Azure-Sicherheitsbaseline für Microsoft Defender für IoT
Artikel
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Microsoft Defender für IoT an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird durch die Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Microsoft Defender für IoT definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Das Sicherheitsprofil fasst das Verhalten von Microsoft Defender für IoT mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
Dienstverhaltensattribut
Wert
Produktkategorie
IoT, Sicherheit
Der Kunde kann auf HOST/Betriebssystem zugreifen
Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Featurehinweise: Der Zugriff auf die Datenebene wird über ARM bereitgestellt und vom RBAC-Modell gesteuert.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Features
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/-verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Network Security Group के साथ नेटवर्क ट्रैफ़िक फ़िल्टरिंग का अन्वेषण करें, क्लाउड के लिए Microsoft डिफ़ेंडर सेट करें, लॉग विश्लेषण कार्यस्थान बनाएँ, लॉग विश्लेषण एजेंट एकीकरण, Azure कुंजी वॉल्ट नेटवर्किंग कॉन्फ़िगर करें और Azure पोर्टल में Azure निजी समापन बिंदु का उपयोग करके Azure SQL सर्वर कनेक्ट करें. क्लाउड सुरक्षा को प्रभावी ढंग से बढ़ाएँ। (एससी-5002)