Sdílet prostřednictvím

Standardní hodnoty zabezpečení Azure pro Microsoft Fabric

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Microsoft Fabric. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny, které platí pro Microsoft Fabric.

Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.

Zabezpečení sítě

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Pokyny: Vytváření a používání spravovaných privátních koncových bodů pro poznámkové bloky, datová jezera a definice úloh Sparku pro bezpečné připojení k datovým zdrojům za privátními koncovými body.

Odpovědnost: Sdílená

NS-2: Zabezpečení nativních cloudových služeb pomocí síťových ovládacích prvků

Pokyny: Microsoft Fabric podporuje připojení tenanta Fabric ke koncovému bodu privátního propojení a zakázání veřejného přístupu k internetu.

POZNÁMKA: Microsoft Fabric je služba SaaS, která jako zprostředkovatele ověřování spoléhá na ID Microsoft Entra. Řízení příchozího síťového provozu pro službu SaaS je možné dosáhnout pomocí zásad podmíněného přístupu Microsoft Entra ID.

Odpovědnost: Sdílená

NS-3: Nasazení brány firewall na okraji podnikové sítě

Pokyny a doporučení: Microsoft Fabric jako nabídka SaaS hostovaná na infrastruktuře Azure má několik automatických ochranných prvků integrovaných pro dobře známé a běžné vektory útoku.

Odpovědnost: Microsoft

NS-4: Nasazení systémů detekce neoprávněných vniknutí nebo ochrany před neoprávněným vniknutím (IDS/IPS)

Pokyny: Microsoft Fabric neobsahuje explicitní integrované funkce detekce vniknutí do sítě a systémy ochrany před neoprávněným vniknutím (IDS/IPS). Microsoft Fabric je služba Azure Core založená na základních službách Azure, které mají integrovanou automatickou ochranu pro dobře známé běžné vektory útoku a také konfigurovatelné možnosti zákazníků. Microsoft Fabric poskytuje přístup k protokolům aktivit a auditu, které můžou zákazníci využít k monitorování aktivit:

Odpovědnost: Sdílená

NS-5: Nasazení ochrany DDOS

Pokyny: Microsoft Fabric má integrovanou ochranu před útoky DDoS pro běžné scénáře útoku. Tyto služby spravuje a řídí Microsoft.

Odpovědnost: Microsoft

NS-6: Nasazení firewallu webových aplikací

Pokyny: Microsoft Fabric má integrovanou správu a řízení WAF microsoftem.

Odpovědnost: Microsoft

NS-7: Zjednodušení konfigurace zabezpečení sítě [Není k dispozici]

Pokyny: Není k dispozici. Microsoft Fabric nezpřístupňuje základní konfigurace; tato nastavení spravuje Microsoft.

NS-8: Detekce a zakázání nezabezpečených služeb a protokolů [NENÍ_K_DISPOZICI]

Pokyny: Není k dispozici. Microsoft Fabric nezpřístupňuje základní konfigurace; tato nastavení spravuje Microsoft.

NS-9: Privátní připojení místní nebo cloudové sítě

Pokyny: Microsoft Fabric poskytuje podporu pro virtuální síť a místní brány dat.

Odpovědnost: Zákazník

NS-10: Zajištění zabezpečení DNS (Domain Name System) [NENÍ_K_DISPOZICI]

Pokyny: Není k dispozici. Microsoft Fabric nezpřístupňuje základní konfigurace DNS; tato nastavení spravuje Microsoft.

Správa identit

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Správa identit

IM-1: Použití centralizovaného systému identit a ověřování

Pokyny: Microsoft Fabric je integrovaný s Id Microsoft Entra , což je výchozí služba pro správu identit a přístupu v Azure. Měli byste standardizovat microsoft Entra ID, abyste mohli řídit správu identit a přístupu vaší organizace.

Zabezpečení Microsoft Entra ID by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Microsoft Entra ID poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit postavení zabezpečení identity vzhledem k doporučením osvědčených postupů Microsoftu. Pomocí skóre můžete změřit, jak přesně konfigurace odpovídá doporučením osvědčených postupů a jak zlepšit stav zabezpečení.

Poznámka: Microsoft Entra ID podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlašovat se k aplikacím a prostředkům pomocí jejich externí identity. Scénář uživatele typu host v Microsoft Fabric najdete na následující stránce B2B.

Odpovědnost: Zákazník

IM-2: Ochrana systémů identit a ověřování

Pokyny: Zabezpečení systému identit a ověřování jako vysoké priority v praxi cloudového zabezpečení vaší organizace Pomocí standardních hodnot zabezpečení Microsoft Entra ID a bezpečnostních skóre identity Microsoft Entra ID vyhodnoťte stav zabezpečení identity Microsoft Entra ID a opravte mezery v zabezpečení a konfiguraci.

Odpovědnost: Zákazník

IM-3: Zabezpečená a automatická správa identit aplikací

Pokyny: Používejte spravované identity místo lidských účtů pro přístup k prostředkům. Snižují vystavení přihlašovacích údajů a podporují automatizovanou obměnu přihlašovacích údajů, aby se zlepšilo zabezpečení. Microsoft Fabric, Power BI a Power BI Embedded podporují použití identit pracovních prostorů a služebních principálů. Power BI Embedded podporuje profily principů služeb.

Odpovědnost: Zákazník

IM-4: Ověření serveru a služeb

Pokyny: Ověření vzdálených serverů pomocí protokolu TLS k zajištění důvěryhodných připojení Klienti ověřují certifikáty serveru od důvěryhodných autorit. Zákazníci by měli zajistit, aby byly procesy příjmu dat dostatečně zabezpečené. Microsoft Fabric pro všechna připojení vynucuje protokol TLS 1.2 nebo novější.

Odpovědnost: Zákazník

IM-5: Použití jednotného přihlašování (SSO) pro přístup k aplikacím

Pokyny: Použití jednotného přihlašování (SSO) ke zjednodušení uživatelského prostředí pro ověřování prostředků, včetně aplikací a dat napříč cloudovými službami a místními prostředími.

Microsoft Fabric používá Id Microsoft Entra k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři, prodejci a dodavatelé. Díky tomu je možné ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí a v cloudu používat jednotné přihlašování.

Odpovědnost: Zákazník

IM-6: Použití ovládacích prvků silného ověřování

Pokyny: Vynucujte silné kontrolní mechanismy ověřování pomocí centralizovaného systému řízení identit a ověřování pro veškerý přístup k prostředkům.

Microsoft Fabric spoléhá na Microsoft Entra ID k ověřování uživatelů (nebo služebních principálů). Při ověření uživatelé obdrží přístupové tokeny z ID Microsoft Entra.

Odpovědnost: Zákazník

IM-7: Omezení přístupu k prostředkům na základě podmínek

Pokyny: Explicitně ověřte důvěryhodné signály, které umožní nebo zamítnou přístup uživatelů k prostředkům v rámci modelu přístupu nulové důvěryhodnosti. Podmíněný přístup Microsoft Entra ID zajišťuje zabezpečení tenantů vynucením vícefaktorového ověřování, což umožňuje přístup ke konkrétním službám jenom zaregistrovaným zařízením Intune a omezením umístění uživatelů a rozsahů IP adres.

Odpovědnost: Zákazník

IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Pokyny: Identita pracovního prostoru Fabric je spravovaný služební objekt bez přihlašovacích údajů, který poskytuje ověřování pro položky Fabric připojením k prostředkům podporovaným Microsoft Entra.

U položek Microsoft Fabric se doporučuje implementovat skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu použít nativní funkce pro kontrolu tajných kódů.

Odpovědnost: Zákazník

IM-9: Zabezpečení přístupu uživatelů k existujícím aplikacím

Pokyny: Microsoft Fabric podporuje připojení k místním zdrojům dat prostřednictvím místní brány dat, bezpečného přenosu dat z místního prostředí do položek Fabric, jako jsou Dataflow Gen2 a sémantické modely.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace naleznete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Privileged Access | Microsoft Learn

PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů

Pokyny: Ujistěte se, že identifikujete všechny účty Microsoft Fabric s vysokým dopadem na podnikání, například administrátoři služby Fabric nebo globální administrátoři. Omezte počet privilegovaných nebo administrativních účtů v řídicí rovině, rovině správy a rovině dat nebo úloh Microsoft Fabric. Všechny role musíte zabezpečit pomocí přímého nebo nepřímého přístupu pro správu. Zvažte použití Privileged Identity Management (PIM) a služebních identit s oprávněními specifickými pro úlohy (např. přístup SPN pouze pro čtení k rozhraním API pro správu). Při delegování nastavení kapacity a správcům pracovních prostorů buďte obezřetní a pečliví.

Odpovědnost: Zákazník

PA-2: Vyhněte se stálému přístupu k uživatelským účtům a oprávněním [není k dispozici]

Pokyny: Není k dispozici

PA-3: Správa životního cyklu identit a nároků

Pokyny: Použití automatizovaného procesu nebo jiného vhodného technického řízení k monitorování a správě přístupových oprávnění k tenantovi a jeho položkám.

Odpovědnost: Zákazník

PA-4: Pravidelně kontrolujte a odsouhlaste přístup uživatelů

Pokyny: Jako správce služby Microsoft Fabric můžete analyzovat využití všech prostředků Fabric na úrovni tenanta pomocí vlastních sestav založených na protokolech aktivit nebo auditu Microsoftu 365. Aktivity si můžete stáhnout pomocí rozhraní REST API nebo rutiny PowerShellu. Data aktivit můžete filtrovat také podle rozsahu kalendářních dat, uživatele a typu aktivity.

Abyste mohli získat přístup k protokolu aktivit, musíte splnit tyto požadavky:

  • Musíte být globálním správcem nebo správcem tenanta služby Fabric.

  • Nainstalovali jste rutiny pro správu Power BI místně nebo používáte rutiny pro správu Power BI v Azure Cloud Shellu.

Jakmile tyto požadavky splníte, můžete podle následujících pokynů sledovat aktivitu uživatelů v Fabric:

Proveďte pravidelné kontroly přístupu uživatelů, abyste měli jistotu, že jsou oprávnění správně nastavená na základě funkce uživatele a firmy.

Odpovědnost: Zákazník

PA-5: Nastavit nouzový přístup [Nedostupné]

Pokyny: Není k dispozici

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou zásadně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a klíčové operátory služeb. Používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion pro úlohy správy související se správou Microsoft Fabric. Použijte Microsoft Entra ID, Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune k nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy. Zabezpečené pracovní stanice je možné centrálně spravovat za účelem vynucení zabezpečené konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru, omezeného logického přístupu a přístupu k síti.

Pomocí zásad podmíněného přístupu vynucujte vysoce privilegovaná přihlášení pouze ze zařízení dodržujících předpisy v povolených rozsazích IP adres.

Odpovědnost: Zákazník

PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).

Pokyny: Pokud chcete spravovat oprávnění na jemně odstupňované úrovni, postupujte podle právě dostatečného principu správy (nejméně oprávnění). Pomocí funkcí, jako je řízení přístupu na základě role (RBAC), můžete spravovat přístup k prostředkům prostřednictvím přiřazení rolí. Viz model oprávnění v PA-3.

Odpovědnost: Zákazník

PA-8 Určení procesu přístupu pro podporu poskytovatele cloudu

Pokyny: Vytvoření schvalovacího procesu a cesty přístupu pro vyžádání a schvalování žádostí o podporu dodavatelů a dočasný přístup k vašim datům prostřednictvím zabezpečeného kanálu. Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, můžete pomocí Customer Lockboxu zkontrolovat a schválit nebo odmítnout všechny žádosti o přístup k datům, které microsoft provedl.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Ochrana dat | Microsoft Learn

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Pomocí popisků citlivosti z Microsoft Purview Information Protection u položek Microsoft Fabric můžete chránit citlivý obsah před neoprávněným přístupem k datům a únikem informací. Pomocí popisků citlivosti z Microsoft Purview Information Protection můžete klasifikovat a označovat sestavy, řídicí panely, datové sady, toky dat a další položky ve službě Microsoft Fabric a chránit citlivý obsah před neoprávněným přístupem k datům a únikem informací při exportu obsahu z Microsoft Fabric do formátů souborů, které podporují popisky, jako jsou excelové, powerpointové a PDF soubory.

Odpovědnost: Zákazník

DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data

Pokyny: Pomocí zásad ochrany před únikem informací v Microsoft Purview detekujte nahrávání citlivých dat a aktivujte automatické problémy s nápravou rizik.

DP-3: Šifrování citlivých dat během přenosu

Pokyny: Zajistěte přenos HTTP, aby všichni klienti a zdroje dat, které se připojují k vašim prostředkům Microsoft Fabric, mohly vyjednat protokol TLS verze 1.2 nebo vyšší.

Odpovědnost: Zákazník

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

Pokyny: Microsoft Fabric šifruje všechna neaktivní uložená data a přenášená data. Microsoft Fabric ve výchozím nastavení používá klíče spravované Microsoftem k šifrování dat.

Odpovědnost: Microsoft

DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno

Pokyny: V případě potřeby dodržování právních předpisů definujte případ použití a rozsah služby, kde je potřeba klíč spravovaný zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem ve službě Microsoft Fabric. Organizace se můžou rozhodnout použít vlastní klíče pro šifrování neaktivních uložených dat pro importované sémantické modely hostované v pracovních prostorech v kapacitách Premium.

Odpovědnost: Zákazník

DP-6: Použití zabezpečeného procesu správy klíčů

Pokyny: Použití zabezpečené služby trezoru klíčů pro generování, distribuci a úložiště klíčů Obměna a odvolávání klíčů na základě definovaného plánu podle požadavků příslušných standardů a v případě, že dojde k vyřazení klíče nebo ohrožení zabezpečení.

POZNÁMKA: Power BI BYOK podporuje import klíčů HSM do AKV Premium.

Odpovědnost: Zákazník

DP-7: Použití zabezpečeného procesu správy certifikátů [NENÍ_K_DISPOZICI]

Pokyny: Není k dispozici

DP-8: Zajištění zabezpečení úložiště klíčů a certifikátů [NENÍ_K_DISPOZICI]

Pokyny: Není k dispozici

Správa aktiv

Další informace naleznete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Správa prostředků | Microsoft Learn

AM-1: Sledování inventáře prostředků a jejich rizik

Pokyny: Jako služba SaaS monitoruje Microsoft fyzický inventář hardwaru a zařízení. Pro monitorování zdrojů Fabric použijte rozhraní API Fabric Scanner k nastavení skenování metadat položek Fabric vaší organizace.

Odpovědnost: Sdílená

AM-2: Používejte pouze schválené služby.

Pokyny: Pomocí zásad Azure můžete řídit, kdo může zřizovat kapacity Fabric. Zajistěte, aby se v tenantovi mohly používat jenom schválené úlohy Microsoft Fabric, a to auditováním a omezením úloh, které můžou uživatelé v tenantovi vytvářet a přistupovat k němu. Použijte kombinaci ovládacích prvků delegovaných správcem tenanta, kapacity nebo pracovního prostoru, které poskytují tuto úroveň řízení.

Odpovědnost: Zákazník

AM-3: Zajištění zabezpečení správy životního cyklu prostředků

Pokyny: Vytvořte nebo aktualizujte zásady zabezpečení nebo proces, který řeší procesy správy životního cyklu prostředků pro potenciálně velké změny dopadu. Mezi tyto úpravy patří změny přístupu, úrovně citlivosti dat, konfigurace sítě a přiřazení oprávnění správce k tenantovi, kapacitám a pracovním prostorům Microsoft Fabric.

Identifikujte a odeberte prostředky Microsoft Fabric, pokud už nejsou potřeba.

Odpovědnost: Zákazník

AM-4: Omezení přístupu ke správě prostředků

Pokyny: Při přiřazování uživatelských oprávnění k tenantům, pracovním prostorům a artefaktům použijte princip nejnižšího oprávnění. Ujistěte se, že je omezený počet uživatelů s vysoce privilegovanými rolemi. Omezte přístup uživatelů k funkcím správy Microsoft Fabric, abyste se vyhnuli náhodné nebo škodlivé úpravě položek v tenantovi Microsoft Fabric.

Odpovědnost: Zákazník

AM-5: Použití pouze schválených aplikací na virtuálním počítači [NENÍ_K_DISPOZICI]

Pokyny: Není k dispozici

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu – protokolování a detekce hrozeb | Microsoft Learn

LT-1: Povolení možností detekce hrozeb

Pokyny: Pokud chcete podporovat scénáře detekce hrozeb, monitorujte všechny známé typy prostředků pro známé a očekávané hrozby a anomálie. Nakonfigurujte pravidla filtrování a analýzy výstrah tak, aby extrahovali vysoce kvalitní výstrahy z dat protokolu, agentů nebo jiných zdrojů dat, aby se snížil počet falešně pozitivních výsledků. Protokolování aktivit a Microsoft 365 v tenantu Microsoft Fabric jsou ve výchozím nastavení povolené.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu Azure

Pokyny: Přesměrujte všechny protokoly z Microsoft Fabric na SIEM, které můžete použít k nastavení vlastních detekcí hrozeb. Kromě toho použijte ovládací prvky Microsoft Defender for Cloud Apps v Power BI k povolení detekce anomálií tím, že budete postupovat podle průvodce Použití ovládacích prvků Microsoft Defender for Cloud Apps v Power BI.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro šetření zabezpečení

Pokyny: Protokoly aktivit a auditu v Microsoft Fabric jsou ve výchozím nastavení povolené. Pro prostředky s vysokou hodnotou jsou k dispozici další možnosti protokolování a monitorování a konfigurovatelné na úrovni pracovního prostoru.

Odpovědnost: Zákazník

LT-4: Povolení protokolování sítě pro účely bezpečnostního šetření

Pokyny: Microsoft Fabric je plně spravovaná nabídka SaaS a základní konfigurace sítě a protokolování je zodpovědností Microsoftu. Pro zákazníky, kteří využívají privátní propojení, je k dispozici protokolování a monitorování, které je možné nakonfigurovat.

Odpovědnost: Sdílená

LT-5: Centralizovaná správa a analýza protokolů zabezpečení

Pokyny: Microsoft Fabric centralizuje protokoly na dvou místech: protokol aktivit Power BI a jednotný protokol auditu. Oba tyto protokoly obsahují úplnou kopii dat auditování Microsoft Fabric, ale existuje několik klíčových rozdílů, jak je shrnuto níže.

Jednotný protokol auditu:

  • Zahrnuje události z SharePointu Online, Exchange Online, Dynamics 365 a dalších služeb kromě událostí auditování Power BI a Microsoft Fabric.

  • Přístup mají jenom uživatelé s oprávněními Protokoly auditu jen pro zobrazení nebo protokoly auditu, jako jsou globální správci a auditoři.

  • Globální správci a auditoři můžou prohledat jednotný protokol auditu pomocí portálu XDR v programu Microsoft Defender a portálu Microsoft Purview.

  • Globální správci a auditoři můžou stahovat položky protokolu auditu pomocí rozhraní API a rutin pro správu Microsoftu 365.

  • Uchovává data auditu po dobu 180 dnů.

  • Uchovává data auditu, i když se tenant přesune do jiné oblasti Azure.

Protokol aktivit Power BI:

  • Zahrnuje pouze události auditování Microsoft Fabric a Power BI.

  • Přístup mají globální správci a správci služeb Microsoft Fabric.

  • Globální správci a správci služby Microsoft Fabric můžou stahovat položky protokolu aktivit pomocí rozhraní REST API a rutiny správy Power BI.

  • Uchovává data aktivit po dobu 30 dnů.

  • Neuchovává data aktivit při přesunu tenanta do jiné oblasti Azure.

Další informace najdete na následujících odkazech:

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Nakonfigurujte zásady uchovávání úložiště pro protokoly auditu podle vašich požadavků na dodržování předpisů, nařízení a obchodní požadavky.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft Fabric nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Microsoft Fabric spoléhá na zdroje synchronizace času Microsoftu a není zákazníkům dostupná pro konfiguraci.

Odpovědnost: Microsoft

Reakce na incidenty

Srovnávací test zabezpečení cloudu Microsoftu – Reakce na incidenty | Microsoft Learn

IR-1: Příprava – aktualizace plánu reakce na incidenty a zpracování procesu

Pokyny: Aktualizace procesu reakce na incidenty vaší organizace tak, aby zahrnovala zpracování incidentů v Microsoft Fabric. Na základě používaných úloh Microsoft Fabric a vašich aplikací, které spoléhají na Microsoft Fabric, přizpůsobte plán reakce na incidenty a playbook, abyste zajistili, že se dají použít k reakci na incident v cloudovém prostředí.

Odpovědnost: Zákazník

IR-2: Příprava – nastavení oznámení incidentu

Pokyny: Nastavení kontaktních informací incidentů zabezpečení v programu Microsoft Defender for Cloud Tyto kontaktní informace používá Společnost Microsoft k tomu, aby vás kontaktovala, pokud microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Můžete také přizpůsobit výstrahy a oznámení incidentů v různých službách Azure na základě potřeb reakce na incidenty.

Odpovědnost: Zákazník

IR-3: Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah

Pokyny: Microsoft Defender pro cloud poskytuje vysoce kvalitní výstrahy v mnoha prostředcích Azure. Pomocí datového konektoru Microsoft Defender for Cloud můžete streamovat výstrahy do Služby Microsoft Sentinel. Microsoft Sentinel umožňuje vytvářet pokročilá pravidla upozornění, která automaticky generují incidenty pro šetření.

Pomocí funkce exportu můžete exportovat upozornění a doporučení v programu Microsoft Defender for Cloud, která vám pomůžou identifikovat rizika pro Microsoft Fabric a další prostředky Azure. Vyexportujte upozornění a doporučení buď ručně, nebo nepřetržitě.

Odpovědnost: Zákazník

IR-4: Detekce a analýza – vyšetřování incidentu

Pokyny: Naučte se, jak získat přístup ke standardně zapnutým protokolům aktivit a auditu Microsoft Fabric. Povolení volitelného protokolování pro prostředky s vysokou hodnotou (viz LT-3). Zvažte export protokolů do Microsoft Sentinelu. Využijte protokoly poskytované službami, které Microsoft Fabric integruje, jako například Microsoft Entra ID. POZNÁMKA: V protokolech aktivit nesledujeme přihlašování uživatelů k Power BI ani k Fabric; protokoly auditu zaznamenávají přihlášení ke službám. Kategorie typu záznamu se liší (například použití PowerBIAudit pro události Power BI a Microsoft Fabric a AzureActiveDirectoryStsLogon ke sledování přihlášení ke službám).

Odpovědnost: Zákazník

IR-5: Detekce a analýza – stanovení priorit incidentů

Pokyny: Microsoft Defender for Cloud přiřazuje každé výstraze závažnost, aby vám pomohl určit prioritu, která upozornění by se měla nejprve prošetřit. Závažnost je založena na tom, jak moc si je Microsoft Defender for Cloud jistý nálezem nebo analýzami použitémi k vydání výstrahy, a také na úrovni důvěry v to, že za aktivitou vedoucí k upozornění byl škodlivý úmysl.

Podobně Microsoft Sentinel vytváří výstrahy a incidenty s přiřazenou závažností a dalšími podrobnostmi na základě analytických pravidel. Použijte šablony analytických pravidel a upravte pravidla podle potřeb vaší organizace, aby podporovala stanovení priorit incidentů. Pomocí pravidel automatizace v Microsoft Sentinelu můžete spravovat a orchestrovat reakci na hrozby, abyste maximalizovali efektivitu a efektivitu týmu vaší operace zabezpečení, včetně označování incidentů, které je klasifikují.

Odpovědnost: Zákazník

IR-6: Omezení, eradikace a zotavení – automatizace zpracování incidentů

Pokyny: Použití funkcí automatizace pracovních postupů v programu Microsoft Defender for Cloud a Microsoft Sentinel k automatické aktivaci akcí nebo spuštění playbooku pro reakci na příchozí výstrahy zabezpečení Playbooky provádějí akce, jako je odesílání oznámení, zakázání účtů a izolace problematických sítí.

Implementace Azure a další kontext:

Odpovědnost: Zákazník

IR-7: Aktivita po incidentu – vedení poznatků a uchovávání důkazů

Pokyny: Pomocí výsledků získaných z aktivity aktualizujte váš plán reakce na incidenty, playbook (například playbook Microsoft Sentinel) a zahrňte zjištění do vašich prostředí (například pomocí protokolování a detekce hrozeb, abyste odstranili mezery v protokolování) s cílem zlepšit vaši budoucí schopnost při detekci, reakci a řešení incidentů v Microsoft Fabric.

Uchovávejte důkazy shromážděné během "detekce a analýzy – prozkoumejte krok incidentu", jako jsou protokoly v úložišti, jako je účet Azure Storage pro neměnné uchovávání.

Odpovědnost: Zákazník

Správa držení a zranitelností

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Stav a správa ohrožení zabezpečení | Microsoft Learn

PV-1: Definování a vytvoření zabezpečených konfigurací

Pokyny: K definování standardních hodnot konfigurace pro každou úlohu použijte standardní hodnoty srovnávacích testů Microsoft Fabric Microsoft Cloud Security. Informace o bezpečnostních prvcích a konfiguracích zabezpečení, které můžou být potřeba v rámci prostředků Microsoft Fabric, najdete v dokumentaci k zabezpečení Microsoft Fabric.

Odpovědnost: Zákazník

PV-2: Auditování a vynucování zabezpečených konfigurací

Doprovodné materiály: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace prostředků Microsoft Fabric Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace.

K vynucení zabezpečené konfigurace napříč prostředky Azure použijte pravidla Azure Policy, například [odepřít].

V případě auditování a vynucování konfigurace prostředků, které Azure Policy nepodporuje, možná budete muset napsat vlastní skripty nebo použít nástroje třetích stran k implementaci auditu a vynucování konfigurace. Monitorujte instanci Microsoft Fabric pomocí rozhraní REST API pro správu.

Odpovědnost: Zákazník

PV-3: Definování a vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Zajistěte, aby výpočetní prostředky Microsoft Fabric, jako jsou úlohy Sparku, mohli zřizovat, spravovat a přistupovat k nim pouze autorizovaní uživatelé. V opačném případě je Microsoft Fabric plně spravovanou nabídkou SaaS, základní výpočetní prostředky služby jsou zabezpečené a spravované Microsoftem.

Odpovědnost: Sdílená

PV-4: Auditování a vynucení zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Microsoft Fabric je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby jsou zabezpečené a spravované Microsoftem.

Odpovědnost: Microsoft

PV-5: Provádění posouzení ohrožení zabezpečení

Pokyny: Bezpečnostní týmy Microsoftu, dodavatelé třetích stran a technické týmy provádějí pravidelné důkladné testování ohrožení zabezpečení a hodnocení produktů a služeb Microsoft Fabric podle požadavků dosažených standardů certifikací a postupů SDL. Zákazníci se můžou rozhodnout provést vlastní posouzení ohrožení zabezpečení pro prostředky Microsoft Fabric na všech úrovních podle pevného plánu nebo na vyžádání.

Odpovědnost: Microsoft

PV-6: Rychlá a automatická náprava zranitelností

Pokyny: Microsoft Fabric je plně spravovaná nabídka SaaS, základní výpočetní prostředky služby se kontrolují a spravují Microsoftem.

Odpovědnost: Microsoft

PV-7: Provádění pravidelných červených operací týmu

Pokyny: Podle potřeby proveďte penetrační testování nebo aktivity červeného týmu týkající se vaší implementace a používání prostředků Microsoft Fabric a zajistěte nápravu všech kritických zjištění zabezpečení. Jako plně spravovaná nabídka SaaS provádí Microsoft Fabric pravidelné penetrační testy; avšak za zabezpečení svých implementací jsou odpovědní zákazníci.

Postupujte podle pravidel pro Microsoft Cloudová penetrační testování, abyste zajistili, že vaše penetrační testy nejsou v rozporu se zásadami Microsoftu. Využijte strategii Microsoftu a provádění red teamingu a penetračního testování živého webu na cloudové infrastruktuře, službách a aplikacích spravovaných Microsoftem.

Odpovědnost: Sdílená

Zabezpečení koncových bodů

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Zabezpečení koncového bodu | Microsoft Learn

Pokyny: Microsoft Fabric nenasazuje žádné výpočetní prostředky přístupné zákazníkům, které by vyžadovaly, aby zákazníci nakonfigurovali ochranu detekce koncových bodů a reakce (EDR). Základní infrastrukturu pro Microsoft Fabric zpracovává Microsoft, která zahrnuje antimalwarové zpracování a zpracování EDR.

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

Odpovědnost: Microsoft

Zálohování a obnovení

Další informace naleznete v tématu Srovnávací test zabezpečení cloudu Microsoftu – Zálohování a obnovení | Microsoft Learn

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Power BI je plně spravovaná služba s vestavěnými funkcemi. Pro prostředky Power BI s vysokou hodnotou jsou k dispozici další možnosti zálohování. K dispozici jsou také širší možnosti zálohování Microsoft Fabric: Spolehlivost v Microsoft Fabric | Microsoft Learn.

Fabric poskytuje zkušenostní pokyny pro zálohování a obnovu po havárii dat a procesů uložených uvnitř a mimo OneLake.

Když jsou data uložená v OneLake: Fabric nabízí replikaci mezi oblastmi pro data uložená v OneLake. Zákazníci se mohou pro tuto funkci rozhodnout na základě svých požadavků na geografickou redundanci, nebo ji odmítnout. V případě regionální katastrofy platforma Fabric zaručuje přístup k datům, i když s určitými omezeními. Zatímco vytváření nebo úpravy nových položek jsou po přepojení omezeny, hlavní důraz zůstává na zajištění, aby stávající data v OneLake zůstala přístupná a nepoškozená. Systém Fabric poskytuje strukturovanou sadu instrukcí, která zákazníky provede procesem obnovení dat.

Když jsou data uložená mimo OneLake: zákazníci musí kopírovat důležitá data a procesy uložené mimo OneLake do jiné oblasti způsobem, který odpovídá plánu zotavení po havárii.

Power BI ve výchozím nastavení zahrnuje zotavení po havárii, nevyžaduje se žádná aktivace. Power BI používá geograficky redundantní replikaci úložiště Azure a geograficky redundantní replikaci Azure SQL , aby se zajistilo, že instance zálohování existují v jiných oblastech pro zajištění větší dostupnosti a snížení rizika. Během přerušení zůstanou položky Power BI (sémantické modely, sestavy, řídicí panely) přístupné v režimu jen pro čtení a podporují průběžnou analýzu a rozhodování.

BR-2: Ochrana zálohovaných a obnovovacích dat

Pokyny: Power BI je plně spravovaná služba, která má integrovanou službu BCDR spravovanou Microsoftem. Systém Fabric poskytuje strukturovanou sadu instrukcí, která zákazníky provede procesem obnovení dat.

Odpovědnost: Sdílená

BR-3: Monitorování záloh

Pokyny: Power BI je plně spravovaná služba, která má integrovanou službu BCDR spravovanou Microsoftem. Zálohy položek Power BI a Microsoft Fabric nakonfigurované zákazníkem by měly být spravované a monitorované zákazníkem.

Odpovědnost: Sdílená

BR-4: Pravidelně testovat zálohu

Pokyny: Power BI je plně spravovaná služba, která má integrovanou službu BCDR spravovanou Microsoftem. Technický tým Microsoftu provádí pravidelné testy BCDR; zákazníci nebudou moct simulovat událost BCDR a otestovat zálohy svých dat tenanta vlastněných Microsoftem. Zálohy vytvořené a vlastněné zákazníkem, jako jsou zálohy sémantických modelů vytvořené zákazníkem a zálohy položek Microsoft Fabric, jsou zodpovědností zákazníka.

Odpovědnost: Sdílená