Standardní hodnoty zabezpečení Microsoftu pro Microsoft Sentinel
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Microsoft Sentinel. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny pro Microsoft Sentinel.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkcionalita relevantní definice Azure Policy, jsou uvedeny v tomto referenčním rámci, který vám pomůže měřit dodržování předpisů s kontrolami a doporučeními referenčního základu pro zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce nejsou použitelné pro Microsoft Sentinel, byly vyloučeny. Pokud chcete zjistit, jak Microsoft Sentinel plně odpovídá referenčnímu srovnání zabezpečení cloudu Microsoft, podívejte se na úplný soubor mapování výchozího zabezpečení Microsoft Sentinel.
Profil zabezpečení
Profil zabezpečení shrnuje chování Microsoft Sentinelu s vysokým dopadem, což může vést ke zvýšení bezpečnostních aspektů.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Bezpečnost |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Falešný |
| Ukládá uložený obsah zákazníka. | Pravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zabezpečení sítě .
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Vlastnosti
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravovány, pravidelně aktualizovány a chráněny platformou, což zabraňuje pevnému zakódování přihlašovacích údajů ve zdrojovém kódu nebo konfiguračních souborech.
Referenční : autentizace playbooků ve službě Microsoft Sentinel
Služební principálové
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Reference : Ověřit playbooky ve službě Microsoft Sentinel
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro datovou rovinu
Popis: Přístup k datové rovině je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup k Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace podpory přístupových údajů a tajemství a jejich úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Vlastnosti
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Dodržujte princip minimální správy (princip nejmenších oprávnění).
Vlastnosti
Azure RBAC pro datovou rovinu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) se dá použít ke spravování přístupu k akcím datové roviny služby. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí Azure RBAC můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role služby Azure lze přiřadit přímo v pracovním prostoru Microsoft Sentinel, nebo v předplatném či skupině prostředků, ke které pracovní prostor náleží, což služba Microsoft Sentinel přebírá.
Referenční : Role a oprávnění v Microsoft Sentinelu
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Vlastnosti
Zákaznická bezpečnostní schránka
Popis: Customer Lockbox je možné použít pro přístup podpory Microsoftu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí nástrojů, jako jsou Azure Purview, Azure Information Protection a Azure SQL Data Discovery a Classification, centrálně prohledávat, klasifikovat a označovat všechna citlivá data, která se nacházejí v Azure, v místním prostředí, v Microsoftu 365 nebo v jiných umístěních.
Referenční: Návod: Integrace Microsoft Sentinelu a Microsoft Purview
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Vlastnosti
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje DLP řešení pro sledování pohybu citlivých dat (v obsahu zákazníka). Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Pokud je vyžadováno pro zajištění souladu s předpisy prevence úniku dat (DLP), můžete použít řešení DLP na hostitelské bázi z Azure Marketplace nebo řešení Microsoft 365 DLP k zavedení detekčních a/nebo preventivních kontrolních mechanismů, které zabrání exfiltraci dat.
Referenční : Návod : Integrace Microsoft Sentinel a Microsoft Purview
DP-3: Šifrování citlivých dat během přenosu
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování dat během přenosu pro datové úložiště. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
DP-5: Použijte možnost klíče spravovaného zákazníkem pro šifrování dat v klidu, když je to potřeba
Vlastnosti
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Řešení Microsoft Sentinel používá pro shromažďování protokolů a funkce několik prostředků úložiště, včetně vyhrazeného clusteru Log Analytics. V rámci konfigurace CMK služby Microsoft Sentinel budete muset nakonfigurovat nastavení CMK v souvisejícím vyhrazeném clusteru Log Analytics. Data uložená službou Microsoft Sentinel v jiných prostředcích úložiště než Log Analytics se zašifrují také pomocí klíče spravovaného zákazníkem nakonfigurovaného pro vyhrazený cluster Log Analytics.
Referenční: Nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí služby Azure Key Vault můžete vytvářet a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrovány ve službě Azure Key Vault a jsou odkazovány přes ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
referenční : nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa prostředků
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba nabízí řešení specifické pro Microsoft Defender, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Povolení protokolování pro vyšetřování bezpečnosti
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastního datového úložiště, jako je účet pro ukládání nebo pracovní prostor služby Log Analytics. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Povolit protokoly prostředků pro službu Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajemství z trezoru klíčů, zatímco Azure SQL má k dispozici protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční: Zapnutí auditování a monitorování stavu pro Microsoft Sentinel
Zálohování a obnovení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zálohování a obnovení .
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu
- Další informace o standardních hodnotách zabezpečení Azure