Punkt odniesienia zabezpieczeń firmy Microsoft dla usługi Microsoft Sentinel
Ten bazowy poziom zabezpieczeń stosuje wytyczne z wersji 1.0 testu porównawczego zabezpieczeń chmurowych firmy Microsoft do usługi Microsoft Sentinel. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązanych wskazówek dotyczących usługi Microsoft Sentinel.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu usługi Microsoft Defender for Cloud. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu usługi Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Nota
Funkcje, które nie dotyczą Microsoft Sentinel, zostały wykluczone. Aby zobaczyć, jak usługa Microsoft Sentinel całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Microsoft Sentinel.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Microsoft Sentinel, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Charakterystyka zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Bezpieczeństwo |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Fałszywy |
| Przechowuje dane klienta w stanie spoczynku | Prawda |
Zabezpieczenia sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja z siecią wirtualną
Opis: Usługa obsługuje wdrażanie w prywatnej Sieci Wirtualnej (VNet) klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Lokalne metody uwierzytelniania na potrzeby dostępu do warstwy danych
Opis: metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Zarządzane tożsamości
Opis: Działania płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W miarę możliwości używaj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, ponieważ umożliwiają one uwierzytelnianie w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie za pomocą Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
dokumentacja: Uwierzytelnianie podręczników w usłudze Microsoft Sentinel
Podmioty usługi
Opis: płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Wsparcie | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Fałsz | Klient |
wskazówki dotyczące konfiguracji: nie ma żadnych aktualnych wytycznych firmy Microsoft dotyczących tej funkcji konfiguracyjnej. Przejrzyj tę funkcję zabezpieczeń i ustal, czy Twoja organizacja chce ją skonfigurować.
Referencje: Uwierzytelnianie scenariuszy w usłudze Microsoft Sentinel
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: Zdefiniuj odpowiednie warunki i kryteria dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
IM-8: Ograniczanie ekspozycji poświadczeń i tajemnic
Funkcje
Obsługa integracji i przechowywania poświadczeń usługi oraz wpisów tajnych w usłudze Azure Key Vault
Opis: płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft : Uprzywilejowany dostęp.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Kontrola dostępu Azure Role-Based (Azure RBAC) może być używana do zarządzania dostępem do operacji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
Wskazówki dotyczące konfiguracji: użyj Azure RBAC do tworzenia i przypisywania ról w zespole ds. operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym usługi Microsoft Sentinel lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który dziedziczy usługa Microsoft Sentinel.
dokumentacja: role i uprawnienia w usłudze Microsoft Sentinel
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Customer Lockbox może być używana do uzyskiwania dostępu do wsparcia Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj narzędzi, takich jak Azure Purview, Azure Information Protection i Azure SQL Data Discovery i Classification, aby centralnie skanować, klasyfikować i oznaczać wszelkie poufne dane, które znajdują się na platformie Azure, lokalnie, na platformie Microsoft 365 lub w innych lokalizacjach.
reference: Samouczek: Integracja Microsoft Sentinel i Microsoft Purview
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania ruchu poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: jeśli jest to wymagane dla zgodności z zasadami ochrony przed utratą danych (DLP), możesz użyć rozwiązania DLP korzystającego z serwera z witryny Azure Marketplace lub rozwiązania DLP platformy Microsoft 365 w celu wdrożenia mechanizmów kontrolnych o charakterze detekcyjnym i/lub prewencyjnym, aby zapobiegać eksfiltracji danych.
Odniesienie: Samouczek: integrowanie usług Microsoft Sentinel i Microsoft Purview
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych w stanie spoczynku przy użyciu kluczy platformy jest obsługiwane, a wszelka zawartość klienta w stanie spoczynku jest szyfrowana tymi kluczami zarządzanymi przez Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
DP-5: Użyj opcji klucza zarządzanego przez klienta podczas szyfrowania danych w stanie spoczynku, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu Klucza Głównego Zarządzanego przez Klienta (CMK)
Opis: Szyfrowanie danych w stanie spoczynku przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Fałsz | Klient |
wskazówki dotyczące konfiguracji: jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Rozwiązanie Microsoft Sentinel używa kilku zasobów pamięci do gromadzenia dzienników oraz obsługi funkcji, w tym dedykowanego klastra usługi Log Analytics. W ramach konfiguracji CMK w usłudze Microsoft Sentinel, należy skonfigurować ustawienia CMK w powiązanym, dedykowanym klastrze usługi Log Analytics. Dane zapisane przez usługę Microsoft Sentinel w zasobach magazynu innych niż usługa Log Analytics również będą szyfrowane przy użyciu klucza zarządzanego przez klienta skonfigurowanego dla dedykowanego klastra usługi Log Analytics.
reference: Konfiguracja klucza zarządzanego przez klienta w Microsoft Sentinel (Konfigurowanie klucza zarządzanego przez klienta w usłudze Microsoft Sentinel)
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa integruje Azure Key Vault z dowolnymi kluczami klienta, tajemnicami lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Zmieniaj i wycofuj klucze w usłudze Azure Key Vault oraz w swojej usłudze na podstawie określonego harmonogramu lub gdy nastąpi wycofanie lub kompromitacja klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływane za pośrednictwem identyfikatorów kluczy przez usługę lub aplikację. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Referencja: Konfigurowanie klucza zarządzanego przez klienta w usłudze Microsoft Sentinel
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Oferta usług/produktów Microsoft Defender
Opis: Usługa posiada rozwiązanie Microsoft Defender specyficzne dla oferty, które monitoruje i zgłasza alerty dotyczące problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego odbiornika danych, takiego jak konto magazynowe lub obszar roboczy Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
wskazówki dotyczące konfiguracji : włączanie dzienników zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają tajemnicę z magazynu kluczy, a usługa Azure SQL ma dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Reference: Włącz audyt i monitorowanie kondycji dla usługi Microsoft Sentinel
Tworzenie kopii zapasowej i odzyskiwanie
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft : Tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Usługa może być kopiowana zapasowo przez usługę Azure Backup. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwość tworzenia natywnych kopii zapasowych usługi
Opis: usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.