Базовые показатели безопасности Майкрософт для Microsoft Sentinel
Этот базовый уровень безопасности применяет рекомендации по Microsoft Cloud Security Benchmark версии 1.0 к Microsoft Sentinel. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Microsoft Sentinel.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Заметка
Функции, не применимые к Microsoft Sentinel, были исключены. Чтобы узнать, как Microsoft Sentinel полностью сопоставляется с эталонным показателем безопасности Microsoft для облачных сервисов, см. файл полного сопоставления базовых показателей безопасности Microsoft Sentinel.
Профиль безопасности
Профиль безопасности обобщает поведение Microsoft Sentinel с высоким влиянием, что может привести к усиленным мерам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Безопасность |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Неправда |
| Хранит данные клиента в состоянии покоя | Истина |
Безопасность сети
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: Network Security.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
описание. Служба поддерживает развертывание в частной виртуальной сети клиента (виртуальная сеть). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неверно | Неприменимо | Неприменимо |
Руководство по конфигурации. Эта функция не поддерживается для обеспечения безопасности данного сервиса.
Управление идентификацией
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация в Azure AD для доступа к плоскости данных
Описание: Служба поддерживает аутентификацию Azure AD для доступа к уровню данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Истинный | Корпорация Майкрософт |
руководство по настройке. Дополнительные конфигурации не требуются, так как при развертывании по умолчанию это уже включено.
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: методы локальной аутентификации, поддерживаемые для доступа к каналу передачи данных, например, локальное имя пользователя и пароль. Дополнительные сведения.
| Поддержка | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые удостоверения
Описание: Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неверно | Клиент |
Руководство по настройке: Используйте управляемые удостоверения Azure вместо служебных учетных записей, когда это возможно, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Идентификатор : Аутентификация плейбуков в Microsoft Sentinel
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью учетных записей служб. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | ложь | Клиент |
Рекомендации по настройке: нет рекомендаций Microsoft по настройке этой функции на данный момент. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
справка : Аутентификация плейбуков в Microsoft Sentinel
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к каналу данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложный | Клиент |
руководство по настройке. Определение применимых условий и критериев условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение служебных учетных данных и секретов в Azure Key Vault
Описание: Уровень данных поддерживает нативное использование Azure Key Vault для хранилища учетных данных и секретов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Руководство по конфигурации: Эта функция не поддерживается для обеспечения безопасности этой службы.
Привилегированный доступ
Дополнительные сведения см. в эталоне облачной безопасности Microsoft: Привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание: сервис имеет концепцию локальной административной учетной записи. Узнайте больше.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неверно | Неприменимо | Неприменимо |
руководство по настройке: Эта функция не поддерживается для обеспечения безопасности этого сервиса.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание: Azure управление доступом Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: Используйте Azure RBAC для создания и назначения ролей в вашей команде по операциям безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли обеспечивают точное управление тем, что пользователи Microsoft Sentinel могут видеть и делать. Роли Azure можно назначать непосредственно в рабочей области Microsoft Sentinel или в подписке или группе ресурсов, которой принадлежит рабочая область и которую наследует Microsoft Sentinel.
: Роли и разрешения в Microsoft Sentinel
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Клиентский сейф
описание: блокировка клиента может использоваться для доступа в службу поддержки Майкрософт. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Руководство по настройке: Эта функция не поддерживается для обеспечения безопасности этой услуги.
Защита данных
Дополнительную информацию см. в разделе эталон безопасности облака Microsoft: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание: Средства (например, Azure Purview или Azure Information Protection) можно использовать для выявления и классификации данных в службе. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложь | Клиент |
Руководство по настройке. Используйте такие инструменты, как Azure Purview, Azure Information Protection и Обнаружение и классификация данных Azure SQL для центрального сканирования, классификации и маркировки всех конфиденциальных данных, которые находятся в Azure, локальной среде, Microsoft 365 или других местах.
Справочник : руководство по интеграции Microsoft Sentinel и Microsoft Purview
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Услуга поддерживает решение DLP (Data Loss Prevention) для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Узнайте больше.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Неверно | Клиент |
руководство по настройке. Если требуется для обеспечения соответствия требованиям защиты от потери данных (DLP), вы можете использовать решение DLP на основе хоста из Azure Marketplace или решение по предотвращению утраты данных в Microsoft 365 для обеспечения контроля с функцией обнаружения и/или предотвращения, чтобы предотвратить утечку данных.
Справочник : руководство по интеграции Microsoft Sentinel и Microsoft Purview
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в процессе передачи
Описание. Служба поддерживает шифрование данных при передаче для канала передачи данных. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Правда | Корпорация Майкрософт |
Руководство по настройке: Дополнительные конфигурации не требуются, так как это включено в стандартное развертывание.
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
описание: Шифрование данных в состоянии покоя с использованием ключей платформы поддерживается; любое содержимое клиента в состоянии покоя шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Верно | Корпорация Майкрософт |
Руководство по настройке: Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание: Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для контента клиента, хранящегося службой. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область службы, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Решение Microsoft Sentinel использует несколько ресурсов хранилища для сбора журналов и функций, включая выделенный кластер Log Analytics. В рамках конфигурации CMK Microsoft Sentinel необходимо настроить параметры CMK в связанном выделенном кластере Log Analytics. Данные, сохраненные Microsoft Sentinel в ресурсах хранилища, отличных от Log Analytics, также будут зашифрованы с помощью ключа, управляемого клиентом, настроенного для выделенного кластера Log Analytics.
Справочник : Настройка ключа, управляемого клиентом Microsoft Sentinel
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание: Служба поддерживает интеграцию с Azure Key Vault для любых клиентских ключей, секретов или сертификатов. Узнайте больше.
| Поддержка | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротируйте и отзывайте ключи в Azure Key Vault и вашей службе по определенному расписанию или в случае вывода ключа из использования или его компрометации. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Ссылка : Настройка ключа, управляемого пользователем Microsoft Sentinel
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание: Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
рекомендации по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Управление ресурсами
Дополнительные сведения см. в статье microsoft cloud security benchmark: asset management.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять при помощи политик Azure. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неверно | Неприменимо | Неприменимо |
рекомендации по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: журналирование и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для сервисов и продуктовых предложений
Описание: служба предлагает специализированное решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Руководство по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
LT-4. Включение ведения журнала для целей исследования безопасности
Функции
Журналы ресурсов Azure
описание: служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложь | Клиент |
Руководство по настройке: Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
Справочник : Включите аудит и мониторинг работоспособности для Microsoft Sentinel
Резервное копирование и восстановление
Дополнительные сведения см. в статье microsoft cloud security benchmark: Backup and Recovery.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может использоваться для резервного копирования с помощью Azure Backup. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для обеспечения защиты этой службы.
Встроенные возможности резервного копирования
Описание: служба поддерживает собственную функцию резервного копирования (если не используется Azure Backup). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Рекомендации по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором Microsoft бенчмарка безопасности облака
- Дополнительные сведения о базовых мерах безопасности Azure