Базовый план обеспечения безопасности Azure для Центров событий

Этот базовый план обеспечения безопасности позволяет применить рекомендации Azure Security Benchmark версии 2.0 к Центрам событий. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, которые определены в Azure Security Benchmark, и связанному руководству, применимому к Центрам событий.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Центрам событий, и те, к которым применяются глобальные рекомендации, были исключены. Подробнее о полном соответствии Центров событий требованиям Azure Security Benchmark см. в полном файле сопоставления базового плана обеспечения безопасности Центров событий.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Инструкции. Центры событий не поддерживают развертывание непосредственно в виртуальную сеть. Вы не можете использовать некоторые сетевые функции с ресурсами предложения, например группы безопасности сети (NSG), таблицы маршрутизации или другие зависимые от сети устройства, такие как Брандмауэр Azure.

Используйте Microsoft Sentinel для определения использования устаревших незащищенных протоколов, например таких:

  • SSL/TLS версии 1;

  • SMBv1;

  • LM/NTLMv1;

  • wDigest, неподписанные привязки LDAP;

  • слабые шифры в Kerberos.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Microsoft

NS-3: установка доступа к частной сети для служб Azure

Инструкции. Используйте Приватный канал Azure для разрешения частного доступа к Центрам событий из ваших виртуальных сетей без перехода в Интернет.

Используйте конечные точки службы для виртуальной сети Azure для обеспечения безопасного доступа к Центрам событий. Используйте оптимизированный маршрут через магистральную сеть Azure без перехода в Интернет.

Частный доступ — это дополнительная мера эшелонированной защиты в дополнение к функциям проверки подлинности и защиты трафика, предоставляемым службами Azure.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Инструкции. С помощью тегов службы виртуальной сети Azure вы можете управлять доступом к сети в группах безопасности сети или в Брандмауэре Azure для ресурсов Центров событий. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега службы в исходном поле или поле назначения правила. Таким образом можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Следуйте рекомендациям по безопасности DNS для уменьшения риска таких распространенных атак, как:

  • висячие записи DNS;

  • атаки с усилением DNS;

  • подделка данных DNS;

  • спуфинг;

  • и многое другое.

Если в качестве полномочной службы DNS используется Azure DNS, убедитесь, что зоны и записи DNS защищены от случайного или вредоносного изменения. Используйте управление доступом на основе ролей (RBAC) Azure и блокировки ресурсов.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Инструкции. По умолчанию в Центрах событий Azure в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • Виртуальные машины Azure Linux и Windows

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения. С их помощью, пользователи, не имеющие учетной записи Майкрософт, могут входить в свои приложения и ресурсы.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Инструкция. Центры событий поддерживают управляемые удостоверения для своих ресурсов Azure. Используйте управляемые удостоверения с Центрами событий вместо создания субъектов-служб для доступа к другим ресурсам. Центры событий могут выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Проверка подлинности поддерживается посредством предопределенных правила предоставления доступа. При этом не используются учетные данные, жестко заданные в исходном коде или файлах конфигурации.

В Центрах событий рекомендуется использовать Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурсов. Это нужно для того, чтобы настроить субъекты-службы с помощью учетных данных сертификата и вернуться к секретам клиента. В обоих случаях Azure Key Vault можно использовать с управляемыми удостоверениями Azure, чтобы среда выполнения (например, функция Azure) могла извлекать учетные данные из хранилища ключей.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Инструкции. Служба "Центры событий" использует Azure AD для управления удостоверениями и доступом к ресурсам Azure, облачным и локальным приложениям. К удостоверениям относятся корпоративные удостоверения, например удостоверения сотрудников, а также внешние удостоверения, например удостоверения партнеров и поставщиков.

Azure AD обеспечивает единый вход (SSO) для управления локальными данными и ресурсами организации и в облаке, а также предоставляет безопасный доступ к ним.

Подключите всех пользователей, приложения и устройства к Azure AD. AAD предлагает простой безопасный доступ, а также более широкие возможности видимости и контроля.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Для управления ресурсами Центры событий используют учетные записи Azure AD. Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться, что учетные записи и их доступ являются действующими. Используя средства Azure AD и проверку доступа, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете создавать рабочие процессы получения отчета о проверке доступа в Azure AD Privileged Identity Management (PIM) для упрощения процесса проверки.

Можно настроить Azure AD PIM для отправки оповещений при обнаружении слишком большого числа учетных записей администраторов. Система PIM может определять устаревшие или неправильно настроенные учетные записи администратора.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Этими пользователями потребуется управлять отдельно.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Руководство. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и операторы критически важных служб. Для выполнения административных задач используйте надежно защищенные рабочие станции пользователей и Бастион Azure.

Чтобы развернуть защищенную и управляемую рабочую станцию пользователей для административных задач, воспользуйтесь Azure AD, Microsoft Defender ATP или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями для принудительного применения конфигурации безопасности, которая включает:

  • Строгая проверка подлинности

  • Базовые показатели программного обеспечения и оборудования

  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Инструкции. Центры событий интегрируются с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Используйте встроенные роли для предоставления разрешений. Создавайте настраиваемые роли только при необходимости.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и управления. Как правило, этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных.

Microsoft Defender для службы хранилища и Microsoft Defender для SQL могут отправлять оповещения об аномальной передаче данных, что может указывать на несанкционированную передачу конфиденциальной информации.

Azure Information Protection (AIP) предоставляет возможности мониторинга сведений, которые были классифицированы и помечены.

Если необходимо обеспечить соответствие политики защиты от потери данных (DLP), можно использовать решение DLP на основе узла, чтобы принудительно применять выявляющие и профилактические элементы управления для предотвращения кражи данных.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. Мы рекомендуем использовать TLS версии 1.1 или более поздней. Для обеспечения обратной совместимости служба "Центры событий" по-прежнему поддерживает версию TLS 1.0 для клиентов, которые все еще работают с менее надежными протоколами. Но мы настоятельно не рекомендуем использовать эту версию протокола.

Ответственность: Customer

DP-5. Шифрование конфиденциальных неактивных данных

Инструкции. В дополнение к средствам управления доступом служба "Центры событий" шифрует неактивные данные, чтобы защитить их от "внешних" атак (например, доступ к базовому хранилищу) с помощью шифрования. Шифрование позволяет защитить данные от считывания или изменения злоумышленниками.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для строго конфиденциальных данных можно реализовать дополнительное шифрование при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию для решения Azure VMware. Однако не предоставляет возможность управлять собственными ключами, управляемыми клиентом.

Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт, или ключей, управляемых клиентом. Эта функция позволяет создавать, чередовать, отключать и отменять доступ к управляемым клиентом ключам, которые используются для шифрования неактивных данных Центров событий Azure.

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в арендаторе и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей за отслеживание угроз безопасности может отвечать централизованная или локальная команда безопасности. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения читателя сведений о безопасности для всей корневой группы управления арендатора или распространить действие разрешений для конкретных групп управления или подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Убедитесь, что группы безопасности обладают доступом к постоянно обновляемым данным инвентаризации активов в Azure, например Центров событий. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков или использовать их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, в которую будут входить уполномоченные специалисты отдела безопасности организации. Назначьте им доступ на чтение ко всем ресурсам Центров событий. Этот процесс можно упростить, используя одно высокоуровневое назначение ролей в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте инвентаризацию виртуальных машин Azure для автоматизации сбора сведений о программном обеспечении на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

В ресурсах Центров событий запрещен запуск приложений или установка программного обеспечения. При необходимости опишите все остальные функции в предложении, которое разрешает или поддерживает эту функциональную возможность.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для отправления запросов о ресурсах и их обнаружения в своих подписках. Вы также можете использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Рекомендации. Используйте встроенную в Microsoft Defender для облака возможность обнаружения угроз. Включите Microsoft Defender для ресурсов Центров событий. Microsoft Defender для Центров событий предоставляет дополнительный уровень аналитики безопасности. Microsoft Defender выявляет необычные и потенциально опасные попытки получить доступ к ресурсам Центров событий или воспользоваться ими.

Перешлите журналы из Центров событий в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Customer

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просматривать журналы в отчетах Azure AD. Журналы можно интегрировать с Azure Monitor, Microsoft Sentinel и другими средствами SIEM и мониторинга для более тщательных вариантов использования мониторинга и аналитики.

  • События входа: информация о потреблении управляемых приложений и действиях входа пользователей.

  • Журналы аудита: трассировка всех изменений, внесенных различными компонентами Azure AD, с помощью журналов. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление и удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные события входа: индикатор попыток входа, предпринятых пользователем, который не является законным владельцем учетной записи.

  • Пользователь, находящийся в группе риска: показатель того, что безопасность учетной записи пользователя, возможно, была нарушена.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности. Нерекомендуемые учетные записи в подписке также могут создавать предупреждения.

Помимо базового мониторинга санации безопасности, модуль защиты от угроз Microsoft Defender для облака можно также использовать для сбора более подробных оповещений системы безопасности из следующих источников:

  • Отдельные вычислительные ресурсы Azure (например, виртуальные машины, контейнеры и служба приложений).

  • Такие ресурсы данных, как База данных SQL Azure и служба хранилища Azure.

  • Уровни служб Azure.

Эта возможность обеспечивает видимость аномалий учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Инструкции. Служба "Центры событий" не предназначена для развертывания в виртуальных сетях. Вы не можете включить ведение журналов потоков NSG, направить трафик через брандмауэр или выполнить сбор пакетов.

Включите и выполните сбор журналов ресурса NSG, журналов потоков NSG, журналов Брандмауэра Azure и журналов Брандмауэра веб-приложений в целях анализа безопасности для поддержки следующих возможностей:

  • расследований инцидентов;

  • Поиск угроз

  • генерации оповещений системы безопасности.

Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Служба "Центры событий" регистрирует в журнале весь сетевой трафик, который обрабатывает для доступа клиента. Включение возможностей сетевого потока в развернутых ресурсах.

Служба "Центры событий" не создает и не обрабатывает журналы запросов DNS.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Рекомендации. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не операции GET) для Центров событий, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.

Включите журналы ресурсов Azure для Центров событий. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.

Служба "Центры событий" также создает журналы аудита безопасности для локальных учетных записей администратора. Включите эти журналы аудита локального администратора.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.EventHub:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В Центре событий должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Убедитесь в том, что для каждого источника журнала есть:

  • назначенный владелец данных;

  • рекомендации по доступу;

  • Расположение хранения

  • средства, используемые для обработки данных и доступа к ним;

  • требования к хранению данных.

Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов.

Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics.

Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Кроме того, включите и подключите источники данных к Microsoft Sentinel или системе SIEM стороннего производителя.

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Для приложений, которые можно запускать в Центрах событий, необходимо перенаправить все журналы, относящиеся к безопасности, в SIEM для централизованного управления.

Ответственность: Customer

LT-6: Настройка хранения журналов

Инструкции. Убедитесь, что для всех учетных записей хранения и рабочих областей Log Analytics, используемых для хранения журналов Центров событий задан период хранения журналов. Если вы еще не сделали этого, настройте период хранения журналов в соответствии с нормативными требованиями вашей организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Неприменимо. Служба "Центры событий" не поддерживает настройку собственных источников синхронизации времени.

Она использует источники синхронизации времени Майкрософт и недоступна клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Рекомендации. Используйте Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений. Одно определение схемы может включать шаблоны Azure Resource Manager, элементы управления RBAC и политики.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы. Используйте Политику Azure [Deny] и [DeployIfNotExist], чтобы обеспечить безопасную конфигурацию для вычислительных ресурсов Azure, включая виртуальные машины и контейнеры.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. Неприменимо. Эта рекомендация предназначена для вычислительных ресурсов.

Ответственность: Customer

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Неприменимо. Эта рекомендация предназначена для вычислительных ресурсов.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Неприменимо. Корпорация Майкрософт управляет защитой уязвимостей в базовых системах, поддерживающих Центры событий.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Customer

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Инструкции. Обеспечьте защиту службы "Центры событий" и ее ресурсов от вредоносных программ с помощью современного программного обеспечения с централизованным управлением. Используйте решение для защиты от вредоносных программ на конечной точке с централизованным управлением, которое поддерживает периодическое сканирование и сканирование в режиме реального времени.

  • Microsoft Antimalware для Облачных служб Azure — решение для защиты от вредоносных программ, используемое по умолчанию для виртуальных машин Windows.

  • Для виртуальных машин Linux используйте стороннее решение для защиты от вредоносных программ.

  • Чтобы обнаруживать вредоносные программы, отправляемые в учетные записи службы хранилища Azure, используйте функцию обнаружения угроз для служб данных, доступную в Microsoft Defender для облака.

  • Microsoft Defender для облака можно использовать, чтобы автоматически выполнять следующие действия:

    • Выявление популярных антивредоносных программ для виртуальных машин.

    • Сообщение о текущем состоянии защиты конечных точек.

    • Предоставление рекомендаций

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Инструкции. Обеспечьте быстрое и согласованное обновление сигнатур для защиты от вредоносных программ.

Чтобы гарантировать, что на всех конечных точках применены актуальные сигнатуры, следуйте рекомендациям, касающимся вычислений и приложений, в Microsoft Defender для облака.

В Windows Microsoft Antimalware будет по умолчанию автоматически устанавливать новые сигнатуры и обновления подсистемы. При работе в среде Linux используйте стороннее решение для защиты от вредоносных программ.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Инструкция. Служба "Центры событий Azure" поддерживает резервное копирование данных с помощью Зон доступности (избыточность между зонами) и настраиваемой пользователем репликации между несколькими регионами (геоизбыточность).

Ответственность: Совмещаемая блокировка

BR-2: шифрование данных резервного копирования

Руководство. Центры событий Azure обеспечивают шифрование неактивных данных с помощью Шифрования службы хранилища Azure (Azure SSE). Центры событий используют хранилище Azure для хранения данных, и по умолчанию все данные, хранящиеся в службе хранилища Azure, шифруются с помощью ключей, управляемых корпорацией Майкрософт. Если вы используете Azure Key Vault для хранения ключей, управляемых клиентом, обеспечьте регулярное автоматическое резервное копирование ключей. Убедитесь, что регулярное автоматическое резервное копирование секретов Key Vault с помощью следующей команды PowerShell: Backup-AzKeyVaultSecret

Ответственность: Совмещаемая блокировка

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. Периодически проверяйте, что вы можете восстановить резервные копии ключей, управляемых клиентом.

Ответственность: Customer

BR-4: снижение риска потери ключей

Инструкции. Убедитесь, что вы реализовали меры по предотвращению и восстановлению после потери ключей. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги