dostępu just in time usługi Microsoft Defender for Cloud. Ponadto użyj funkcji adaptacyjnego wzmacniania zabezpieczeń sieci w usłudze Microsoft Defender dla chmury, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy zagrożeń.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu Usługa Microsoft Defender for Cloud analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków AuditIfNotExists, Disabled 3.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (Just In Time) do sieci będzie monitorowany przez usługę Microsoft Defender for Cloud zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: możesz rejestrować dzienniki przepływu sieciowej grupy zabezpieczeń na koncie magazynu w celu generowania rekordów przepływów dla usługi Azure Virtual Machines. Podczas badania nietypowych działań można włączyć przechwytywanie pakietów Network Watcher, aby ruch sieciowy mógł być przeglądany pod kątem nietypowych i nieoczekiwanych działań.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: Łącząc przechwytywanie pakietów udostępniane przez Network Watcher i narzędzie typu open source IDS, można przeprowadzić wykrywanie włamań sieci dla szerokiego zakresu zagrożeń. Ponadto można wdrożyć Azure Firewall w odpowiednich segmentach Virtual Network z włączoną analizą zagrożeń i skonfigurowaną do "Alert i odmowa" dla złośliwego ruchu sieciowego.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Jeśli używasz zestawu skalowania maszyn wirtualnych (VMSS) do hostowania aplikacji internetowych, możesz wdrożyć Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/SSL dla zaufanych certyfikatów. Dzięki Azure Application Gateway możesz kierować ruch internetowy aplikacji do określonych zasobów, przypisując odbiorniki do portów, tworząc reguły i dodając zasoby do puli zaplecza, na przykład vmSS itp.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowane dla maszyn wirtualnych platformy Azure. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla usługi Azure Virtual Machine Scale Sets przy użyciu Azure Policy. Usługa Azure Blueprints umożliwia również uproszczenie wdrożeń maszyn wirtualnych platformy Azure na dużą skalę przez tworzenie pakietów artefaktów kluczowych środowisk, takich jak szablony usługi Azure Resource Manager, przypisania ról i przypisania Azure Policy w jednej definicji strategii. Strategię można zastosować do subskrypcji i włączyć zarządzanie zasobami za pomocą obsługi wersji strategii.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: możesz używać tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu skonfigurowanym dla maszyn wirtualnych z systemem Windows. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować zmiany konfiguracji zasobów sieciowych związanych z zestawem skalowania maszyn wirtualnych platformy Azure. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych ustawieniach sieci lub zasobach.

Użyj Azure Policy, aby zweryfikować (lub skorygować) konfiguracje zasobów sieciowych związanych z zestawem skalowania maszyn wirtualnych.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 1.0.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 1.0.0
Wdróż rozszerzenie konfiguracji gości systemu Windows, aby włączyć przypisania konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure obsługiwanych przez konfigurację gościa. Rozszerzenie Konfiguracji gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i musi zostać wdrożone na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.0.1
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — sieć Maszyny z systemem Windows powinny mieć określone ustawienia zasady grupy w kategorii "Szablony administracyjne — sieć" dla logowania gościa, równoczesne połączenia, mostek sieciowy, ICS i rozpoznawanie nazw multiemisji. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server Maszyny z systemem Windows powinny mieć określone ustawienia zasady grupy w kategorii "Opcje zabezpieczeń — Microsoft Network Server" do wyłączania serwera SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy Maszyny z systemem Windows powinny mieć określone ustawienia zasady grupy w kategorii "Opcje zabezpieczeń — dostęp sieciowy" w celu włączenia dostępu użytkowników anonimowych, kont lokalnych i dostępu zdalnego do rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci Maszyny z systemem Windows powinny mieć określone ustawienia zasady grupy w kategorii "Opcje zabezpieczeń — zabezpieczenia sieci", w tym zachowanie systemu lokalnego, PKU2U, PROGRAMU LAN Manager, klienta LDAP i dostawcy SSP NTLM. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.1: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówka: Firma Microsoft utrzymuje źródła czasu dla zasobów platformy Azure, jednak masz możliwość zarządzania ustawieniami synchronizacji czasu dla Virtual Machines.

Odpowiedzialność: Współużytkowane

2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: Dzienniki aktywności mogą służyć do inspekcji operacji i akcji wykonywanych w zasobach zestawu skalowania maszyn wirtualnych. Dziennik aktywności zawiera wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu, w jaki użytkownik w organizacji zmodyfikował zasób.

Możesz włączać i dołączać dane dziennika generowane z dzienników aktywności platformy Azure lub zasobów maszyny wirtualnej do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy na potrzeby centralnego zarządzania dziennikami zabezpieczeń.

Użyj usługi Microsoft Defender dla Chmury, aby zapewnić monitorowanie dziennika zdarzeń zabezpieczeń dla usługi Azure Virtual Machines. Biorąc pod uwagę ilość danych generowanych przez dziennik zdarzeń zabezpieczeń, nie jest ona domyślnie przechowywana.

Jeśli Organizacja chce zachować dane dziennika zdarzeń zabezpieczeń z maszyny wirtualnej, może być przechowywana w obszarze roboczym usługi Log Analytics w żądanej warstwie zbierania danych skonfigurowanej w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Przeprowadź inspekcję maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca informację, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. auditIfNotExists 1.0.0
Agent usługi Log Analytics powinien być zainstalowany na Virtual Machine Scale Sets Te zasady przeprowadzają inspekcję wszystkich Virtual Machine Scale Sets systemu Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany. AuditIfNotExists, Disabled 1.0.0
Agent usługi Log Analytics powinien być zainstalowany na maszynach wirtualnych Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany. AuditIfNotExists, Disabled 1.0.0

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Dzienniki aktywności mogą służyć do inspekcji operacji i akcji wykonywanych w zasobach zestawu skalowania maszyn wirtualnych. Dziennik aktywności zawiera wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu, w jaki użytkownik w organizacji zmodyfikował zasób.

Włącz zbieranie danych diagnostycznych systemu operacyjnego gościa, wdrażając rozszerzenie diagnostyczne na maszynie wirtualnej (Virtual Machines). Za pomocą rozszerzenia diagnostycznego można zbierać dane diagnostyczne, takie jak dzienniki aplikacji lub liczniki wydajności z maszyny wirtualnej platformy Azure.

Aby uzyskać zaawansowany wgląd w aplikacje i usługi obsługiwane przez zestaw skalowania maszyn wirtualnych platformy Azure, możesz włączyć zarówno Azure Monitor dla maszyn wirtualnych, jak i usługę Application Insights. Usługa Application Insights umożliwia monitorowanie aplikacji i przechwytywanie danych telemetrycznych, takich jak żądania HTTP, wyjątki itp., dzięki czemu można skorelować problemy między maszynami wirtualnymi i aplikacją.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dzienniki zasobów w Virtual Machine Scale Sets powinny być włączone Zaleca się włączenie dzienników, aby dzienniki mogły zostać ponownie odtworzone, gdy badania są wymagane w przypadku zdarzenia lub naruszenia zabezpieczeń. AuditIfNotExists, Disabled 2.0.1

2.4: Zbieranie dzienników zabezpieczeń z systemów operacyjnych

Wskazówka: Użyj usługi Microsoft Defender dla Chmury, aby zapewnić monitorowanie dziennika zdarzeń zabezpieczeń dla usługi Azure Virtual Machines. Biorąc pod uwagę ilość danych generowanych przez dziennik zdarzeń zabezpieczeń, nie jest ona domyślnie przechowywana.

Jeśli Organizacja chce zachować dane dziennika zdarzeń zabezpieczeń z maszyny wirtualnej, może być przechowywana w obszarze roboczym usługi Log Analytics w żądanej warstwie zbierania danych skonfigurowanej w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Przeprowadź inspekcję maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca informację, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. auditIfNotExists 1.0.0
Agent usługi Log Analytics powinien być zainstalowany na Virtual Machine Scale Sets Te zasady przeprowadzają inspekcję wszystkich Virtual Machine Scale Sets systemu Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany. AuditIfNotExists, Disabled 1.0.0
Agent usługi Log Analytics powinien być zainstalowany na maszynach wirtualnych Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany. AuditIfNotExists, Disabled 1.0.0

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówka: Upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników maszyn wirtualnych mają ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówka: Analizowanie i monitorowanie dzienników pod kątem nietypowego zachowania i regularne przeglądanie wyników. Użyj usługi Azure Monitor do przeglądania dzienników i wykonywania zapytań dotyczących danych dziennika.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy w celu monitorowania i przeglądania dzienników.

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówka: Korzystanie z usługi Microsoft Defender for Cloud skonfigurowanej z obszarem roboczym usługi Log Analytics do monitorowania i zgłaszania alertów dotyczących nietypowych działań znalezionych w dziennikach zabezpieczeń i zdarzeniach dla usługi Azure Virtual Machines.

Alternatywnie możesz włączyć i wprowadzić dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy w celu skonfigurowania alertów dotyczących nietypowych działań.

Odpowiedzialność: Klient

2.8: Scentralizowanie rejestrowania chroniącego przed złośliwym oprogramowaniem

Wskazówka: Możesz użyć ochrony przed złośliwym oprogramowaniem firmy Microsoft dla usługi Azure Cloud Services i Virtual Machines oraz skonfigurować maszyny wirtualne z systemem Windows do rejestrowania zdarzeń na koncie usługi Azure Storage. Skonfiguruj obszar roboczy usługi Log Analytics w celu pozyskiwania zdarzeń z kont magazynu i tworzenia alertów, jeśli jest to odpowiednie. Postępuj zgodnie z zaleceniami w usłudze Microsoft Defender dla Chmury: "Aplikacje obliczeniowe & ". W przypadku maszyn wirtualnych z systemem Linux potrzebne jest narzędzie innej firmy do wykrywania luk w zabezpieczeniach przed złośliwym oprogramowaniem.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. AuditIfNotExists, Disabled 3.0.0
Microsoft Antimalware dla platformy Azure należy skonfigurować do automatycznego aktualizowania podpisów ochrony Te zasady sprawdzają, czy każda maszyna wirtualna z systemem Windows nie została skonfigurowana przy użyciu automatycznej aktualizacji sygnatur ochrony Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Monitorowanie brakującego programu Endpoint Protection w usłudze Microsoft Defender dla Chmury Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 3.0.0

2.9: Włączanie rejestrowania zapytań DNS

Wskazówki: Zaimplementuj rozwiązanie innej firmy z Azure Marketplace na potrzeby rozwiązania do rejestrowania DNS zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

2.10: Włączanie rejestrowania inspekcji wiersza polecenia

Wskazówka: Usługa Microsoft Defender for Cloud zapewnia monitorowanie dziennika zdarzeń zabezpieczeń dla usługi Azure Virtual Machines (VM). Usługa Microsoft Defender for Cloud aprowizuje program Microsoft Monitoring Agent na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych, które są tworzone w przypadku włączenia automatycznej aprowizacji lub można zainstalować agenta ręcznie. Agent włącza zdarzenie tworzenia procesu 4688 i pole CommandLine wewnątrz zdarzenia 4688. Nowe procesy utworzone na maszynie wirtualnej są rejestrowane przez dziennik zdarzeń i monitorowane przez usługi wykrywania w usłudze Microsoft Defender for Cloud.

W przypadku maszyn wirtualnych z systemem Linux można ręcznie skonfigurować rejestrowanie konsoli dla poszczególnych węzłów i używać dzienników syslog do przechowywania danych. Ponadto użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor, aby przejrzeć dzienniki i wykonywać zapytania dotyczące danych dziennika systemowego z maszyn wirtualnych platformy Azure.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Chociaż usługa Azure Active Directory (Azure AD) jest zalecaną metodą administrowania dostępem użytkowników, usługa Azure Virtual Machines może mieć konta lokalne. Zarówno konta lokalne, jak i konta domeny powinny być przeglądane i zarządzane, zwykle z minimalnym zużyciem pamięci. Ponadto korzystaj z usługi Azure Privileged Identity Management dla kont administracyjnych używanych do uzyskiwania dostępu do zasobów maszyn wirtualnych.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Zestaw skalowania maszyn wirtualnych platformy Azure i usługa Azure Active Directory (Azure AD) nie mają pojęcia haseł domyślnych. Klient odpowiedzialny za aplikacje innych firm i usługi platformy handlowej, które mogą używać domyślnych haseł.

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych, które mają dostęp do maszyn wirtualnych. Użyj usługi Microsoft Defender for Cloud do zarządzania tożsamościami i dostępem, aby monitorować liczbę kont administracyjnych. Wszystkie konta administratora używane do uzyskiwania dostępu do zasobów maszyny wirtualnej platformy Azure mogą być również zarządzane przez usługę Azure Privileged Identity Management (PIM). Usługa Azure Privileged Identity Management udostępnia kilka opcji, takich jak podniesienie uprawnień just in time, wymaganie uwierzytelniania wieloskładnikowego przed objęciem roli i opcje delegowania, dzięki czemu uprawnienia są dostępne tylko dla określonych ram czasowych i wymagają osoby zatwierdzającej.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Przeprowadź inspekcję maszyn z systemem Windows, którzy nie mają określonych członków w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych do zakresu przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. auditIfNotExists 1.0.0
Inspekcja maszyn z systemem Windows z dodatkowymi kontami w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych do zakresu przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera członków, które nie są wymienione w parametrze zasad. auditIfNotExists 1.0.0
Inspekcja maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych do zakresu przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera co najmniej jednego członka wymienionego w parametrze zasad. auditIfNotExists 1.0.0

3.4: Używanie logowania jednokrotnego usługi Azure Active Directory (SSO)

Wskazówki: jeśli to możliwe, użyj logowania jednokrotnego w usłudze Azure Active Directory (Azure AD), a nie konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Użyj stacji roboczych z dostępem uprzywilejowanym (stacji roboczych z dostępem uprzywilejowanym) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: użyj usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników. Opcjonalnie klient może pozyskiwać alerty wykrywania ryzyka w usłudze Microsoft Defender for Cloud w usłudze Azure Monitor i konfigurować niestandardowe alerty/powiadomienia przy użyciu grup akcji.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj zasad dostępu warunkowego usługi Azure Active Directory (Azure AD) i nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika. Tożsamości zarządzane można używać do uwierzytelniania w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez żadnych poświadczeń w kodzie. Kod działający na maszynie wirtualnej może używać swojej tożsamości zarządzanej do żądania tokenów dostępu dla usług, które obsługują uwierzytelnianie Azure AD.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto należy użyć Azure AD przeglądów dostępu do tożsamości w celu wydajnego zarządzania członkostwem w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp. W przypadku korzystania z maszyn wirtualnych platformy Azure należy przejrzeć lokalne grupy zabezpieczeń i użytkowników, aby upewnić się, że nie ma nieoczekiwanych kont, które mogłyby naruszyć bezpieczeństwo systemu.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: konfigurowanie ustawień diagnostycznych usługi Azure Active Directory (Azure AD) w celu wysyłania dzienników inspekcji i dzienników logowania do obszaru roboczego usługi Log Analytics. Ponadto użyj usługi Azure Monitor, aby przejrzeć dzienniki i wykonywać zapytania dotyczące danych dzienników z maszyn wirtualnych platformy Azure.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: korzystanie z funkcji ryzyka i ochrony tożsamości w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z zasobami konta magazynu. Automatyczne odpowiedzi należy włączyć za pośrednictwem usługi Microsoft Sentinel w celu zaimplementowania odpowiedzi zabezpieczeń organizacji.

Odpowiedzialność: Klient

3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej

Wskazówki: W scenariuszach pomocy technicznej, w których firma Microsoft potrzebuje dostępu do danych klienta (takich jak podczas żądania pomocy technicznej), użyj skrytki klienta dla maszyn wirtualnych platformy Azure, aby przejrzeć i zatwierdzić lub odrzucić żądania dostępu do danych klienta.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: użyj tagów, aby pomóc w śledzeniu maszyn wirtualnych platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Zasoby powinny być oddzielone siecią wirtualną/podsiecią, odpowiednio oznakowane i zabezpieczone w sieciowej grupie zabezpieczeń lub przez Azure Firewall. W przypadku Virtual Machines przechowywania lub przetwarzania poufnych danych zaimplementuj zasady i procedury, aby je wyłączyć, gdy nie są używane.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: Zaimplementuj rozwiązanie innych firm na obwodach sieci, które monitoruje nieautoryzowany transfer poufnych informacji i blokuje takie transfery podczas zgłaszania alertów specjalistom ds. zabezpieczeń informacji.

W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą na ochronę przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Dane przesyłane do i między Virtual Machines (maszyną wirtualną) z systemem Windows są szyfrowane na wiele sposobów, w zależności od charakteru połączenia, takiego jak podczas nawiązywania połączenia z maszyną wirtualną w sesji RDP lub SSH.

Firma Microsoft używa protokołu Transport Layer Security (TLS) do ochrony danych podczas podróży między usługami w chmurze a klientami.

Odpowiedzialność: Współużytkowane

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: Użyj narzędzia do odnajdywania aktywnego odnajdywania innej firmy, aby zidentyfikować wszystkie poufne informacje przechowywane, przetwarzane lub przesyłane przez systemy technologiczne organizacji, w tym te znajdujące się w lokacji lub u dostawcy usług zdalnych i aktualizować spis poufnych informacji organizacji.

Odpowiedzialność: Klient

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: Korzystanie z kontroli dostępu opartej na rolach platformy Azure (RBAC) platformy Azure umożliwia rozdzielenie obowiązków w zespole i udzielanie tylko użytkownikom dostępu na maszynie wirtualnej, której potrzebują do wykonywania swoich zadań. Zamiast udzielać wszystkim nieograniczonym uprawnień na maszynie wirtualnej, można zezwolić tylko na określone akcje. Kontrolę dostępu dla maszyny wirtualnej można skonfigurować w Azure Portal przy użyciu interfejsu wiersza polecenia platformy Azure lub Azure PowerShell.

Odpowiedzialność: Klient

4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu

Wskazówki: zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie ochrony przed utratą danych oparte na hoście, aby wymusić mechanizmy kontroli dostępu w celu ograniczenia ryzyka naruszenia danych.

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: Dyski wirtualne na Virtual Machines (VM) są szyfrowane w spoczynku przy użyciu szyfrowania po stronie serwera lub szyfrowania dysków platformy Azure (ADE). Usługa Azure Disk Encryption korzysta z funkcji DM-Crypt systemu Linux do szyfrowania dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta poprawia się w usłudze ADE, umożliwiając korzystanie z dowolnego typu systemu operacyjnego i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Nieprzyłączone dyski powinny być szyfrowane Te zasady przeprowadzają inspekcję każdego nieprzyłączonego dysku bez włączonego szyfrowania. Inspekcja, Wyłączone 1.0.0
Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem Maszyny wirtualne bez włączonego szyfrowania dysków będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia. AuditIfNotExists, Disabled 2.0.1

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wprowadzenia zmian w zestawach skalowania maszyn wirtualnych i powiązanych zasobach.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w zakresie przeprowadzania ocen luk w zabezpieczeniach na platformie Azure Virtual Machines. Użyj zalecanego rozwiązania azure Security lub rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach maszyn wirtualnych.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są uruchomione obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu ds. zagrożeń cybernetycznych i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Microsoft Defender for Cloud obejmuje skanowanie luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0

5.2. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami systemu operacyjnego

Wskazówki: Włączanie automatycznych uaktualnień systemu operacyjnego dla obsługiwanych wersji systemu operacyjnego lub obrazów niestandardowych przechowywanych w Shared Image Gallery.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych Sprawdź, czy brakuje aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które należy zainstalować, aby upewnić się, że zestawy skalowania maszyn wirtualnych z systemem Windows i Linux są bezpieczne. AuditIfNotExists, Disabled 3.0.0
Należy zainstalować aktualizacje systemu na maszynach Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 4.0.0

5.3. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami dla tytułów oprogramowania innych firm

Wskazówki: Usługa Azure Virtual Machine Scale Sets (VMSS) może używać automatycznych uaktualnień obrazów systemu operacyjnego. Możesz użyć rozszerzenia azure Desired State Configuration (DSC) dla bazowych maszyn wirtualnych w usłudze VMSS. DsC służy do konfigurowania maszyn wirtualnych w trybie online, aby były uruchamiane żądane oprogramowanie.

Odpowiedzialność: Klient

5.4. Porównanie skanów luk w zabezpieczeniach z powrotem

Wskazówki: Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zalecenia dotyczącego zarządzania lukami w zabezpieczeniach sugerowanego przez usługę Microsoft Defender for Cloud klient może przestawić się do portalu wybranego rozwiązania w celu wyświetlenia historycznych danych skanowania.

Odpowiedzialność: Klient

5.5. Użyj procesu oceny ryzyka, aby określić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: użyj domyślnych ocen ryzyka (wskaźnik bezpieczeństwa) udostępnianych przez usługę Microsoft Defender for Cloud.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Luki w zabezpieczeniach kontenerów należy skorygować Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Luki w zabezpieczeniach konfiguracji na maszynach powinny zostać skorygowane Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 3.0.0
Należy skorygować luki w zabezpieczeniach konfiguracji w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. AuditIfNotExists, Disabled 3.0.0

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań i odnajdywania wszystkich zasobów (w tym maszyn wirtualnych) w ramach subskrypcji. Upewnij się, że masz odpowiednie (odczyt) uprawnienia w dzierżawie i możesz wyliczyć wszystkie subskrypcje platformy Azure oraz zasoby w ramach subskrypcji.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich zgodnie z taksonomią.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: użyj tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, aby organizować i śledzić Virtual Machines zestawów skalowania i powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Utwórz spis zatwierdzonych zasobów platformy Azure i zatwierdzonego oprogramowania dla zasobów obliczeniowych zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj zasad platformy Azure, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich. Może to pomóc w środowiskach opartych na zabezpieczeniach, takich jak te z kontami usługi Storage.

Odpowiedzialność: Klient

6.6: Monitorowanie niezatwierdzonych aplikacji oprogramowania w ramach zasobów obliczeniowych

Wskazówki: Azure Automation zapewnia pełną kontrolę podczas wdrażania, operacji i likwidowania obciążeń i zasobów. Skorzystaj ze spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o wszystkich oprogramowaniu w Virtual Machines. Uwaga: nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do daty instalacji i innych informacji, klient musi włączyć diagnostykę na poziomie gościa i przenieść dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Obecnie funkcje adaptacyjnego sterowania aplikacjami nie są dostępne dla Virtual Machine Scale Sets.

Odpowiedzialność: Klient

6.7: Usuwanie niezatwierdzonych zasobów platformy Azure i aplikacji oprogramowania

Wskazówki: Azure Automation zapewnia pełną kontrolę podczas wdrażania, operacji i likwidowania obciążeń i zasobów. Możesz użyć Change Tracking, aby zidentyfikować wszystkie oprogramowanie zainstalowane na Virtual Machines. Możesz zaimplementować własny proces lub użyć Azure Automation State Configuration do usuwania nieautoryzowanego oprogramowania.

Odpowiedzialność: Klient

6.8: Używanie tylko zatwierdzonych aplikacji

Wskazówki: Obecnie funkcje adaptacyjnego sterowania aplikacjami nie są dostępne dla Virtual Machine Scale Sets. Używanie oprogramowania innej firmy do kontrolowania użycia tylko zatwierdzonych aplikacji.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji działających na każdej maszynie i sugeruje listę znanych aplikacji bezpiecznych. AuditIfNotExists, Disabled 3.0.0

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj zasad platformy Azure, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowej usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na platformie Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania Inspekcja, odmowa, wyłączone 1.0.0

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: Obecnie funkcje adaptacyjnego sterowania aplikacjami nie są dostępne dla Virtual Machine Scale Sets. Zaimplementuj rozwiązanie innych firm, jeśli nie spełnia wymagań organizacji.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji działających na każdej maszynie i sugeruje listę znanych aplikacji bezpiecznych. AuditIfNotExists, Disabled 3.0.0

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.12: Ogranicz możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych

Wskazówki: w zależności od typu skryptów można używać konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych platformy Azure.

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: aplikacje wysokiego ryzyka wdrożone w środowisku platformy Azure mogą być izolowane przy użyciu sieci wirtualnej, podsieci, subskrypcji, grup zarządzania itp. i wystarczająco zabezpieczone za pomocą Azure Firewall, Web Application Firewall (WAF) lub sieciowej grupy zabezpieczeń.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: użyj Azure Policy lub Microsoft Defender for Cloud, aby zachować konfiguracje zabezpieczeń dla wszystkich zasobów platformy Azure. Ponadto usługa Azure Resource Manager ma możliwość eksportowania szablonu w formacie JavaScript Object Notation (JSON), który należy przejrzeć, aby upewnić się, że konfiguracje spełniają /przekraczają wymagania dotyczące zabezpieczeń dla firmy.

Odpowiedzialność: Klient

7.2. Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Użyj rekomendacji usługi Microsoft Defender for Cloud Koryguj luki w zabezpieczeniach w konfiguracjach zabezpieczeń na Virtual Machines, aby zachować konfiguracje zabezpieczeń we wszystkich zasobach obliczeniowych.

Odpowiedzialność: Klient

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj szablonów usługi Azure Resource Manager i zasad platformy Azure, aby bezpiecznie skonfigurować zasoby platformy Azure skojarzone z zestawami skalowania Virtual Machines. Szablony usługi Azure Resource Manager to pliki oparte na formacie JSON używane do wdrażania maszyny wirtualnej wraz z zasobami platformy Azure, a szablon niestandardowy będzie musiał być utrzymywany. Firma Microsoft wykonuje konserwację w szablonach podstawowych. Użyj zasad platformy Azure [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.4. Obsługa bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: istnieje kilka opcji obsługi bezpiecznej konfiguracji dla platformy Azure Virtual Machines (VM) na potrzeby wdrożenia:

  1. Szablony usługi Azure Resource Manager: są to pliki oparte na formacie JSON używane do wdrażania maszyny wirtualnej z Azure Portal, a szablon niestandardowy będzie musiał być utrzymywany. Firma Microsoft wykonuje konserwację w szablonach podstawowych.

  2. Niestandardowy wirtualny dysk twardy (VHD): w niektórych okolicznościach może być wymagane posiadanie niestandardowych plików VHD, takich jak w przypadku pracy ze złożonymi środowiskami, których nie można zarządzać za pomocą innych środków.

  3. Azure Automation State Configuration: Po wdrożeniu podstawowego systemu operacyjnego można go użyć do bardziej szczegółowej kontroli ustawień i wymuszania za pośrednictwem platformy automatyzacji.

W przypadku większości scenariuszy podstawowe szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation Desired State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Luki w zabezpieczeniach kontenerów należy skorygować Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Luki w zabezpieczeniach konfiguracji na maszynach powinny zostać skorygowane Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 3.0.0
Należy skorygować luki w zabezpieczeniach konfiguracji w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. AuditIfNotExists, Disabled 3.0.0

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: używanie usługi Azure DevOps do bezpiecznego przechowywania kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager, skrypty Desired State Configuration itp. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, takich jak kod, kompilacje i śledzenie pracy, musisz mieć uprawnienia do tych określonych zasobów. Większość uprawnień jest udzielana za pośrednictwem wbudowanych grup zabezpieczeń, zgodnie z opisem w temacie Uprawnienia i dostęp. W przypadku integracji z programem TFS można udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD).

Odpowiedzialność: Klient

7.6. Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Wskazówki: Jeśli używasz obrazów niestandardowych (np. wirtualnego dysku twardego), użyj kontroli dostępu na podstawie ról platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do obrazów.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: skorzystaj z Azure Policy, aby otrzymywać alerty, przeprowadzać inspekcję i wymuszać konfiguracje systemu dla maszyn wirtualnych. Ponadto utwórz proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.8. Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Wskazówki: Azure Automation State Configuration to usługa zarządzania konfiguracją dla węzłów Desired State Configuration (DSC) w dowolnej chmurze lub lokalnym centrum danych. Umożliwia ona szybkie i łatwe skalowanie tysięcy maszyn z centralnej, bezpiecznej lokalizacji. Możesz łatwo dołączać maszyny, przypisywać je konfiguracje deklaratywne i wyświetlać raporty pokazujące zgodność każdej maszyny z określonym żądanym stanem.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Skorzystaj z usługi Microsoft Defender for Cloud, aby przeprowadzić skanowanie punktów odniesienia dla maszyn wirtualnych platformy Azure. Dodatkowe metody konfiguracji automatycznej obejmują użycie Azure Automation State Configuration.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówki: Azure Automation State Configuration to usługa zarządzania konfiguracją dla węzłów Desired State Configuration (DSC) w dowolnej chmurze lub lokalnym centrum danych. Umożliwia ona szybkie i łatwe skalowanie tysięcy maszyn z centralnej, bezpiecznej lokalizacji. Możesz łatwo dołączać maszyny, przypisywać je konfiguracje deklaratywne i wyświetlać raporty pokazujące zgodność każdej maszyny z określonym żądanym stanem.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Luki w zabezpieczeniach kontenerów należy skorygować Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Luki w zabezpieczeniach konfiguracji na maszynach powinny zostać skorygowane Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 3.0.0
Należy skorygować luki w zabezpieczeniach konfiguracji w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. AuditIfNotExists, Disabled 3.0.0

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć zarządzanie wpisami tajnymi dla aplikacji w chmurze.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w usłudze Azure Active Directory (Azure AD). Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault bez poświadczeń w kodzie.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1: Korzystanie z zarządzanego centralnie oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: użyj Microsoft Antimalware dla maszyn wirtualnych platformy Azure z systemem Windows, aby stale monitorować i bronić zasobów. Potrzebujesz narzędzia innej firmy do ochrony przed złośliwym oprogramowaniem na maszynie wirtualnej z systemem Linux na platformie Azure.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. AuditIfNotExists, Disabled 3.0.0
Monitorowanie brakującego programu Endpoint Protection w usłudze Microsoft Defender dla Chmury Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Microsoft Defender for Cloud jako zalecenia AuditIfNotExists, Disabled 3.0.0

8.3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: Po wdrożeniu dla maszyn wirtualnych z systemem Windows Microsoft Antimalware dla platformy Azure automatycznie zainstaluje domyślnie najnowsze aktualizacje sygnatur, platformy i aparatu. Postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud: "Compute & Apps", aby upewnić się, że wszystkie punkty końcowe są aktualne z najnowszymi podpisami. System operacyjny Windows może być dodatkowo chroniony przy użyciu dodatkowych zabezpieczeń, aby ograniczyć ryzyko ataków wirusowych lub złośliwych ataków z usługą Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender, która integruje się z usługą Microsoft Defender for Cloud.

Potrzebujesz narzędzia innej firmy do ochrony przed złośliwym oprogramowaniem na maszynie wirtualnej z systemem Linux na platformie Azure.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Microsoft Antimalware dla platformy Azure należy skonfigurować do automatycznego aktualizowania podpisów ochrony Te zasady sprawdzają, czy każda maszyna wirtualna z systemem Windows nie została skonfigurowana przy użyciu automatycznej aktualizacji sygnatur ochrony Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych

Wskazówki: Tworzenie migawki wystąpienia zestawu skalowania maszyn wirtualnych platformy Azure lub dysku zarządzanego dołączonego do wystąpienia przy użyciu programu PowerShell lub interfejsów API REST. Można również użyć Azure Automation do wykonywania skryptów kopii zapasowej w regularnych odstępach czasu.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure Backup należy włączyć dla Virtual Machines Zapewnij ochronę Virtual Machines platformy Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 2.0.0

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Tworzenie migawek maszyn wirtualnych platformy Azure lub dysków zarządzanych dołączonych do tych wystąpień przy użyciu programu PowerShell lub interfejsów API REST. Tworzenie kopii zapasowych kluczy zarządzanych przez klienta w usłudze Azure Key Vault.

Włącz Azure Backup i docelową usługę Azure Virtual Machines (VM), a także żądane okresy częstotliwości i przechowywania. Obejmuje to kompletną kopię zapasową stanu systemu. Jeśli używasz szyfrowania dysków platformy Azure, kopia zapasowa maszyny wirtualnej platformy Azure automatycznie obsługuje tworzenie kopii zapasowych kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure Backup należy włączyć dla Virtual Machines Zapewnij ochronę Virtual Machines platformy Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 2.0.0

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówka: Zapewnij możliwość okresowego przywracania danych dysku zarządzanego w Azure Backup. W razie potrzeby przetestuj przywracanie zawartości do izolowanej sieci wirtualnej lub subskrypcji. Klient może przetestować przywracanie kopii zapasowych kluczy zarządzanych przez klienta.

Jeśli używasz szyfrowania dysków platformy Azure, możesz przywrócić zestawy skalowania maszyn wirtualnych przy użyciu kluczy szyfrowania dysków. W przypadku korzystania z szyfrowania dysków można przywrócić maszynę wirtualną platformy Azure przy użyciu kluczy szyfrowania dysków.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Włączanie ochrony przed usuwaniem dysku zarządzanego przy użyciu blokad. Włącz Soft-Delete i przeczyść ochronę w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być najpierw badane. Ważność jest oparta na tym, jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w wyszukiwaniu lub metryce używanej do wystawiania alertu, a także na poziomie ufności, na jakim wystąpił złośliwy zamiar działania, które doprowadziły do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, inne niż prod) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych okresach, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktowe zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji ciągłego eksportowania, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w ciągły, ciągły sposób. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówki: użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w zakresie alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami zaangażowania firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii firmy Microsoft i wykonywania testów penetracyjnych red teaming i na żywo na żywo w odniesieniu do infrastruktury, usług i aplikacji w chmurze zarządzanej przez firmę Microsoft.

Odpowiedzialność: Współużytkowane

Następne kroki