Freigeben über


Azure-Sicherheitsbaseline für Microsoft Defender für Cloud

Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Microsoft Defender für Cloud an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark und den zugehörigen Richtlinien für Microsoft Defender für Cloud definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features, die nicht auf Microsoft Defender für Cloud anwendbar sind, wurden ausgeschlossen. Informationen dazu, wie Microsoft Defender für Cloud vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Microsoft Defender für Cloudsicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Microsoft Defender für Cloud mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Sicherheit
Der Kunde kann auf HOST/OS zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. False
Speichert kundenbezogene Inhalte im Ruhezustand True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Funktionen

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Identitätsverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Funktionen

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Funktionen

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Rollen, die zum automatischen Bereitstellen von Agents und Erweiterungen verwendet werden

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Referenz: Rollen, die zum automatischen Bereitstellen von Agents und Erweiterungen verwendet werden

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Zugriff von Azure Active Directory (Azure AD) in der Workload. Ziehen Sie häufige Anwendungsfälle in Betracht, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten, das Blockieren riskanter Anmeldeverhalten oder die Anforderung von organization verwalteten Geräten für bestimmte Anwendungen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

Funktionen

Lokale Admin-Konten

Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Funktionen

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Defender für Cloud verwendet die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um integrierte Rollen bereitzustellen. Sie können diese Rollen Benutzern, Gruppen und Diensten in Azure zuweisen, um Benutzern den Zugriff auf Ressourcen entsprechend dem in der Rolle vorgesehenen Zugriff zu ermöglichen. Es empfiehlt sich, den Benutzern eine Rolle zuzuweisen, die jeweils nur so viele Berechtigungen umfasst wie für die Erfüllung ihrer Aufgaben erforderlich sind. Weisen Sie die Rolle „Leser“ etwa Benutzern zu, die nur Informationen zur Sicherheitsintegrität einer Ressource anzeigen, aber keine Aktionen durchführen müssen (also beispielsweise keine Empfehlungen umsetzen oder Richtlinien bearbeiten).

Referenz: Berechtigungen in Microsoft Defender für Cloud

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Funktionen

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Microsoft Defender für Cloud verwendet einen konfigurierten Log Analytics-Arbeitsbereich zum Speichern der generierten Daten, Warnungen und Empfehlungen. Konfigurieren Sie einen kundenseitig verwalteten Schlüssel (Customer-managed Key, CMK) für den Arbeitsbereich, den Sie für die Microsoft Defender für Cloud-Datensammlung verwenden. Ein CMK verschlüsselt alle Daten, die gespeichert oder an den Arbeitsbereich gesendet werden, mit einem Azure Key Vault-Schlüssel, den Sie erstellen und besitzen.

Referenz: Kundenseitig verwalteter Azure Monitor-Schlüssel

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Microsoft Defender für Cloud verwendet einen konfigurierten Log Analytics-Arbeitsbereich zum Speichern der generierten Daten, Warnungen und Empfehlungen. Konfigurieren Sie einen kundenseitig verwalteten Schlüssel (Customer-managed Key, CMK) für den Arbeitsbereich, den Sie für die Microsoft Defender für Cloud-Datensammlung verwenden. Ein CMK verschlüsselt alle Daten, die gespeichert oder an den Arbeitsbereich gesendet werden, mit einem Azure Key Vault-Schlüssel, den Sie erstellen und besitzen.

Referenz: Kundenseitig verwalteter Azure Monitor-Schlüssel

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Backup

Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Service Native Backup-Funktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte