Azure-säkerhetsbaslinje för Microsoft Defender for Identity

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Defenderför identitet. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Microsoft Defenderför identitet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Microsoft Defender for Identity och de för vilka den globala vägledningen rekommenderas ordagrant har exkluderats. Information om hur Microsoft Defender for Identity mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Microsoft Defender for Identity säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall som konfigurerats för dina Defender for Identity-resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel "AzureAdvancedThreatProtection") i lämpligt käll- eller målfält i en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

• Aktivera åtkomst till URL:er för Defender for Identity-tjänsten på proxyservern

• Förstå och använda tjänsttaggar

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Defender for Identity använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

• Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.
• Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att utvärdera identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder extern identitet som gör att användare utan Ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

• Innehav i Azure AD

• Skapa och konfigurera en Azure AD-instans

• Använda en extern identitetsprovider för appar

• Vad är identitetssäkerhetspoäng i Azure AD

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: Defender for Identity har följande konton med hög behörighet:

Global administratör

Säkerhetsadministratör

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå eftersom användare med den här behörigheten direkt eller indirekt kan läsa och ändra varje resurs i din Azure-miljö.

Du kan aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure Active Directory (Azure AD) med hjälp av Azure AD Privileged Identity Management (PIM). JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

• Microsoft Defender for Identity rollgrupper

• Behörigheter för administratörsrollen i Azure AD

• Använda säkerhetsaviseringar från Privileged Identity Management i Azure

• Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Defender for Identity använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och tilldela åtkomst regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management för att skapa ett arbetsflöde för åtkomstgranskningsrapporter för att underlätta granskningsprocessen.

Dessutom kan Azure Privileged Identity Management också konfigureras för att varna när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

• Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)

• Så här använder du identitets- och åtkomstgranskningar i Azure AD

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Det är viktigt med säkra och isolerade arbetsstationer för att skydda känsliga roller som administratörer, utvecklare och operatörer av kritiska tjänster. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory, Microsoft Defender för Endpoint och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. Skyddade arbetsstationer kan hanteras centralt för att upprätthålla en säker konfiguration med kraftfulla baslinjer för autentisering, programvara och maskinvara samt begränsad logisk och nätverksbaserad åtkomst.

• Förstå arbetsstationer för privilegierad åtkomst

• Distribuera en arbetsstation med privilegierad åtkomst

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning: Defender for Identity skyddar känsliga data genom att begränsa åtkomsten med hjälp av Roller i Azure Active Directory (Azure AD).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll justeras mot din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

När det gäller den underliggande plattformen, som hanteras av Microsoft, behandlar Microsoft allt kundinnehåll som känsligt och skyddar det mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra implementerar Microsoft standardkontroller och funktioner för dataskydd.

• Azure AD roller med åtkomst till Microsoft Defender for Cloud Apps

• Rollbaserad azure-Access Control (RBAC)

• Förstå skydd av kunddata i Azure

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out-of-band"-attacker (t.ex. trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Defender for Identity stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

• TLS v1.2-version för Defender för identitet

• Förstå kryptering under överföring med Azure

• Information om TLS-säkerhet

• Dubbel kryptering för Azure-data under överföring

Ansvar: Microsoft

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Defender for Identity vilande data för att skydda mot out-of-band-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

• Förstå kryptering vid vila i Azure
• Dubbel kryptering av vilande data i Azure

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

• Översikt över säkerhetsläsarrollen

• Översikt över Azure-hanteringsgrupper

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Defender for Identity kan meddela dig när den identifierar misstänkta aktiviteter genom att skicka säkerhets- och hälsoaviseringar till Syslog-servern via en nominerad sensor. Vidarebefordra loggar från Defender for Identity till din SIEM som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

• Så här integrerar du med Syslog
• Skapa anpassade analysregler för att identifiera hot
• Cyberhotinformation med Microsoft Sentinel

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

• Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.

• Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som gjorts i resurser i Azure AD som att lägga till eller ta bort användare, appar, grupper, roller och principer.

• Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.

• Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också varna om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök, inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du se kontoavvikelser i de enskilda resurserna.

• Granska aktivitetsrapporter i Azure Active Directory

• Aktivera Azure Identity Protection

• Hotskydd i Microsoft Defender för molnet

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig och arkiveringslagring.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Microsoft Sentinel för "heta" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Defender for Identity erbjuder sig att vidarebefordra alla säkerhetsrelaterade loggar till din SIEM för centraliserad hantering.

• Samla in plattformsloggar och mått med Azure Monitor

• Registrera Microsoft Sentinel

• Integrera Defender for Identity med Syslog

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Ej tillämpligt; Defender for Identity stöder inte konfiguration av dina egna tidssynkroniseringskällor. Defender for Identity förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Defender for Identity.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

• Intrångstester i Azure

• Regler för intrångstester

• ”Red team”-aktiviteter i Microsoft Cloud

Ansvar: Delad

Nästa steg

• Läs mer i Översikten över Azure Security Benchmark V2
• Läs mer om säkerhetsbaslinjer för Azure