Azure-säkerhetsbaslinje för Microsoft Defender for Cloud Apps

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Defender for Cloud Apps. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Microsoft Defender for Cloud Apps.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Microsoft Defender for Cloud Apps, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Om du vill se hur Microsoft Defender for Cloud Apps helt mappar till Azure Security Benchmark läser du den fullständiga mappningsfilen för Microsoft Defender for Cloud Apps säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Tjänsttaggar för Azure Virtual Network för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall som konfigurerats för dina Microsoft Defender for Cloud Apps resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel "MicrosoftCloudAppSecurity") i rätt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

• Förstå och använda tjänsttaggar

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Microsoft Defender for Cloud Apps använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

• Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.
• Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Skyddet av Azure AD bör ha hög prioritet i organisationens säkerhetspraxis för molnet. Azure AD ger dig en identitetsskyddspoäng som hjälper dig att utvärdera identiteternas säkerhet i relation till Microsofts rekommendationer kring regelverk. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder extern identitet som gör att användare utan ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

• Innehav i Azure AD

• Skapa och konfigurera en Azure AD-instans

• Använda en extern identitetsprovider för appar

• Vad är identitetssäkerhetspoäng i Azure AD

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Microsoft Defender for Cloud Apps använder Azure Active Directory (Azure AD) för att tillhandahålla identitets- och åtkomsthantering till Azure-resurser, molnprogram och lokala program. I det här ingår företagsidentiteter som anställda samt externa identiteter som partner, och leverantörer. På så sätt kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser både lokalt och i molnet. Anslut alla dina användare, program och enheter till Azure AD för sömlös, säker åtkomst och bättre synlighet och kontroll.

• Förstå SSO för appar i Azure AD

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: Microsoft Defender for Cloud Apps har följande konton med hög behörighet:

• Global administratör och säkerhetsadministratör: Administratörer med fullständig åtkomst har fullständig behörighet i Microsoft Defender for Cloud Apps. De kan lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder.

• Efterlevnadsadministratör: Har skrivskyddade behörigheter och kan hantera aviseringar. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar. Kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla inbyggda rapporter under Datahantering.

• Administratör för efterlevnadsdata: Har skrivskyddade behörigheter, kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla identifieringsrapporter. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar.

• Säkerhetsoperator: Har skrivskyddade behörigheter och kan hantera aviseringar.

• Säkerhetsläsare: Har skrivskyddad behörighet och kan hantera aviseringar. Säkerhetsläsaren är begränsad från att utföra följande åtgärder:

• Skapa principer eller redigera och ändra befintliga

• Utföra styrningsåtgärder

• Överföra identifieringsloggar

• Förbjuda eller godkänna appar från tredje part

• Komma åt och visa inställningssidan för IP-adressintervall

• Komma åt och visa alla systeminställningar sidor

• Komma åt och visa identifieringsinställningarna

• Komma åt och visa sidan Appanslutningsprogram

• Komma åt och visa styrningsloggen

• Komma åt och visa rapportsidan för att hantera ögonblicksbilder

• Komma åt och redigera SIEM-agenten

• Global läsare: Har fullständig skrivskyddad åtkomst till alla aspekter av Microsoft Defender for Cloud Apps. Det går inte att ändra några inställningar eller vidta några åtgärder.

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå eftersom användare med den här behörigheten direkt eller indirekt kan läsa och ändra varje resurs i din Azure-miljö.

Du kan aktivera jit-privilegierad (just-in-time) åtkomst till Azure-resurser och Azure Active Directory (Azure AD) med hjälp av Azure AD Privileged Identity Management (PIM). JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

• Hantera administratörsåtkomst i Microsoft Defender for Cloud Apps

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Microsoft Defender for Cloud Apps använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management för att skapa ett arbetsflöde för åtkomstgranskningsrapport för att underlätta granskningsprocessen.

Dessutom kan Azure Privileged Identity Management också konfigureras för aviseringar när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

• Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)

• Så här använder du identitets- och åtkomstgranskningar i Azure AD

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Microsoft Defender for Cloud Apps är integrerad med rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, gruppera tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. De behörigheter som du tilldelar resurser via Azure RBAC bör alltid vara begränsade till vad som krävs av rollerna. Detta kompletterar jit-metoden (just-in-time) i Azure Active Directory (Azure AD) Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörighet och endast skapa anpassade roller när det behövs.

• Office 365 och Azure AD roller med åtkomst till Microsoft Defender for Cloud Apps

• Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)

• Så här konfigurerar du RBAC i Azure

• Så här använder du identitets- och åtkomstgranskningar i Azure AD

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märk upp känsliga data

Vägledning: Microsoft Defender for Cloud Apps hanterar känsliga data. Alla dataflöden omfattas av Microsofts sekretessgransknings- och SDL-process. Kunder har ingen möjlighet att kontrollera data,

Ansvar: Microsoft

DP-2: Skydda känsliga data

Vägledning: Microsoft Defender for Cloud Apps hanterar känsliga data och använder Azure Active Directory-roller (Azure AD) för att styra behörigheter för olika typer av data.

• Azure AD roller med åtkomst till Microsoft Defender for Cloud Apps

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: Microsoft Defender for Cloud Apps stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

• Microsoft Defender for Cloud Apps datasäkerhet och sekretess

• Förstå kryptering under överföring med Azure

• Information om TLS-säkerhet

• Dubbel kryptering för Azure-data under överföring

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: Microsoft Defender for Cloud Apps krypterar vilande data för att skydda mot "out-of-band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

• Microsoft Defender for Cloud Apps datasäkerhet och sekretess

• Förstå kryptering vid vila i Azure

• Dubbelkryptering av vilande data i Azure

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

• Översikt över säkerhetsläsarrollen

• Översikt över Azure-hanteringsgrupper

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Vidarebefordra loggar från Microsoft Defender for Cloud Apps till din SIEM som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

• Microsoft Sentinel-integrering

• Allmän SIEM-integration

• Skapa anpassade analysregler för att identifiera hot

• Cyberhotinformation med Microsoft Sentinel

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Ej tillämpligt; Microsoft Defender for Cloud Apps stöder inte konfiguration av dina egna tidssynkroniseringskällor. Microsoft Defender for Cloud Apps-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor och är inte tillgänglig för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Microsoft Defender for Cloud Apps.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

• Intrångstester i Azure

• Regler för intrångstester

• ”Red team”-aktiviteter i Microsoft Cloud

Ansvar: Delad

Nästa steg

• Läs mer i Översikten över Azure Security Benchmark V2
• Läs mer om säkerhetsbaslinjer för Azure