Microsoft-beveiligingsbasislijn voor Microsoft Sentinel
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Microsoft Sentinel. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Microsoft Sentinel.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met Behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies niet van toepassing op Microsoft Sentinel zijn uitgesloten. Als u wilt zien hoe Microsoft Sentinel volledig in kaart wordt gebracht door de Microsoft-cloudbeveiligingsbenchmark, bekijkt u het volledige toewijzingsbestand van de Microsoft Sentinel-beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van microsoft Sentinel met een hoge impact, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Veiligheid |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Onwaar |
| Slaat klantgegevens in rust op | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiligingvoor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het privé-VNet (Virtual Network) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheervoor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: methoden voor lokale verificatie die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Configuratierichtlijnen: Gebruik azure beheerde identiteiten in plaats van service-principals indien mogelijk, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig door het platform beheerd, periodiek gewijzigd en beveiligd, waardoor hard-coded referenties in broncode of configuratiebestanden worden vermeden.
Referentie: Playbooks authentiseren bij Microsoft Sentinel
Service Principals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: er zijn geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Referentie: Playbooks authenticeren bij Microsoft Sentinel
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot het gegevensvlak kan worden beheerd met behulp van het beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Ondersteuning voor de integratie en opslag van servicegegevens en geheime sleutels in Azure Key Vault
Beschrijving: Het datavlak biedt natuurlijke ondersteuning voor Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Bevoegde toegang
Zie de Microsoft-cloudbeveiligingsbenchmark: Bevoegde toegangvoor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: Service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Functies
Azure RBAC voor datavlakbeheer
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: Gebruik Azure RBAC om rollen te maken en toe te wijzen binnen uw beveiligingsteam om de juiste toegang te verlenen tot Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat Microsoft Sentinel-gebruikers kunnen zien en doen. Azure-rollen kunnen rechtstreeks in de Microsoft Sentinel-werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, waarvan Microsoft Sentinel deel uitmaakt.
Referentie: Rollen en machtigingen in Microsoft Sentinel
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klantenkluis
Beschrijving: Klanten-lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeschermingvoor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: hulpprogramma's zoals Azure Purview, Azure Information Protection en Azure SQL Data Discovery en Azure SQL Data Discovery en Classification gebruiken om gevoelige gegevens die zich in Azure, on-premises, Microsoft 365 of andere locaties bevinden centraal te scannen, classificeren en labelen.
Reference: Zelfstudie: Microsoft Sentinel en Microsoft Purview integreren
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om rechercheur en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.
Reference: Zelfstudie: Microsoft Sentinel en Microsoft Purview integreren
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Versleuteling van gegevens tijdens transport
Beschrijving: Service ondersteunt gegevensversleuteling voor gegevens tijdens overdracht voor het dataplane. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van data-at-rest met behulp van platformsleutels wordt ondersteund, alle klantgegevens in rust worden versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevensversleuteling in rust, met behulp van door de klant beheerde sleutels, wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Klant |
configuratierichtlijnen: definieer indien vereist voor naleving van regelgeving het use case- en servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig is. Gegevensversleuteling in rusttoestand inschakelen en implementeren met een door de klant beheerde sleutel voor deze diensten.
De Microsoft Sentinel-oplossing maakt gebruik van verschillende opslagbronnen voor logboekverzameling en -functies, waaronder een toegewezen Log Analytics-cluster. Als onderdeel van de CMK-configuratie van Microsoft Sentinel moet u de CMK-instellingen configureren op het gerelateerde toegewezen Log Analytics-cluster. Gegevens die zijn opgeslagen door Microsoft Sentinel in andere opslagbronnen dan Log Analytics, worden ook versleuteld met behulp van de door de klant beheerde sleutel die is geconfigureerd voor het toegewezen Log Analytics-cluster.
Reference: Door de klant beheerde sleutel van Microsoft Sentinel instellen
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Roteer en herroep uw sleutels in Azure Key Vault en uw service op basis van een gedefinieerd schema, of wanneer er een buitengebruikstelling of inbreuk op een sleutel is. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Reference: Door de klant beheerde sleutel van Microsoft Sentinel instellen
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Vermogensbeheer
Zie de Microsoft Cloud Security Benchmark: Asset Managementvoor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Logboekregistratie en detectie van bedreigingen
Zie de Microsoft-cloudbeveiligingsbenchmark: Logboekregistratie en detectie van bedreigingenvoor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevensbron verzenden, zoals een opslagaccount of loganalyses-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: resourcelogboeken voor de service inschakelen. Key Vault biedt bijvoorbeeld ondersteuning voor extra resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of azure SQL heeft resourcelogboeken waarmee aanvragen voor een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Referentie: Auditing en gezondheidsbewaking inschakelen voor Microsoft Sentinel
Back-up en herstel
Zie de Microsoft-cloudbeveiligingsbenchmark: Back-up en herstelvoor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: De service kan worden geback-upt met Azure Backup. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheden (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen