Punkt odniesienia zabezpieczeń platformy Azure dla Network Watcher
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Network Watcher. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Network Watcher.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do Network Watcher zostały wykluczone. Aby zobaczyć, jak Network Watcher całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Network Watcher.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Network Watcher, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Sieć |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Fałsz |
| Przechowuje zawartość klienta magazynowanych | Fałsz |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby uzyskać dostęp do danych Network Watcher. Network Watcher ma kilka wbudowanych ról RBAC platformy Azure, które umożliwiają szczegółową kontrolę uprawnień dostępu.
Dokumentacja: Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji Network Watcher
Im-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Network Watcher ma wiele wbudowanych ról RBAC platformy Azure, które umożliwiają szczegółową kontrolę nad uprawnieniami opartymi na rolach dla użytkowników w celu uzyskania dostępu do Network Watcher.
Dokumentacja: Uprawnienia kontroli dostępu opartej na rolach platformy Azure wymagane do korzystania z funkcji Network Watcher
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Dane w szyfrowaniu tranzytowym
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Dane przesyłane
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: usługa Azure Network Watcher nie przechowuje danych klientów magazynowanych z wyjątkiem usługi Monitor połączenia przechowywania danych w obszarze roboczym usługi Log Analytics w wybranym przez klienta.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używaj tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Azure Policy wbudowane definicje usługi Azure Virtual Network
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla oferty usług/produktów
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.