Azure-säkerhetsbaslinje för Microsoft Sentinel

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Sentinel. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Microsoft Sentinel.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Microsoft Sentinel, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Microsoft Sentinel mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Säkerhetsbaslinje för Microsoft Sentinel.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Ej tillämpligt. Microsoft Sentinel är inte utformat för att distribuera till en Azure-Virtual Network. All underliggande infrastruktur för tjänsten hanteras fullständigt av Microsoft.

Microsoft Sentinel stöder inte distribution direkt till ett virtuellt nätverk. Därför kan du inte använda vissa nätverksfunktioner med erbjudandets resurser som:

  • Nätverkssäkerhetsgrupper
  • Routningstabeller
  • Andra nätverksberoende enheter som en Azure Firewall

Ansvar: Microsoft

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Microsoft Sentinel använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser. Resurser omfattar:

    • Azure Portal

    • Azure Storage

    • Virtuella Azure Linux- och Windows-datorer

    • Azure Key Vault

    • Plattform som en tjänst (PaaS)

    • SaaS-program (Programvara som en tjänst)

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD ger en identitetssäkerhetspoäng som hjälper dig att utvärdera identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder externa identiteter som gör att användare utan Microsoft-konton kan logga in på sina program och resurser.

Ansvar: Delad

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Microsoft Sentinel använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. Identiteter omfattar företagsidentiteter som anställda och externa identiteter som partners, leverantörer och leverantörer. Azure AD identitets- och åtkomsthantering ger enkel inloggning (SSO) för att hantera och skydda åtkomsten till din organisations lokala data och molndata och resurser.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Microsoft Sentinel använder Azure AD konton för att hantera sina resurser och granska användarkonton. Azure AD kommer åt tilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD och få åtkomst till granskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management (PIM) för att skapa arbetsflöden för åtkomstgranskningsrapport för att underlätta granskningsprocessen.

Dessutom kan Azure AD PIM också konfigureras för att varna dig när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och Azure Bastion för administrativa uppgifter.

Använd Azure AD, Microsoft Defender Advanced Threat Protection (ATP) eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. Du kan hantera skyddade arbetsstationer centralt för att framtvinga en säkerhetskonfiguration som innehåller:

  • Stark autentisering

  • Programvaru- och maskinvarubaslinjer

  • Begränsad logisk åtkomst och nätverksåtkomst

Läs mer i följande referenser:

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Microsoft Sentinel är integrerat med rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.

Begränsa de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar jit-metoden (just-in-time) för Azure AD PIM. Granska roller och tilldelningar med jämna mellanrum.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontrollen använder du kryptering för att skydda data under överföring mot out-of-band-attacker som trafikinsamling. Använd kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure Sentinel stöder datakryptering under överföring med TLS (Transport Layer Security) v1.2 eller senare.

Det här kravet är valfritt för trafik i privata nätverk, men är viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan använda TLS v1.2 eller senare.

För fjärrhantering använder du SSH (Secure Shell) för Linux eller RDP (Remote Desktop Protocol) och TLS för Windows. Använd inte ett okrypterat protokoll. Inaktivera svaga chiffer och föråldrade SSL-, TLS- och SSH-versioner och protokoll.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Azure Sentinel vilande data för att skydda mot out-of-band-attacker som kommer åt underliggande lagring. Kryptering hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du implementera mer kryptering i vila på Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard och tillhandahåller även alternativ för att hantera dina egna nycklar. Kundhanterade nycklar uppfyller regelkraven för vissa Azure-tjänster.

Ansvar: Kund

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att bevilja säkerhetsteam säkerhetsläsarbehörigheter i din Azure-klientorganisation och prenumerationer, så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare brett för en hel klients rothanteringsgrupp eller omfångsbehörigheter för specifika hanteringsgrupper eller prenumerationer.

Obs! Insyn i arbetsbelastningar och tjänster kan kräva fler behörigheter.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Microsoft Sentinel. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam och tilldela den läsbehörighet till alla Microsoft Sentinel-resurser. Du kan förenkla processen med en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att organisera dem logiskt i en taxonomi. Varje tagg består av ett namn- och värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på virtuella datorer (VM). Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. För att få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta.

Använd Microsoft Defender för molnanpassade programkontroller för att ange vilka filtyper en regel kan eller inte gäller för.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph för att fråga efter och identifiera resurser i prenumerationer. Du kan också använda Azure Monitor för att skapa regler som utlöser aviseringar när de identifierar en tjänst som inte har godkänts.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Microsoft Sentinel tillhandahåller inte inbyggda funktioner för att övervaka säkerhetshot relaterade till dess resurser.

Vidarebefordra loggar från Microsoft Sentinel till DITT SIEM-system. Du kan använda SIEM för att konfigurera anpassade hotidentifieringar.

Se till att övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet, för att minska falska positiva identifieringar för analytiker att sortera igenom. Du kan skicka aviseringar från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar. Du kan visa loggarna i Azure AD rapportering. Du kan integrera med Azure Monitor, Microsoft Sentinel eller andra SIEM- och övervakningsverktyg för avancerade användningsfall för övervakning och analys:

  • Inloggningar – Innehåller information om användning av hanterade program och aktiviteter för användarinloggning.

  • Granskningsloggar – Ger spårning genom loggar för alla ändringar som görs av olika Azure AD funktioner. Granskningsloggar innehåller ändringar som gjorts i alla resurser i Azure AD. Ändringarna omfattar att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfyllda inloggningar – en indikator för inloggningsförsök av någon som kanske inte är legitim ägare till ett användarkonto.

  • Användare som har flaggats för risk – en indikator för ett användarkonto som kan ha komprometterats.

Microsoft Defender för molnet kan också utlösa aviseringar om misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök eller om inaktuella konton.

Förutom grundläggande övervakning av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser som virtuella datorer, containrar och App Service

  • Dataresurser som Azure SQL Database och Azure Storage

  • Azure-tjänstlager

Den här funktionen ger dig insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Automation-aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla ÅTGÄRDER för PUT, POST och DELETE, men inte GET, för dina Microsoft Sentinel-resurser. Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare ändrade resurser.

Microsoft Sentinel producerar för närvarande inte Azure-resursloggar.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Microsoft.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts red teamindelningsstrategi och körning. Utför intrångstester på livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från nyckelförlust. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Nästa steg