Microsoft Sentinel 的 Microsoft 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版 的指引套用到 Microsoft Sentinel。 Microsoft雲端安全性效能評定提供如何在 Azure 上保護您的雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制,以及適用於 Microsoft Sentinel 的相關指引分組。
您可以使用 Microsoft Defender 雲端專用來監控此安全性基準及其建議。 Azure 原則定義將會列在適用於雲端入口網站的 Microsoft Defender 的法規合規性一節中。
當功能具有相關的 Azure 原則定義時,會列在此基準中,以協助您依據 Microsoft 雲端安全性基準中的控管措施和建議來測量合規性。 某些建議可能需要付費Microsoft Defender 方案,才能啟用特定安全性案例。
注意
已排除不適用於 Microsoft Sentinel 的功能。 若要查看 Microsoft Sentinel 如何全面對應 Microsoft 雲端安全性基準,請參閱 完整的 Microsoft Sentinel 安全性基準對應檔案。
安全設定檔
安全性配置文件摘要說明 Microsoft Sentinel 的具有高影響的行為,這可能會引發更多的安全性考量。
| 服務行為屬性 | 價值 |
|---|---|
| 產品類別 | 安全 |
| 客戶可以使用主機 / 操作系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路 | 假 |
| 儲存靜止狀態的客戶內容 | 正確 |
網路安全性
如需詳細資訊,請參閱雲端安全性基準Microsoft :網路安全性。
NS-1:建立網路分割界限
特徵
虛擬網路整合
描述:服務支援部署到客戶的專用虛擬網路(VNet)。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
身分識別管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :身分識別管理。
IM-1:使用集中式身分識別和驗證系統
特徵
資料平面存取必須使用 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 是 | Microsoft |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
數據平面存取的本地驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機用戶名稱和密碼。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
IM-3:安全地且自動管理應用程式身分識別
特徵
受管理的身份
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:盡可能使用 Azure 受控識別,而不是服務主體,這可以向支援 Azure Active Directory(Azure AD) 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 組態設定責任 |
|---|---|---|
| 是真的 | 假 | 客戶 |
組態指引:這項功能設定目前沒有Microsoft指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。
IM-7:根據條件限制資源存取
特徵
數據平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:定義工作負載中 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或允許來自特定位置的存取、封鎖具風險的登入行為,或要求使用組織管理的裝置來存取特定應用程式。
IM-8:限制認證和秘密的公開
特徵
服務憑證和機密在 Azure Key Vault 的支援整合與存儲
描述:資料平面支援原生使用 Azure Key Vault 作為憑證與機密的存放區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
特殊許可權存取
如需詳細資訊,請參閱雲端安全性基準Microsoft :特殊許可權存取。
PA-1:分隔及限制高許可權/系統管理使用者
特徵
本機系統管理員帳戶
描述:服務具有本地系統管理帳戶的概念。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
PA-7:遵循適當的管理(最小權限)原則
特徵
適用於資料平面的 Azure RBAC
描述:Azure Role-Based 訪問控制(Azure RBAC)可用來管理服務資料平面的操作存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
組態指引:使用 Azure RBAC 在安全性作業小組內建立和指派角色,以授與Microsoft Sentinel 的適當存取權。 不同的角色可讓您更細微地控制 Microsoft Sentinel 使用者可以看到和執行的操作。 Azure 角色可以直接在 Microsoft Sentinel 工作區中指派,或在工作區所屬的訂用帳戶或資源群組中指派,這些角色將被 Microsoft Sentinel 繼承。
參考:在 Microsoft Sentinel 中的 角色和許可權
PA-8:確定雲端服務提供者支援的存取流程
特徵
客戶加密箱
描述:Customer Lockbox 可用於 Microsoft 支援訪問。 深入瞭解。
| 支援 | 默認為啟用 | 組態責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
數據保護
如需詳細資訊,請參閱雲端安全性基準Microsoft :數據保護。
DP-1:探索、分類和標記敏感數據
特徵
敏感數據探索和分類
描述:工具(例如 Azure Purview 或 Azure 資訊保護)可用於服務中的數據探索和分類。 深入瞭解。
| 受支援的 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:使用 Azure Purview、Azure 資訊保護、Azure SQL 數據探索和分類等工具,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 或其他位置的任何敏感數據。
參考:教程:整合 Microsoft Sentinel 和 Microsoft Purview
DP-2:監視以敏感數據為目標的異常和威脅
特徵
數據外洩/外洩防護
描述:服務支援 DLP 解決方案以監控客戶內容中的敏感數據移動。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:如果需要符合數據外洩防護 (DLP),您可以使用 Azure Marketplace 或 Microsoft 365 DLP 解決方案的主機型 DLP 解決方案,強制執行偵測和/或預防控制,以防止數據外泄。
參考:教學課程:整合Microsoft Sentinel 和 Microsoft Purview
DP-3:加密傳輸中的敏感數據
特徵
加密傳輸中的數據
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 真實 | Microsoft |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
DP-4:預設啟用待用數據加密
特徵
使用平臺密鑰對靜止數據進行加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些Microsoft受控密鑰加密。 深入瞭解。
| 支援 | 默認為啟用 | 系統配置責任 |
|---|---|---|
| 真 | 真 | Microsoft |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
特徵
使用 CMK 進行靜止資料加密
描述:服務所儲存的客戶內容支援使用客戶管理的密鑰進行靜態資料加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真的 | 假 | 客戶 |
設定指引:如果需要法規合規性,請定義使用客戶自控密鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶管理的密鑰來啟用和實作待用數據加密。
Microsoft Sentinel 解決方案會使用數個記憶體資源進行記錄收集與功能,包括 Log Analytics 專用叢集。 在Microsoft Sentinel CMK 組態中,您必須在相關的Log Analytics專用叢集上設定CMK設定。 Microsoft Sentinel 儲存在 Log Analytics 以外的記憶體資源中的數據,也會使用針對專用 Log Analytics 叢集設定的客戶管理密鑰進行加密。
參考:設定 Microsoft Sentinel 客戶自控密鑰
DP-6:使用安全金鑰管理程式
特徵
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure Key Vault 整合。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:使用 Azure Key Vault 來建立和控制加密密鑰的生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程或在密鑰淘汰或洩露時,輪替和撤銷 Azure Key Vault 中的密鑰和服務。 當在運行負載、服務或應用層級需要使用客戶管理的金鑰(CMK)時,請確保遵循金鑰管理的最佳做法:在您的金鑰庫中,使用金鑰分層結構,搭配金鑰加密金鑰(KEK)來生成單獨的數據加密金鑰(DEK)。 請確保金鑰已在 Azure Key Vault 中註冊,並透過來自服務或應用程式的金鑰 ID 來參考。 如果您需要將您自己的金鑰 (BYOK) 帶入服務(例如將受 HSM 保護的金鑰從內部部署 HSM 匯入至 Azure Key Vault),請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:設定 Microsoft Sentinel 客戶管理金鑰
DP-7:使用安全憑證管理程式
特徵
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure Key Vault 整合。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
資產管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :資產管理。
AM-2:僅使用已核准的服務
特徵
Azure 原則支援
描述:您可以透過 Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
記錄和威脅偵測
如需詳細資訊,請參閱雲端安全性基準 Microsoft:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
特徵
Microsoft Defender 服務/產品供應專案
描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視及警示安全性問題。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
LT-4:為安全性調查啟用記錄
特徵
Azure 資源記錄
描述:服務會產生可提供增強的服務特定計量和記錄的資源記錄。 客戶可以配置這些資源記錄,並將其傳送至他們自己的資料接收器,例如儲存帳戶或日誌分析工作區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
組態指引:啟用服務的資源記錄。 例如,密鑰保管庫支援其他資源記錄,用於從保管庫取得機密的動作;另外,Azure SQL 具有可追蹤資料庫請求的資源記錄。 資源記錄的內容會因 Azure 服務和資源類型而有所不同。
參考:開啟 Microsoft Sentinel 的審核和健康監控
備份和復原
如需詳細資訊,請參閱雲端安全性基準Microsoft :備份和復原。
BR-1:確保定期自動備份
特徵
Azure 備份
描述:該服務可以由 Azure 備份服務進行備份。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
服務原生備份功能
描述:服務支援自己的原生備份功能(如果未使用 Azure 備份)。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。