Microsoft-Sicherheitsbasislinie für Microsoft Sentinel
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Microsoft Sentinel an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security-Benchmark und die zugehörigen Anleitungen für Microsoft Sentinel definiert sind.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Anmerkung
Funktionen, die nicht auf Microsoft Sentinel anwendbar sind, wurden ausgeschlossen. Informationen dazu, wie Microsoft Sentinel vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie in der vollständigen Microsoft Sentinel-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst verhaltensweisen mit hohem Einfluss von Microsoft Sentinel zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Sicherheit |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Falsch |
| Speichert Kundendaten im Ruhezustand | Stimmt |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden des zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf die Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf die Datenebene unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-3: Anwendungsidentitäten sicher und automatisch verwalten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory (Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden vollständig von der Plattform verwaltet, erneuert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Referenz: Authentifizieren von Playbooks bei Microsoft Sentinel
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Serviceprinzipalen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Authentifizieren von Playbooks bei Microsoft Sentinel
IM-7: Einschränkung des Ressourcenzugriffs nach Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Datenebenenzugriff kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Dienstanmeldeinformationen und Geheimnisse unterstützen die Integration und Speicherung in Azure Key Vault.
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure RBAC, um Rollen innerhalb Ihres Sicherheitsbetriebsteams zu erstellen und zuzuweisen, um entsprechenden Zugriff auf Microsoft Sentinel zu gewähren. Mit den verschiedenen Rollen können Sie genau steuern, was Microsoft Sentinel-Benutzer sehen und tun können. Azure-Rollen können direkt im Microsoft Sentinel-Arbeitsbereich oder in einem Abonnement oder einer Ressourcengruppe zugewiesen werden, denen der Arbeitsbereich angehört und von denen Microsoft Sentinel erbt.
Referenz: Rollen und Berechtigungen in Microsoft Sentinel
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Die Kunden-Lockbox kann für den Zugriff durch den Microsoft-Support verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Tools wie Azure Purview, Azure Information Protection und Azure SQL Data Discovery und Klassifizierung, um vertrauliche Daten, die sich in Azure, lokal, Microsoft 365 oder anderen Speicherorten befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
Referenz: Tutorial: Integrieren von Microsoft Sentinel und Microsoft Purview
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Dienst unterstützt DLP-Lösung zur Überwachung der Bewegung sensibler Daten (in den Inhalten des Kunden). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationshinweise: Falls zur Einhaltung von Vorschriften zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich, können Sie eine hostbasierte DLP-Lösung aus dem Azure Marketplace oder eine Microsoft 365 DLP-Lösung verwenden, um erkennungs- und/oder präventive Maßnahmen zu erzwingen und die Datenexfiltration zu verhindern.
Referenz: Tutorial: Integrieren von Microsoft Sentinel und Microsoft Purview
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
DP-5: Verwenden Sie die vom Kunden verwaltete Schlüsseloption bei der Verschlüsselung ruhender Daten, wenn erforderlich.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Die Microsoft Sentinel-Lösung verwendet mehrere Speicherressourcen für die Protokollsammlung und -features, einschließlich eines dedizierten Log Analytics-Clusters. Im Rahmen der Microsoft Sentinel CMK-Konfiguration müssen Sie die CMK-Einstellungen für den zugehörigen dedizierten Log Analytics-Cluster konfigurieren. Daten, die von Microsoft Sentinel in anderen Speicherressourcen als Log Analytics gespeichert werden, werden auch mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der für den dedizierten Log Analytics-Cluster konfiguriert ist.
Referenz: Einrichten kundenseitig verwalteter Schlüssel in Microsoft Sentinel
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimschlüssel oder Zertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn ein Customer Managed Key (CMK) auf Arbeitsebene, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Einrichten kundenseitig verwalteter Schlüssel in Microsoft Sentinel
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Ressourcenprotokolle für den Dienst aktivieren. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die einen geheimen Schlüssel aus einem Schlüsseltresor abrufen, und Azure SQL verfügt über Ressourcenprotokolle, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
Referenz: Aktivieren der Überwachung und Integritätsüberwachung für Microsoft Sentinel
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Siehe Microsoft-Cloud-Security-Benchmark-Übersicht
- Weitere Informationen zu Azure-Sicherheitsbaselines