Microsoft Sentinel 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指导应用于 Microsoft Sentinel。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按照 Azure 安全基准定义的安全控制措施和适用于 Microsoft Sentinel 的相关指导进行分组。

当某个功能具有相关的Azure Policy定义时,它们列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Microsoft Sentinel 的控制以及为其逐字建议全局指导的控制。 若要查看 Microsoft Sentinel 如何完全映射到 Azure 安全基准,请参阅完整的 Microsoft Sentinel 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:不适用。 Microsoft Sentinel 依设计不会部署到 Azure 虚拟网络中。 该服务的所有底层基础结构完全由 Microsoft 管理。

Microsoft Sentinel 不支持直接部署到虚拟网络。 因此,无法将如下所述的特定网络功能与产品/服务的资源配合使用:

  • 网络安全组
  • 路由表
  • 其他网络相关设备,例如 Azure 防火墙

责任:Microsoft

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Microsoft Sentinel 使用 Azure Active Directory (Azure AD) 作为默认标识和访问管理服务。 使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft Cloud 资源。 资源包括:

    • Azure 门户

    • Azure 存储

    • Azure Linux 和 Windows 虚拟机

    • Azure Key Vault

    • 平台即服务 (PaaS)

    • 服务即软件 (SaaS) 应用程序

  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,以帮助评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

注意:Azure AD 支持外部标识,因此没有 Microsoft 帐户的用户可登录到其应用程序和资源。

责任:共享

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:Microsoft Sentinel 使用 Azure AD 提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 标识包括企业标识(例如员工标识)和外部标识(例如合作伙伴、卖方和供应商)。 Azure AD 标识和访问管理提供单一登录 (SSO) 来管理和保护对组织本地和云数据及资源的访问。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-3:定期审查和协调用户访问权限

指导:Microsoft Sentinel 使用 Azure AD 帐户来管理其资源和评审用户帐户。 Azure AD 定期访问权限分配,以确保帐户及其访问权限有效。 可使用 Azure AD 和访问评审来评审组成员身份、对企业应用程序的访问权限和角色分配。 Azure AD 报告提供日志来帮助发现过时的帐户。 还可使用 Azure AD Privileged Identity Management (PIM) 来创建访问评审报告工作流以促进审查流程。

此外,Azure AD PIM 还可配置为在创建过多管理员帐户时发出警报,并标识过时或配置不正确的管理员帐户。

注意:某些 Azure 服务支持不通过 Azure AD 管理的本地用户和角色。 你需要单独管理这些用户。

责任:客户

PA-6:使用特权访问工作站

指导:受保护的独立工作站对敏感角色(如管理员、开发者和关键服务操作员)的安全性至关重要。 使用高度安全的用户工作站和 Azure Bastion 执行管理任务。

使用 Azure AD、Microsoft Defender 高级威胁防护 (ATP) 或 Microsoft Intune 来部署安全的托管用户工作站,以便执行管理任务。 可以集中管理安全工作站,以强制执行安全配置,其中包括:

  • 强身份验证

  • 软件和硬件基线

  • 受限制的逻辑和网络访问

有关详细信息,请参阅以下资源:

责任:客户

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:Microsoft Sentinel 已与 Azure 基于角色的访问控制 (Azure RBAC) 集成,以管理其资源。 使用 Azure RBAC,可通过角色分配来管理 Azure 资源访问。 可以将角色分配给用户、组、服务主体和托管标识。 某些资源具有预定义的内置角色。 可以使用工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。

将通过 Azure RBAC 分配给资源的特权限制为角色所需的特权。 此做法是对 Azure AD PIM 实时 (JIT) 方法的补充。 定期评审角色和权限分配。

请使用内置角色来分配权限,仅在必要时创建自定义角色。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-4:加密传输中的敏感信息

指导:若要对访问控制进行补充,可使用加密保护传输中的数据免受带外攻击(如流量捕获)。 使用加密可确保攻击者无法轻松读取或修改数据。

Azure Sentinel 支持通过传输层安全性 (TLS) v1.2 或更高版本来加密传输中数据。

此要求对于专用网络上的流量是可选的,但对于外部和公用网络上的流量至关重要。 对于 HTTP 流量,需确保连接到 Azure 资源的所有客户端都可以使用 TLS 1.2 版或更高版本。

对于远程管理,需使用安全外壳 (SSH)(适用于 Linux)或远程桌面协议 (RDP) 和 TLS(适用于 Windows)。 不能使用未加密的协议。 禁用弱密码和已过时的 SSL、TLS 和 SSH 版本及协议。

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:客户

DP-5:加密静态敏感数据

指导:为了对访问控制进行补充,Azure Sentinel 可对静态数据加密,以防带外攻击(访问基础存储)。 加密可帮助确保攻击者无法轻松读取或修改数据。

默认情况下,Azure 为静态数据提供加密。 对于高度敏感的数据,你可以在可用的 Azure 资源上进行额外的静态加密。 默认情况下,Azure 会管理加密密钥,并且还提供用于管理自己的密钥的选项。 客户管理的密钥满足某些 Azure 服务的法规要求。

责任:客户

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,以使他们可以使用 Microsoft Defender for Cloud 监视安全风险。

监视安全风险可能是中心安全团队或本地团队的责任,具体取决于团队责任划分方式。 一律在组织内集中聚合安全见解和风险。

可以将安全读取者权限广泛应用于整个租户的根管理组,也可以将权限范围限制为特定管理组或订阅。

注意:如果要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-2:确保安全团队有权访问资产清单和元数据

指导:确保安全团队有权访问 Azure 上持续更新的资产清单,例如 Microsoft Sentinel。 安全团队通常需要使用此清单评估其组织遭遇新兴风险的可能性,并据此不断提高安全性。 创建 Azure AD 组,其中包含组织的授权安全团队,并为他们分配对所有 Microsoft Sentinel 资源的读取权限。 可以在订阅中使用单个高级别角色分配来简化此过程。

将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

使用 Azure 虚拟机清单自动收集有关虚拟机 (VM) 上的软件的信息。 可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 若要访问安装日期和其他信息,请启用来宾级别诊断,并将 Windows 事件日志引入 Log Analytics 工作区。

使用 Microsoft Defender for Cloud 的自适应应用程序控制来指定某项规则可能适用或不适用的文件类型。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 在订阅中查询和发现资源。 也可以使用 Azure Monitor 创建规则,以便在检测到未经批准的服务时触发警报。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:Microsoft Sentinel 网关不提供本机功能来监视与其资源相关的安全威胁。

将 Microsoft Sentinel 的所有日志转发到 SIEM 系统。 可以使用 SIEM 设置自定义威胁检测。

确保监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 专注于获取高质量警报以减少误报,便于分析人员进行分类整理。 可从日志数据、代理或其他数据探寻警报来源。

责任:客户

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:Azure AD 提供以下用户日志。 可以在 Azure AD 报告中查看这些日志。 对于复杂的监视和分析用例,可以将其与 Azure Monitor、Microsoft Sentinel 或其他 SIEM 和监视工具集成:

  • 登录 - 提供有关托管应用程序使用情况和用户登录活动的信息。

  • 审核日志 - 对于通过 Azure AD 的各种功能所做的所有更改,通过日志提供可跟踪性。 审核日志包含对 Azure AD 中的任何资源所做的更改。 这些更改包括添加或删除用户、应用、组、角色和策略。

  • 风险登录 - 指可能有非合法用户帐户所有者尝试登录。

  • 标记为风险用户 - 指可能已泄露的用户帐户。

Microsoft Defender for Cloud 还可对可疑活动(如身份验证尝试失败次数过多或使用弃用的帐户)触发警报。

除了基本的安全运行监视以外,Microsoft Defender for Cloud 的威胁防护模块还可以从以下资源中收集更多深层安全警报:

  • 单独的 Azure 计算资源,如 VM、容器和应用服务

  • 数据资源,如 Azure SQL 数据库和 Azure 存储

  • Azure 服务层

通过此功能可了解各个资源中的帐户异常情况。

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:系统自动提供自动化活动日志。 这些日志包含对 Microsoft Sentinel 资源执行的所有 PUT、POST 和 DELETE 操作,但不包含 GET 操作。 可以在排除故障时使用活动日志来查找错误,或监视用户如何修改资源。

Microsoft Sentinel 目前不会生成 Azure 资源日志。

责任:客户

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-6:执行软件漏洞评估

指导:Microsoft 对支持 Microsoft 的基础系统执行漏洞管理。

责任:Microsoft

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源执行渗透测试和红队活动,确保修正所有关键的安全发现结果。

按照 Microsoft Cloud 渗透测试参与规则操作,以确保渗透测试不违反 Microsoft 策略。 采用并执行 Microsoft 的红队演练策略。 对 Microsoft 托管的云基础结构、服务和应用程序进行实时站点渗透测试。

责任:客户

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-3:验证所有备份,包括客户管理的密钥

指导:定期确保可以还原已备份的客户管理的密钥。

责任:客户

BR-4:减少密钥丢失风险

指导:确保采用适当的措施来防止密钥丢失以及恢复丢失的密钥。 在 Azure Key Vault 中启用软删除和清除保护,以防止意外删除或恶意删除密钥。

责任:客户

后续步骤