Требования к безопасности для Центра партнеров

Соответствующие роли: агент администрирования

Панель мониторинга требований к безопасности помогает оценить и повысить текущую безопасность в Центре партнеров. Эта функция предоставляет партнерам прямого счета и косвенным поставщикам доступ к оценке безопасности.

На панели мониторинга требований к безопасности можно отслеживать и настраивать параметры безопасности, политики и процедуры. Панель мониторинга позволяет заранее управлять и улучшать состояние безопасности и управлять принципами нулевого доверия.

Панель мониторинга предоставляет практические рекомендации, основанные на уязвимостях системы и распространенных шаблонах атак. Реализуя эти рекомендации и регулярно проверяя обновления, вы можете укрепить защиту безопасности.

Панель мониторинга объединяет состояние всех требований безопасности в единую комплексную оценку, чтобы быстро оценить текущую готовность к безопасности. Чем выше оценка, тем ниже выявленная степень риска.

Ключевые функции

Ниже приведен пример панели мониторинга требований к безопасности .

Обзор

В верхней части панели мониторинга отображаются два поля обзора:

• Оценка безопасности показывает моментальный снимок состояния безопасности в Центре партнеров.
• Требования к безопасности показывают общее количество требований безопасности, в том числе итогов для требований, которые завершены и не завершены.

Раздел "Требования к безопасности"

В разделе "Требования к безопасности" показана курированная таблица требований к безопасности и рекомендаций. Эти требования и рекомендации помогут вам определить области улучшения работоспособности безопасности, устранить проблемы, снизить риск и повысить общую безопасность.

В таблице есть следующие столбцы:

• Требования к безопасности: краткое описание требования к безопасности.

• Описание. Подробное описание требования к безопасности.

• Состояние: указывает, завершено ли требование.

• Аналитика: практические данные, адаптированные к отдельным требованиям, предлагая дополнительные сведения о областях, требующих внимания.

• Оценка: оценка каждого требования, которая способствует общему рейтингу безопасности.

• Инструкции. Прямые ссылки на пошаговые руководства, которые помогут вам понять и реализовать каждую рекомендацию, чтобы повысить уровень безопасности. Эти ссылки также отображаются в разделе "Дополнительные ресурсы ".

• Действие. Ссылки на страницу, в которой можно устранить требование.

  Примечание.

  Если у вас нет правильной роли или доступа, обратитесь к правильному лицу в вашей организации.

Раздел "Будущие требования"

В разделе "Будущие требования" показан предварительный просмотр требований, которые будут реализованы в ближайшее время. Требования, которые не завершены, вычитают баллы из общей оценки в будущем.

Вычисление оценки безопасности

Оценка безопасности — это десятичное (целое число с плавающей запятой) от 0 до 100. Оценка отражает состояние безопасности клиента.

Центр партнеров вычисляет оценку безопасности с помощью показателей безопасности отдельных требований к безопасности. Каждое требование безопасности получает максимальную оценку от 0 до 20. Максимальная оценка требования безопасности основана на относительном весе этого требования по сравнению с другими требованиями. Максимальная оценка зависит от смены бизнес-приоритетов.

Текущий алгоритм вычисления предоставляет максимальную оценку для соответствующего требования. В противном случае оценка составляет 0.

Вычисление общей оценки безопасности использует следующую формулу: (сумма отдельных показателей требований к безопасности) / (сумма отдельных показателей максимального требования безопасности) * 100.

Требования к безопасности и инструкции по реализации

Примечание.

Решения многофакторной проверки подлинности (MFA), отличные от Майкрософт, такие как Okta, Ping и Duo, не поддерживаются в рекомендациях по многофакторной проверке подлинности удостоверений. Решения MFA, отличные от Майкрософт, не учитываются в вычислениях оценки требований.

Требование. Включение MFA

Баллы оценки безопасности: 20

Требование MFA для административных ролей затрудняет доступ злоумышленников к учетным записям. Административные роли имеют более высокие разрешения, чем обычные пользователи. Если какая-либо из этих учетных записей скомпрометирована, предоставляется вся организация.

Как минимум, защитите следующие роли:

• Глобальный администратор
• Администратор проверки подлинности
• Администратор выставления счетов
• Администратор условного доступа
• Администратор Exchange
• Администратор службы поддержки
• Администратор безопасности
• Администратор SharePoint
• Администратор пользователей

Инструкции по реализации

Примечание.

Чтобы рассмотреть это требование, необходимо убедиться, что каждый пользователь администратора охватывается требованием MFA по умолчанию безопасности, условным доступом или MFA для каждого пользователя. Кроме того, необходимо убедиться, что каждый пользователь администратора настроит дополнительные факторы проверки (например, устройство для запроса проверки).

Это требование включает учетные записи аварийного доступа. Дополнительные сведения см. в статье "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

• Корпорация Майкрософт предоставляет пошаговые инструкции по выбору и включению правильного метода MFA для вашей организации в Центр администрирования Microsoft 365. Перейдите к мастеру MFA Microsoft 365.
• Если вы хотите выполнить реализацию самостоятельно, и вы используете бесплатный идентификатор Microsoft Entra ID, включите параметры безопасности по умолчанию. Помните, что параметры безопасности по умолчанию и условный доступ нельзя использовать параллельно. Дополнительные сведения см. в разделе "Безопасность по умолчанию" в идентификаторе Microsoft Entra.
• Если вы инвестировали в лицензии Microsoft Entra ID P1 или P2, вы можете создать политику условного доступа с нуля или с помощью шаблона. Выполните действия, чтобы создать политику условного доступа.
• Следите за ходом регистрации методов проверки подлинности администратора, перейдя в сведения о регистрации методов проверки>подлинности безопасности идентификатора Microsoft Entra ID>>(требуется лицензия Microsoft Entra ID P1 или P2). Перейдите к сведениям о регистрации пользователей.

Ресурсы

• Как работает MFA
• Планирование развертывания многофакторной проверки подлинности Microsoft Entra
• Стандартные параметры безопасности в Microsoft Entra ID
• Управление учетными записями для аварийного доступа в Microsoft Entra ID

Требование. Ответ на оповещения составляет 24 часа или меньше в среднем

Баллы оценки безопасности: 20

Вы должны выполнять действия и реагировать на оповещения в течение 24 часов после их появления в Центре партнеров с целью реагирования в течение 1 часа. Это требование помогает обеспечить немедленную защиту клиентов и минимизировать финансовые потери. Время отклика измеряется с момента появления оповещения в Центре партнеров до времени, когда пользователь-партнер вносит изменения в оповещение, например обновление его состояния или кода причины. Среднее время отклика вычисляется на основе последних 30 дней активности.

Инструкции по реализации

• Убедитесь, что у вас настроен контакт безопасности Центра партнеров. По умолчанию этот адрес электронной почты получает уведомления об оповещениях. Вы можете использовать общий почтовый ящик или почтовый ящик, который передает систему запросов.
• Сохраняйте сборник схем реагирования на инциденты, определяющий роли, обязанности, планы реагирования и контактные данные.
• Укажите код причины для каждого оповещения. Корпорация Майкрософт использует отзывы для оценки эффективности созданных оповещений.

Ресурсы

• Оповещения Центра партнеров
• Выявление мошенничества в Azure и уведомление о нем
• контакт с безопасностью поставщик облачных решений

Требование. Предоставление контакта безопасности

Баллы оценки безопасности: 10

Если любая проблема, связанная с безопасностью, возникает в клиенте партнера поставщик облачных решений (CSP), корпорация Майкрософт должна иметь возможность сообщить об этой проблеме и рекомендовать соответствующие шаги назначенному контакту безопасности в партнерской организации. Этот контакт должен действовать для устранения и устранения проблем безопасности как можно скорее.

Некоторые роли в Центре партнеров могут не иметь необходимых знаний или связаться с важными инцидентами, связанными с безопасностью. Все партнеры должны обновить контакт безопасности для своего клиента-партнера.

Контакт безопасности — это лицо или группа людей, которые отвечают за проблемы, связанные с безопасностью в партнерской организации.

Инструкции по реализации

Заполните адрес электронной почты, номер телефона и имя человека или группы, ответственной за реагирование на инциденты безопасности в вашей компании.

Ресурсы

• контакт с безопасностью поставщик облачных решений

Требование. Все подписки Azure имеют бюджет расходов

Баллы оценки безопасности: 10

Отслеживание использования подписок Azure клиентов помогает клиентам управлять их использованием Azure и избегать расходов, которые выше, чем ожидалось. Вы должны обсудить с клиентами свои ежемесячные ожидания расходов и задать бюджет расходов на их подписки.

Вы можете настроить отправку уведомлений, если клиент использует 80 % или более настроенного бюджета расходов. Бюджет расходов не помещет потолок на расходы. Важно уведомить клиентов, когда они достигают 80 % использования, чтобы они могли планировать завершение работы ресурсов или ожидать более высокий счет.

Примечание.

Партнеры, которые находятся на новом коммерческом опыте и имеют бюджет расходов, настроенный будет получать баллы в отношении этого требования. Партнеры, которые находятся на традиционном опыте, не получат никаких баллов.

Инструкции по реализации

См. статью "Настройка бюджета расходов Azure для клиентов".

Требование. Пользователи с административными ролями в клиентах клиента должны использовать MFA

Баллы оценки безопасности: 20

Требование MFA для административных ролей в клиенте клиента затрудняет доступ к учетным записям злоумышленников. Административные роли имеют более высокие разрешения, чем обычные пользователи. Если какая-либо из этих учетных записей скомпрометирована, предоставляется вся организация.

Как минимум, защитите следующие роли:

• Глобальный администратор
• Администратор проверки подлинности
• Администратор выставления счетов
• Администратор условного доступа
• Администратор Exchange
• Администратор службы поддержки
• Администратор безопасности
• Администратор SharePoint
• Администратор пользователей

Инструкции по реализации

Перейдите к статистике MFA клиента. На этой странице выделены ключевые сведения о состоянии безопасности MFA каждого клиента:

• Клиент: имя клиента.
• Администраторы с поддержкой MFA: количество администраторов в клиенте клиента, которые включили MFA.
• Неадминистры с поддержкой MFA: количество пользователей, не являющихся администраторами, в клиенте клиента с включенным MFA.
• Общее число пользователей: общее количество пользователей в клиенте клиента.

Статистику конкретного клиента можно найти на той же странице с помощью поля поиска .

Подробные инструкции см. в разделе "Управление безопасностью MFA клиента".