Базовые показатели безопасности Azure Microsoft Defender для удостоверений

Эта базовая конфигурация безопасности применяет рекомендаций из Azure Security Benchmark версии 2.0 к Microsoft Defender для удостоверений. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, которые определены в Azure Security Benchmark и связанном руководстве, применимом к Microsoft Defender для удостоверений.

Если функция имеет соответствующие Политика Azure определения, которые они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Microsoft Defender для удостоверений, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о том, как Microsoft Defender для удостоверений полностью сопоставляется с Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-6: упрощение правил безопасности сети

Инструкции. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для групп безопасности сети или Брандмауэра Azure, настроенных для ресурсов Defender для удостоверений. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, "AzureAdvancedThreatProtection") в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Инструкции. Defender для удостоверений использует Azure Active Directory (Azure AD) в качестве службы идентификации и управления доступом по умолчанию. Вам следует стандартизировать Azure AD для управления идентификацией и доступом к

  • ресурсам Microsoft Cloud, таким как портал Azure, службе хранилища Azure, виртуальной машине Azure (для Linux и Windows), Azure Key Vault, а также платформам в виде услуг и приложениям SaaS.
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна быть высокоприоритетной задачей в стратегии вашей организации по обеспечению безопасности в облаке. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешнее удостоверение, с помощью которого пользователи без учетной записи Майкрософт могут входить в свои приложения и ресурсы.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Инструкции. Defender для удостоверений имеет следующие учетные записи с высоким уровнем привилегий:

Глобальный администратор.

администратор безопасности;

Ограничьте количество учетных записей с высоким уровнем привилегий и защитите эти учетные записи на повышенном уровне, так как пользователи с этой привилегией могут напрямую или косвенно считывать и изменять каждый ресурс в вашей среде Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure Active Directory (Azure AD) с помощью Azure AD Privileged Identity Management (PIM). JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Defender для удостоверений использует учетные записи Azure Active Directory (Azure AD) для управления ресурсами, а также регулярной проверки учетных записей и назначения доступа, чтобы обеспечить действительность учетных записей и их прав на доступ. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management для создания рабочего процесса получения отчета о проверке доступа, который упростит процесс проверки.

Кроме того, Azure AD Privileged Identity Management можно настроить для выдачи оповещения в случае, когда создается чрезмерно много учетных записей администраторов, и выявления устаревших или неправильно настроенных учетных записей администраторов.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Этими пользователями клиентам необходимо будет управлять отдельно.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Инструкции: защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure Active Directory, Microsoft Defender для конечной точки и (или) Microsoft Intune. Защищенными рабочими станциями можно централизованно управлять, чтобы обеспечить безопасную настройку, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Инструкции. Defender для удостоверений защищает конфиденциальные данные, ограничивая доступ с помощью ролей Azure Active Directory (Azure AD).

Чтобы гарантировать постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. В дополнение к элементам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования, чтобы злоумышленники не смогли легко прочитать или изменить данные.

Defender для удостоверений поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней.

Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут согласовывать TLS версии 1.2 или выше. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.

Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.

Ответственность: Microsoft

DP-5. Шифрование конфиденциальных неактивных данных

Инструкции. В дополнение к средствам управления доступом неактивные данные должны быть защищены от "внешних" атак (например, доступ к базовому хранилищу) с помощью шифрования. Это позволяет гарантировать, что злоумышленники не смогут легко считать или изменить данные.

Ответственность: Microsoft

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Инструкции. Defender для удостоверений может уведомлять вас при обнаружении подозрительных действий, отправляя оповещения о безопасности и работоспособности на сервер Syslog через указанный датчик. Переадресуйте журналы из Defender для удостоверений в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Customer

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure Active Directory (Azure AD) предоставляет следующие журналы пользователей, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами мониторинга или SIEM для использования в более сложных сценариях мониторинга и аналитики:

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.

  • Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.

  • Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.

  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака может также создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз в Microsoft Defender для облака также можно использовать для сбора более подробных оповещений системы безопасности для отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры, служба приложений), ресурсов данных (база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет обнаруживать аномалии учетных записей внутри отдельных ресурсов.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Инструкции. Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи службы хранилища Azure для долгосрочного и архивного хранения.

Кроме того, включите и подключите данные к Microsoft Sentinel или сторонней системе SIEM.

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Defender для удостоверений позволяет пересылать все журналы, связанные с безопасностью, в SIEM для централизованного управления.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Инструкции: неприменимо. Defender для удостоверений не поддерживает настройку ваших собственных источников синхронизации времени. Defender для удостоверений использует источники синхронизации времени Майкрософт без возможности настройки клиентами.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Тесты производительности системы безопасности Azure. Управление состоянием безопасности и уязвимостями.

PV-6: выполнение оценок уязвимостей программного обеспечения

Инструкции. Корпорация Майкрософт управляет защитой уязвимостей в базовых системах, поддерживающих Defender для удостоверений.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью. Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия