此安全基线将 Azure 安全基准版本 1.0 中的指南应用到 Azure IoT 中心。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按 Azure 安全基准定义的 安全控制 以及适用于 Azure IoT 中心的相关指南进行分组。 已排除不适用于 Azure IoT 中心的控件。
若要查看 Azure IoT 中心如何完全映射到 Azure 安全基准,请参阅 完整的 Azure IoT 中心安全基线映射文件。
网络安全
有关详细信息,请参阅 Azure 安全基准:网络安全。
1.1:保护虚拟网络中的 Azure 资源
指导:IoT 中心是一个多租户平台即服务(PaaS),不同的客户共享同一池的计算、网络和存储硬件资源。 IoT 中心的主机名通过 Internet 映射到具有可公开路由 IP 地址的公共终结点。 不同的客户共享此 IoT 中心公共终结点,以及跨广域网络和本地网络的 IoT 设备都可以访问它。 Microsoft设计该服务,以确保每个租户的数据之间完全隔离,并持续努力保证这一点。
IoT 中心功能(包括消息路由、文件上传和批量设备导入/导出)还需要通过其公共终结点从 IoT 中心连接到客户拥有的 Azure 资源。 这些连接路径共同构成了从 IoT 中心到客户资源的出口流量。
建议通过拥有和操作的虚拟网络限制与 Azure 资源(包括 Azure IoT 中心)的连接,以减少连接暴露于隔离网络中,并直接实现本地网络与 Azure 主干网络的连接。 如果可行,请使用 Azure 专用链接和 Azure 专用终结点,以允许从其他虚拟网络对服务进行专用访问。
建立专用访问后,请禁用 IoT 中心的公共网络访问以提高安全性。 此网络级别控制在特定的 IoT 中心资源上强制实施,确保隔离。 若要使用公共路径使服务对其他客户资源保持活动状态,其公共终结点仍可解析、IP 地址可发现,并且端口保持打开状态。 这不是问题的原因,因为Microsoft集成多层安全性以确保租户之间的完全隔离。
将设备中的开放硬件端口保持在最低水平,以避免不需要的访问。 此外,生成机制以防止或检测设备的物理篡改。
责任:客户
Azure 安全中心监视:无
1.2:监视和记录虚拟网络、子网和 NIC 的配置和流量
指导:使用 Azure 安全中心并遵循网络保护建议来帮助保护 Azure 网络资源。 启用网络安全组流日志并将日志发送到 Azure 存储帐户进行审核。 还可以将流日志发送到 Log Analytics 工作区,然后使用流量分析来深入了解 Azure 云中的流量模式。 流量分析的一些优势是能够可视化网络活动、识别热点和安全威胁、了解流量流模式以及查明网络配置错误。
责任:客户
Azure 安全中心监视:无
1.3:保护关键 Web 应用程序
指导:不适用;此建议适用于在 Azure 应用服务或计算资源上运行的 Web 应用程序。
责任:不适用
Azure 安全中心监视:无
1.4:拒绝与已知恶意 IP 地址的通信
指导:使用 IoT 中心 IP 筛选器规则阻止已知的恶意 IP。 恶意尝试也通过 Azure IoT 安全中心进行记录和警报。
Azure DDoS 防护基本版已启用,在 IoT 中心内无需额外付费。 始终在线的流量监视和常见网络层攻击的实时缓解,提供与 Microsoft 在线服务所利用的相同防御措施。 Azure 全球网络的整个规模可用于跨区域分发和缓解攻击流量。
责任:客户
Azure 安全中心监视:无
1.5:记录网络数据包
指导:不适用;此建议适用于生成可由客户记录和查看的网络数据包的产品/服务。 IoT 中心不生成面向客户的网络数据包,并且不设计为直接部署到 Azure 虚拟网络。
责任:不适用
Azure 安全中心监视:无
1.6:部署基于网络的入侵检测/入侵防护系统(IDS/IPS)
指导:从 Azure 市场中选择一个产品/服务,该产品/服务支持 IDS/IPS 功能以及有效负载检查功能。 当负载检查不是必需的时,可以使用 Azure 防火墙威胁情报。 Azure 防火墙基于威胁情报的筛选用于提醒和/或阻止来自已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。
在每个组织的网络边界上部署所选的防火墙解决方案,以检测和/或阻止恶意流量。
责任:客户
Azure 安全中心监视:无
1.7:管理 web 应用的流量
指导:不适用;此建议适用于在 Azure 应用服务或计算资源上运行的 Web 应用程序。
责任:不适用
Azure 安全中心监视:无
1.8:最大程度地降低网络安全规则的复杂性和管理开销
指导:对于需要访问 Azure IoT 中心的资源,请使用虚拟网络服务标记在网络安全组或 Azure 防火墙上定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定 IP 地址。 通过在规则的相应源或目标字段中指定服务标记名称(例如 AzureIoTHub),可以允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。
责任:客户
Azure 安全中心监视:无
1.9:维护网络设备的标准安全配置
指导:定义和实施与 Azure Policy 的 Azure IoT 中心命名空间关联的网络资源的标准安全配置。 使用“Microsoft.Devices”和“Microsoft.Network”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施机器学习命名空间的网络配置。
责任:客户
Azure 安全中心监视:无
1.10:记录流量配置规则
指导:将标记用于与 Azure IoT 中心部署关联的网络资源,以便以逻辑方式将它们组织成分类。
责任:客户
Azure 安全中心监视:无
1.11:使用自动化工具来监视网络资源配置并检测更改
指导:使用 Azure 活动日志监视网络资源配置,并检测与 Azure IoT 中心相关的网络资源的更改。 在 Azure Monitor 中创建警报,该警报将在关键网络资源发生更改时触发。
责任:客户
Azure 安全中心监视:无
日志记录和监视
有关详细信息,请参阅 Azure 安全基准:日志记录和监视。
2.2:配置中心安全日志管理
指导:通过 Azure Monitor 引入日志以聚合 Azure IoT 中心生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区查询和执行分析,并使用存储帐户进行长期/存档存储。 或者,可以启用数据并将其载入到 Azure Sentinel 或第三方安全事件和事件管理(SIEM)。
Azure 安全中心监控:是
责任:客户
Azure 安全中心监视:无
2.3:为 Azure 资源启用审核日志记录
指导:在 Azure 资源上启用 Azure IoT 诊断设置,以便访问审核、安全性和资源日志。 自动可用的活动日志包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用元素。
责任:客户
Azure Policy 内置定义 - Microsoft.Devices:
| Name (Azure 门户) |
Description | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.0.1 |
2.4:从操作系统收集安全日志
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
2.5:配置安全日志存储保留期
指导:在 Azure Monitor 中,根据组织的合规性法规,为与 Azure IoT 中心实例关联的 Log Analytics 工作区设置日志保留期。
责任:客户
Azure 安全中心监视:无
2.6:监视和查看日志
指导:分析和监视日志是否存在异常行为,并定期查看 Azure IoT 中心的结果。 使用 Azure Monitor 和 Log Analytics 工作区查看日志并针对日志数据执行查询。
或者,可以启用数据并将其载入到 Azure Sentinel 或第三方 SIEM。
责任:客户
Azure 安全中心监视:无
2.7:为异常活动启用警报
指导:将适用于 IoT 的 Azure 安全中心与 Log Analytics 工作区配合使用,以监视和警报安全日志和事件中发现的异常活动。 或者,可以启用数据并将其载入到 Azure Sentinel。 还可以使用 Azure Monitor 定义操作警报,这些警报可能会影响安全性,例如流量意外下降时。
责任:客户
Azure 安全中心监视:无
2.8:集中反恶意软件日志记录
指导:不适用;Azure IoT 中心不会处理或生成与反恶意软件相关的日志。
责任:不适用
Azure 安全中心监视:无
2.9:启用 DNS 查询日志记录
指导:不适用;Azure IoT 中心不会处理或生成与 DNS 相关的日志。
责任:不适用
Azure 安全中心监视:无
2.10:启用命令行审核日志记录
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
标识和访问控制
有关详细信息,请参阅 Azure 安全基准:标识和访问控制。
3.1:维护管理账户清单
指导:Azure 基于角色的访问控制(Azure RBAC)允许通过角色分配管理对 Azure IoT 中心的访问权限。 可以将这些角色分配给用户、组服务主体和托管标识。 某些资源有预定义的内置角色,可以通过 Azure CLI、Azure PowerShell 或 Azure 门户等工具来列出或查询这些角色。
责任:客户
Azure 安全中心监视:无
3.2:在适用的情况下更改默认密码
指导:通过 Azure Active Directory(Azure AD)控制对 Azure IoT 中心资源的访问管理。 Azure AD 没有默认密码的概念。
责任:客户
Azure 安全中心监视:无
3.3:使用专用管理帐户
指导:针对专用管理账户的使用创建标准操作程序。
还可以使用 Azure Active Directory(Azure AD) Privileged Identity Management 和 Azure 资源管理器启用对管理帐户的实时访问。
责任:客户
Azure 安全中心监视:无
3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证
指导:启用 Azure Active Directory (Azure AD) 多重身份验证来保护整个 Azure 租户,从而为所有服务带来好处。 IoT 中心服务没有多重身份验证支持。
责任:客户
Azure 安全中心监视:无
3.6:对所有管理任务使用专用计算机(特权访问工作站)
指导:对需要提升权限的管理任务使用安全特权访问工作站(PAW)。
责任:客户
Azure 安全中心监视:无
3.7:记录管理账户中的可疑活动并发出警报
指导:使用 Azure Active Directory (Azure AD) 安全报告和监视来检测环境中发生可疑或不安全活动的时间。 使用 Azure 安全中心监视标识和访问活动。
责任:客户
Azure 安全中心监视:无
3.8:仅从已批准的位置管理 Azure 资源
指导:对于访问 IoT 中心的用户,不支持条件访问。 若要缓解此问题,请使用 Azure Active Directory(Azure AD)命名位置,仅允许从整个 Azure 租户的 IP 地址范围或国家/地区的特定逻辑分组进行访问,从而受益于包括 IoT 中心在内的所有服务。
责任:客户
Azure 安全中心监视:无
3.9:使用 Azure Active Directory
指导:若要让用户访问 IoT 中心,请使用 Azure Active Directory (Azure AD)作为中心身份验证和授权系统。 Azure AD 通过对静态数据和传输中的数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行盐处理、哈希处理,并安全地存储用户凭据。
对于设备和服务访问,IoT 中心使用安全令牌和共享访问签名(SAS)令牌对设备和服务进行身份验证,以避免在网络上发送密钥。
- 如何创建和配置 Azure AD 实例责任:客户
Azure 安全中心监视:无
3.10:定期查看和协调用户访问
指导:Azure Active Directory(Azure AD)提供日志来帮助发现过时的帐户。 此外,使用 Azure AD 标识和访问评审来有效管理组成员身份、对企业应用程序和角色分配的访问权限。 可以定期查看用户访问,以确保只有正确的用户才能够继续访问。
在环境中发生可疑或不安全的活动时,使用 Azure AD Privileged Identity Management (PIM)生成日志和警报。
责任:客户
Azure 安全中心监视:无
3.11:监视访问已停用凭据的尝试
指导:可以访问 Azure Active Directory(Azure AD)登录活动、审核和风险事件日志源,以便与任何 SIEM/监视工具集成。
可以通过为 Azure AD 用户帐户创建诊断设置并将审核日志和登录日志发送到 Log Analytics 工作区来简化此过程。 可以在 Log Analytics 工作区中配置所需的警报。
使用 Azure Monitor 资源日志监视“连接”类别中未经授权的连接尝试。
责任:客户
Azure 安全中心监视:无
3.12:帐户登录行为偏差警报
指导:使用 Azure Active Directory (Azure AD) 标识保护功能配置自动响应,以检测到与用户标识相关的可疑作。 还可以将数据引入 Azure Sentinel 进行进一步调查。
责任:客户
Azure 安全中心监视:无
3.13:在支持方案中向Microsoft提供对相关客户数据的访问权限
指导:在支持场景中,如果Microsoft需要访问客户数据,将会直接从客户处请求数据。
责任:客户
Azure 安全中心监视:无
数据保护
有关详细信息,请参阅 Azure 安全基准:数据保护。
4.1:维护敏感信息的清单
指导:使用标记来帮助跟踪存储或处理敏感信息的 Azure 资源。
责任:客户
Azure 安全中心监视:无
4.2:隔离存储或处理敏感信息的系统
指导:对各个安全域(例如环境类型和数据敏感度级别)使用单独的订阅和管理组实现隔离。 可以限制对应用程序和企业环境所需的 Azure 资源的访问级别。 可以通过 Azure RBAC 控制对 Azure 资源的访问。
责任:客户
Azure 安全中心监视:无
4.3:监视和阻止未经授权的敏感信息传输
指导:使用网络外围 Azure 市场的第三方解决方案监视未经授权的敏感信息传输,并在向信息安全专业人员发出警报时阻止此类传输。
对于由Microsoft管理的基础平台,Microsoft将所有客户内容视为敏感内容,并防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft已实施和维护一套可靠的数据保护控制和功能。
责任:客户
Azure 安全中心监视:无
4.4:加密传输中的所有敏感信息
指导:IoT 中心使用传输层安全性(TLS)来保护来自 IoT 设备和服务的连接。 目前支持三个版本的 TLS 协议,即版本 1.0、1.1 和 1.2。 强烈建议在连接到 IoT 中心时使用 TLS 1.2 作为首选 TLS 版本。
请遵循 Azure 安全中心关于静态加密和传输中加密的建议(如果适用)。
责任:客户
Azure 安全中心监视:无
4.5:使用有效的发现工具识别敏感数据
指导:数据标识、分类和丢失防护功能尚不适用于 Azure IoT 中心。 出于合规目的,请采用第三方解决方案。
对于由 Microsoft 管理的基础 Azure 平台,Microsoft 将所有客户内容视为敏感内容,并采取一切措施防范客户数据丢失和泄露风险。 为了确保 Azure 中的客户数据保持安全,Microsoft已实施和维护一套可靠的数据保护控制和功能。
责任:客户
Azure 安全中心监视:无
4.6:使用 Azure RBAC 管理对资源的访问
指导:若要控制平面用户访问 IoT 中心,请使用 Azure RBAC 来控制访问。 对于对 IoT 中心的数据平面访问,请使用 IoT 中心的共享访问策略。
责任:客户
Azure 安全中心监视:无
4.9:记录和警报对关键 Azure 资源的更改
指导:将 Azure Monitor 与 Azure 活动日志配合使用,以创建对 Azure IoT 中心生产实例和其他关键资源或相关资源进行更改的时间警报。
责任:客户
Azure 安全中心监视:无
漏洞管理
有关详细信息,请参阅 Azure 安全基准:漏洞管理。
5.3:为第三方软件游戏部署自动化修补程序管理解决方案
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
5.4:比较连续的漏洞扫描
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
清单和资产管理
有关详细信息,请参阅 Azure 安全基准:清单和资产管理。
6.1:使用自动化资产发现解决方案
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.2:维护资产元数据
指导:将标记应用于 Azure 资源(并非所有资源都支持标记,但大多数资源)以逻辑方式将它们组织成分类。
责任:客户
Azure 安全中心监视:无
6.3:删除未经授权的 Azure 资源
指导:在适当情况下使用标记、管理组和单独的订阅来组织和跟踪资产。 定期协调清单,并确保及时从订阅中删除未经授权的资源。
责任:客户
Azure 安全中心监视:无
6.4:定义和维护已批准的 Azure 资源的清单
指导:根据组织需求,为计算资源创建已批准的 Azure 资源和已批准的软件清单。
每个 IoT 中心都有一个标识注册表,可用于在服务中创建每设备资源。 可以向允许列表或阻止列表添加单个或设备标识组,从而完全控制设备访问。
责任:客户
Azure 安全中心监视:无
6.5:监视未批准的 Azure 资源
指导:使用 Azure Policy 对可在订阅中创建的资源类型施加限制。
使用 Azure Resource Graph 查询和发现订阅中的资源。 确保环境中存在的所有 Azure 资源都已获得批准。
责任:客户
Azure 安全中心监视:无
6.6:监视计算资源中未经批准的软件应用程序
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.7:删除未经批准的 Azure 资源和软件应用程序
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.8:仅使用已批准的应用程序
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.9:仅使用已批准的 Azure 服务
指导:使用以下内置策略定义,使用 Azure Policy 对可在客户订阅中创建的资源类型施加限制:
- 不允许的资源类型
- 允许的资源类型
此外,使用 Azure Resource Graph 查询/发现订阅中的资源。
责任:客户
Azure 安全中心监视:无
6.10:维护已批准的软件名称的清单
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.11:限制用户与 Azure 资源管理器交互的能力
指导:使用 Azure Active Directory(Azure AD)条件访问,通过为“Azure 管理”应用配置“阻止访问”来限制用户与 Azure 资源管理器交互的能力。
责任:客户
Azure 安全中心监视:无
6.12:限制用户在计算资源中执行脚本的能力
指导:不适用;此建议适用于计算资源。
责任:不适用
Azure 安全中心监视:无
6.13:物理或逻辑上隔离高风险应用程序
指导:不适用;此建议适用于在 Azure 应用服务或计算资源上运行的 Web 应用程序。
责任:不适用
Azure 安全中心监视:无
安全配置
有关详细信息,请参阅 Azure 安全基准:安全配置。
7.1:为所有 Azure 资源建立安全配置
指导:使用 Azure Policy 为 Azure IoT 中心服务定义和实施标准安全配置。 使用“Microsoft.Devices”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure IoT 中心服务的配置。
Azure 资源管理器能够在 JavaScript 对象表示法(JSON)中导出模板,应查看该模板,以确保配置符合组织的安全要求。
还可以使用 Azure 安全中心提供的建议作为 Azure 资源的安全配置基线。
责任:客户
Azure 安全中心监视:无
7.2:建立安全的操作系统配置
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
7.3:维护安全的 Azure 资源配置
指导:使用 Azure Policy [拒绝] 和 [如果不存在则部署] 策略操作,在您的 Azure 资源中强制实施安全设置。 此外,可以使用 Azure 资源管理器模板维护组织所需的 Azure 资源的安全配置。
责任:客户
Azure 安全中心监视:无
7.4:维护安全的操作系统配置
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
7.5:安全存储 Azure 资源的配置
指导:如果对 Azure IoT 中心或相关资源使用自定义 Azure Policy 定义,请使用 Azure Repos 安全地存储和管理代码。
责任:客户
Azure 安全中心监视:无
7.6:安全地存储自定义操作系统映像
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
7.7:为 Azure 资源部署配置管理工具
指导:使用“Microsoft.Devices”命名空间中的 Azure Policy 别名创建自定义策略来发出警报、审核和强制实施系统配置。 此外,制定管理策略例外情况的流程和管道。
责任:客户
Azure 安全中心监视:无
7.8:针对操作系统部署配置管理工具
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
7.9:为 Azure 资源实现自动配置监视
指导:使用 Azure 安全中心对 Azure 资源执行基线扫描。 此外,使用 Azure Policy 来警报和审核 Azure 资源配置。
责任:客户
Azure 安全中心监视:无
7.10:为操作系统实施自动化配置监视
指导:不适用;此准则适用于计算资源。
责任:不适用
Azure 安全中心监视:无
7.11:安全地管理 Azure 机密
指导:IoT 中心使用安全令牌和共享访问签名(SAS)令牌对设备和服务进行身份验证,以避免在网络上发送密钥。
将托管标识与 Azure Key Vault 结合使用,简化云应用程序的机密管理。
责任:客户
Azure 安全中心监视:无
7.12:安全地自动管理身份
指导:IoT 中心使用安全令牌和共享访问签名(SAS)令牌对设备和服务进行身份验证,以避免在网络上发送密钥。
使用托管标识在 Azure Active Directory(Azure AD)中为 Azure 服务提供自动管理的标识。 托管标识允许向支持 Azure AD 身份验证的任何服务(包括 Key Vault)进行身份验证,而无需在代码中提供任何凭据。
责任:客户
Azure 安全中心监视:无
7.13:消除意外凭据泄露
指导:实现凭据扫描程序以识别代码中的凭据。 凭据扫描程序还将鼓励将发现的凭据移动到更安全的位置,例如 Azure Key Vault。
责任:客户
Azure 安全中心监视:无
恶意软件防护
有关详细信息,请参阅 Azure 安全基准:恶意软件防御。
8.2:预扫描要上传到非计算 Azure 资源的文件
指导:Microsoft支持 Azure 服务(例如 Azure IoT 中心)的基础主机上启用了反恶意软件,但它不会在客户内容上运行。
负责预先扫描上传到非计算 Azure 资源的任何内容。 Microsoft无法访问客户数据,因此无法代表你对客户内容进行反恶意软件扫描。
责任:客户
Azure 安全中心监视:无
数据恢复
有关详细信息,请参阅 Azure 安全基准:数据恢复。
9.1:确保定期自动备份
指导:Azure IoT 中心服务提供方法和框架,使 IoT 中心服务高度可用,并可根据特定的业务目标从灾难中恢复。
责任:客户
Azure 安全中心监视:无
9.2:执行完整系统备份,并备份客户管理的所有密钥
指导:Azure IoT 中心建议辅助 IoT 中心必须包含可连接到解决方案的所有设备标识。 解决方案应保留设备标识的异地复制备份,并将其上传到辅助 IoT 中心,然后再切换设备的活动终结点。 IoT 中心的设备标识导出功能在此背景下非常有用。
责任:客户
Azure 安全中心监视:无
9.3:验证所有备份,包括客户管理的密钥
指导:Azure IoT 中心建议辅助 IoT 中心必须包含可连接到解决方案的所有设备标识。 解决方案应保留设备标识的异地复制备份,并将其上传到辅助 IoT 中心,然后再切换设备的活动终结点。 IoT 中心的设备标识导出功能在此背景下非常有用。
定期对备份中的内容执行数据还原。 确保可以还原备份的客户管理的密钥。
责任:客户
Azure 安全中心监视:无
9.4:确保保护备份和客户管理的密钥
指导:在 Key Vault 中启用软删除和清除保护,防止密钥意外或恶意删除。 如果使用 Azure 存储来存储备份,请在 blob 或 Blob 快照被删除时启用软删除,以保存和恢复您的数据。
责任:客户
Azure 安全中心监视:无
事件响应
有关详细信息,请参阅 Azure 安全基准:事件响应。
10.1:创建事件响应指南
指导:为组织制定事件响应指南。 确保有书面事件响应计划定义人员的所有角色,以及从检测到事后评审的事件处理和管理阶段。
Azure 安全中心监控:不适用
责任:客户
Azure 安全中心监视:无
10.2:创建事件评分和优先级过程
指导:Azure 安全中心为每个警报分配严重性,以帮助确定应首先调查哪些警报的优先级。 严重性取决于安全中心对发现和用于发出警报的分析结果的信心,以及对导致警报的活动背后的恶意意图的可信程度。
此外,使用标记来标记订阅,并创建命名系统以标识和分类 Azure 资源,尤其是那些处理敏感数据的资源。 你有责任根据发生事件的 Azure 资源和环境的严重性确定警报的修正优先级。
责任:客户
Azure 安全中心监视:无
10.3:测试安全响应过程
指导:进行练习,定期测试系统的事件响应功能,以帮助保护 Azure 资源。 确定弱点和差距,然后根据需要修改响应计划。
责任:客户
Azure 安全中心监视:无
10.4:提供安全事件联系人详细信息,并为安全事件配置警报通知
指导:如果Microsoft安全响应中心(MSRC)发现你的数据已被非法或未经授权的方访问,Microsoft将使用安全事件联系信息与你联系。 在事后查看事件,以确保解决问题。
责任:客户
Azure 安全中心监视:无
10.5:将安全警报合并到事件响应系统中
指导:使用持续导出功能导出 Azure 安全中心警报和建议,以帮助识别 Azure 资源的风险。 通过连续导出,可以手动或持续地导出警报和建议。 可以使用 Azure 安全中心数据连接器将警报流式传输到 Azure Sentinel。
责任:客户
Azure 安全中心监视:无
10.6:自动响应安全警报
指导:使用工作流自动化功能 Azure 安全中心自动触发对安全警报和建议的响应,以保护 Azure 资源。
责任:客户
Azure 安全中心监视:无
渗透测试和红队演习
有关详细信息,请参阅 Azure 安全基准:渗透测试和红队练习。
11.1:定期对 Azure 资源进行渗透测试,并确保修正所有关键安全发现
指导:遵循Microsoft云渗透测试参与规则,确保渗透测试不违反Microsoft策略。 针对Microsoft托管的云基础结构、服务和应用程序,使用Microsoft的红队策略和执行实时站点渗透测试。
责任:共享
Azure 安全中心监视:无
后续步骤
- 请参阅 Azure 安全基准 V2 概述
- 详细了解 Azure 安全基线