Microsofts säkerhetsbaslinje för Microsoft Sentinel
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Microsoft Sentinel. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Microsoft Sentinel.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Not
Funktioner som inte är tillämpliga på Microsoft Sentinel har exkluderats. Om du vill se hur Microsoft Sentinel helt mappar till Microsoft Cloud Security Benchmark kan du läsa fullständig mappningsfil för Microsoft Sentinel-säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Microsoft Sentinel, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Säkerhet |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falsk |
| Lagrar kundinnehåll i vila | Sann |
Nätverkssäkerhet
Mer information finns i Microsoft cloud security benchmark: Network security.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering av virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Identitetshantering
Mer information finns i Microsoft cloud security benchmark: Identity management.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Autentisera spelböcker till Microsoft Sentinel
Tjänstens huvudprinciper
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänsteprinciper. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Autentisera spelböcker till Microsoft Sentinel
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplan kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllda inloggningsbeteenden eller kräva organisationshanterade enheter för specifika program.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Description: Dataplan stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsoft cloud security benchmark: Privileged access.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala administratörskonton
Description: Service innehåller begreppet lokalt administrativt konto. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-7: Följ tillräcklig administrativ princip (minsta behörighet)
Funktioner
Azure RBAC för dataplan
Description: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöttad | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure RBAC för att skapa och tilldela roller i ditt säkerhetsåtgärdsteam för att bevilja lämplig åtkomst till Microsoft Sentinel. De olika rollerna ger dig detaljerad kontroll över vad Microsoft Sentinel-användare kan se och göra. Azure-roller kan tilldelas direkt på Microsoft Sentinel-arbetsytan, eller i en prenumeration eller resursgrupp som arbetsytan tillhör, som Microsoft Sentinel ärver.
Referens: roller och behörigheter i Microsoft Sentinel
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Kundlåsbox
Beskrivning: Customer Lockbox kan användas för åtkomst till Microsofts support. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd verktyg som Azure Purview, Azure Information Protection och Azure SQL Data Discovery and Classification för att centralt genomsöka, klassificera och märka känsliga data som finns i Azure, lokalt, Microsoft 365 eller andra platser.
Referens: Självstudie: Integrera Microsoft Sentinel och Microsoft Purview
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Description: Service stöder DLP-lösning för att övervaka känslig dataförflyttning (i kundens innehåll). Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från Azure Marketplace eller en Microsoft 365 DLP-lösning för att framtvinga detektiv- och/eller förebyggande kontroller för att förhindra dataexfiltrering.
Referens: Självstudie: Integrera Microsoft Sentinel och Microsoft Purview
DP-3: Kryptera känsliga data under överföring
Funktioner
Kryptering av data under transit
Beskrivning: Tjänsten stöder kryptering av data i transit för dataplattform. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds; allt kundinnehåll som är vilande krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Datakryptering i vila med CMK
Beskrivning: Kryptering av vilande data med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Om det krävs för regelefterlevnad definierar du användningsfall och tjänstomfattning där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Microsoft Sentinel-lösningen använder flera lagringsresurser för logginsamling och funktioner, inklusive ett dedikerat Log Analytics-kluster. Som en del av Microsoft Sentinel CMK-konfigurationen måste du konfigurera CMK-inställningarna i det relaterade log analytics-dedikerade klustret. Data som sparats av Microsoft Sentinel i andra lagringsresurser än Log Analytics krypteras också med hjälp av den kundhanterade nyckel som konfigurerats för det dedikerade Log Analytics-klustret.
Referens: Konfigurera kundhanterad nyckel för Microsoft Sentinel
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Description: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Understött | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Konfigurera kundhanterad nyckel för Microsoft Sentinel
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Description: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Kapitalförvaltning
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Stöd för Azure Policy
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Logghantering och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Description: Service har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datalagring, exempelvis ett lagringskonto eller ett Log Analytics-arbetsområde. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller så har Azure SQL resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Azure-tjänst och resurstyp.
Referens: Aktivera granskning och hälsoövervakning för Microsoft Sentinel
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery.
BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Nästa steg
- Se översikten Microsoft Cloud Security Benchmark
- Läs mer om Azure-säkerhetsbaslinjer