Baseline di sicurezza Microsoft per Microsoft Sentinel
Questa baseline di sicurezza applica linee guida dalla benchmark della sicurezza cloud Microsoft versione 1.0 a Microsoft Sentinel. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili a Microsoft Sentinel.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
funzionalità non applicabili a Microsoft Sentinel sono state escluse. Per vedere come Microsoft Sentinel si mappa completamente al benchmark della sicurezza cloud Microsoft, consultare il file di mapping completo della baseline di sicurezza di Microsoft Sentinel .
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Microsoft Sentinel, con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo di comportamento del servizio | Valore |
|---|---|
| Categoria prodotto | Sicurezza |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Falso |
| Archivia i contenuti dei clienti a riposo | Vero |
Sicurezza di rete
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft : Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Caratteristiche
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione delle identità
Per altre informazioni, consultare il Benchmark della sicurezza cloud Microsoft: Gestione delle identità.
IM-1: Usare un sistema centralizzato di identità e autenticazione
Caratteristiche
Autenticazione di Azure AD necessaria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Metodi di autenticazione locale per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Caratteristiche
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione nei servizi e nelle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
di riferimento: autenticare i playbook in Microsoft Sentinel
Principali del servizio
Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
indicazioni sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
di riferimento: autenticare i playbook su Microsoft Sentinel
IM-7: Limitare l'accesso alle risorse in base alle condizioni
Caratteristiche
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
IM-8: limitare l'esposizione di credenziali e segreti
Caratteristiche
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per le credenziali e l'archivio dei segreti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso con privilegi
Per ulteriori informazioni, vedere il Benchmark della sicurezza cloud di Microsoft: Accesso privilegiato.
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Funzionalità
Account di amministratore locale
Descrizione: il servizio include il concetto di un account amministrativo locale. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Caratteristiche
Controllo degli accessi in base al ruolo di Azure per piano dati
Descrizione: il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni di configurazione: Usare il Controllo degli Accessi in base al Ruolo di Azure per creare e assegnare ruoli all'interno del team di operazioni di sicurezza per la concessione dell'accesso appropriato a Microsoft Sentinel. I diversi ruoli consentono un controllo dettagliato su ciò che gli utenti di Microsoft Sentinel possono visualizzare ed eseguire. I ruoli di Azure possono essere assegnati direttamente nell'area di lavoro di Microsoft Sentinel, oppure in una sottoscrizione o in un gruppo di risorse a cui l'area di lavoro appartiene e da cui Microsoft Sentinel eredita.
riferimento: ruoli e autorizzazioni di in Microsoft Sentinel
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Caratteristiche
Box di Sicurezza per Clienti
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Protezione dei dati
Per altre informazioni, vedere l'benchmark della sicurezza cloud Microsoft: Protezione dei dati.
DP-1: individuare, classificare ed etichettare i dati sensibili
Caratteristiche
Individuazione e classificazione dei dati sensibili
Descrizione: gli strumenti (ad esempio Azure Purview o Azure Information Protection) possono essere usati per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: usare strumenti come Azure Purview, Azure Information Protection e Individuazione e classificazione dei dati SQL di Azure per analizzare, classificare ed etichettare in modo centralizzato tutti i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 o in altre posizioni.
riferimento: esercitazione su : Integrare Microsoft Sentinel e Microsoft Purview
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Caratteristiche
Prevenzione della fuga/perdita di dati
Descrizione: Il Servizio supporta la Soluzione DLP per monitorare lo spostamento di dati sensibili (nel contenuto del cliente). Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Guida alla configurazione: Se necessario per conformarsi alle normative sulla prevenzione della perdita di dati (DLP), è possibile utilizzare una soluzione DLP basata su host da Azure Marketplace o una soluzione DLP di Microsoft 365 per applicare controlli di rilevamento e/o preventivi, al fine di impedire l'esfiltrazione dei dati.
Riferimento: Esercitazione su : Integrare Microsoft Sentinel e Microsoft Purview
DP-3: Crittografare i dati sensibili in transito
Caratteristiche
Crittografia dei dati in transito
Description: Il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo tramite chiavi della piattaforma
Descrizione: La crittografia dei dati inattivi tramite l'uso di chiavi della piattaforma è supportata da Microsoft; qualsiasi contenuto dei clienti inattivi viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
guida alla configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Caratteristiche
Crittografia dei dati inattivi tramite cmk
Descrizione: La crittografia dei dati a riposo tramite chiavi gestite dal cliente è supportata per il contenuto archiviato del cliente dal servizio. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
La soluzione Microsoft Sentinel usa diverse risorse di archiviazione per la raccolta e le funzionalità dei log, incluso un cluster dedicato di Log Analytics. Come parte della configurazione cmk di Microsoft Sentinel, è necessario configurare le impostazioni cmk nel cluster dedicato di Log Analytics correlato. I dati salvati da Microsoft Sentinel nelle risorse di archiviazione diverse da Log Analytics verranno crittografati anche usando la chiave gestita dal cliente configurata per il cluster di Log Analytics dedicato.
Riferimento: Configurare chiave gestita dal cliente per Microsoft Sentinel
DP-6: Usare un processo di gestione delle chiavi sicuro
Caratteristiche
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
guida alla configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruota e revoca le tue chiavi in Azure Key Vault e i tuoi servizi secondo un programma definito o in caso di ritiro o compromissione della chiave. Quando è necessario usare una chiave gestita dal cliente (CMK) nell'ambito di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le migliori pratiche per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati (DEK) separata con la tua chiave di crittografia delle chiavi (KEK) nel tuo archivio chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e fare riferimento agli ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio, ad esempio importando chiavi protette dall'HSM (modulo di protezione hardware) dai vostri HSM locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione iniziale e il trasferimento delle chiavi.
riferimento: Configurare chiave gestita dal cliente per Microsoft Sentinel
DP-7: Usare un processo di gestione dei certificati sicuro
Caratteristiche
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Gestione degli asset
Per altre informazioni, vedere il benchmark della sicurezza cloud di Microsoft: Gestione delle risorse.
AM-2: Usare solo i servizi approvati
Caratteristiche
Supporto della Politica di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere benchmark della sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Caratteristiche
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e inviare avvisi in caso di problemi di sicurezza. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Caratteristiche
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli alla propria destinazione dati, ad esempio un account di archiviazione o un Log Analytics workspace. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee Guida alla Configurazione: abilitare i registri delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Riferimento: Attivare la verifica e il monitoraggio dello stato di integrità per Microsoft Sentinel
Backup e ripristino
Per altre informazioni, vedere il benchmark della sicurezza cloud Microsoft : Backup e ripristino.
BR-1: Garantire backup automatici regolari
Caratteristiche
Azure Backup
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
linee guida alla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica benchmark della sicurezza cloud Microsoft
- Altre informazioni sulle baseline di sicurezza di Azure