Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Microsoft Fabric an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Microsoft Fabric definiert sind.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Leitfaden: Erstellen und Verwenden verwalteter privater Endpunkte für Notizbücher, Lakehouses und Spark-Auftragsdefinitionen, um eine sichere Verbindung mit Datenquellen hinter privaten Endpunkten herzustellen.
Verantwortung: Geteilt
NS-2: Sichern nativer Clouddienste mit Netzwerksteuerelementen
Leitfaden: Microsoft Fabric unterstützt das Verbinden Ihres Fabric-Mandanten mit einem Endpunkt für private Links und das Deaktivieren des öffentlichen Internetzugriffs
HINWEIS: Microsoft Fabric ist ein SaaS-Dienst, der auf Microsoft Entra ID als Authentifizierungsanbieter basiert. Die Steuerung des eingehenden Netzwerkdatenverkehrs für einen SaaS-Dienst kann mithilfe von Microsoft Entra ID-Richtlinien für bedingten Zugriff erreicht werden.
Verantwortung: Geteilt
NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks
Leitfaden: Microsoft Fabric als SaaS-Angebot, das in Azure Infrastructure gehostet wird, verfügt Microsoft über einige automatische Schutzmaßnahmen, die für bekannte gängige Angriffsvektoren integriert sind.
Verantwortung: Microsoft
NS-4: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)
Leitfaden: Microsoft Fabric verfügt nicht über explizite integrierte Netzwerkangriffserkennungs- und Intrusion Prevention-Systeme (IDS/IPS). Microsoft Fabric ist ein Azure Core-Dienst, der auf Azure Foundation-Diensten basiert, die einige automatische Schutzmaßnahmen für bekannte gängige Angriffsvektoren sowie konfigurierbare Kundenoptionen aufweisen. Microsoft Fabric bietet Zugriff auf Aktivitäts- und Überwachungsprotokolle, die Kunden für die Aktivitätsüberwachung nutzen können:
Verantwortung: Geteilt
NS-5: Bereitstellen von DDOS-Schutz
Leitfaden: Microsoft Fabric verfügt über einen integrierten DDoS-Schutz für häufige Angriffsszenarien. Diese werden von Microsoft verwaltet und gesteuert.
Verantwortung: Microsoft
NS-6: Bereitstellen einer Web Application Firewall
Leitfaden: Microsoft Fabric verfügt über integrierte WAF-Verwaltung und -Steuerung durch Microsoft.
Verantwortung: Microsoft
NS-7: Vereinfachen der Netzwerksicherheitskonfiguration [N/A]
Anleitung: N/A. Microsoft Fabric macht keine zugrunde liegenden Konfigurationen verfügbar; Diese Einstellungen werden von Microsoft verwaltet.
NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle [N/A]
Anleitung: N/A. Microsoft Fabric macht keine zugrunde liegenden Konfigurationen verfügbar; Diese Einstellungen werden von Microsoft verwaltet.
NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung
Leitfaden: Microsoft Fabric bietet Unterstützung für virtuelle Netzwerke und lokale Datengateways.
Verantwortung: Kunde
NS-10: Sicherstellen der Dns-Sicherheit (Domain Name System) [N/A]
Anleitung: N/A. Microsoft Fabric macht seine zugrunde liegenden DNS-Konfigurationen nicht verfügbar; Diese Einstellungen werden von Microsoft verwaltet.
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Identitätsverwaltung
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Leitfaden: Microsoft Fabric ist in die Microsoft Entra-ID integriert, die der Standardmäßige Identitäts- und Zugriffsverwaltungsdienst von Azure ist. Sie sollten die Microsoft Entra-ID standardisieren, um die Identitäts- und Zugriffsverwaltung Ihrer Organisation zu steuern.
Die Sicherung der Microsoft Entra-ID sollte in der Cloudsicherheitspraxis Ihrer Organisation eine hohe Priorität haben. Die Microsoft Entra-ID bietet eine Identitätssicherheitsbewertung, mit der Sie den Identitätssicherheitsstatus im Verhältnis zu den Empfehlungen für bewährte Methoden von Microsoft bewerten können. Verwenden Sie die Bewertung, um zu beurteilen, wie gut Ihre Konfiguration den Empfehlungen zu bewährten Methoden entspricht, und um Ihren Sicherheitsstatus zu verbessern.
Hinweis: Microsoft Entra-ID unterstützt externe Identitäten, mit denen Benutzer ohne ein Microsoft-Konto sich bei ihren Anwendungen und Ressourcen mit ihrer externen Identität anmelden können. Für das Szenario von Microsoft Fabric-Gastbenutzern finden Sie unten auf der B2B-Seite.
Verantwortung: Kunde
CHAT-2: Schützen von Identitäts- und Authentifizierungssystemen
Leitfaden: Sichern Sie Ihr Identitäts- und Authentifizierungssystem als eine hohe Priorität in der Cloudsicherheitspraxis Ihrer Organisation. Verwenden Sie microsoft Entra ID-Sicherheitsgrundwerte und die Microsoft Entra ID Identity Secure Score, um Ihren Sicherheitsstatus ihrer Microsoft Entra ID zu bewerten und Sicherheits- und Konfigurationslücken zu beheben.
Verantwortung: Kunde
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Leitfaden: Verwenden Sie verwaltete Identitäten anstelle von Personalkonten für den Zugriff auf Ressourcen. Sie reduzieren die Gefährdung von Anmeldeinformationen und unterstützen die automatische Drehung von Anmeldeinformationen für eine bessere Sicherheit. Microsoft Fabric, Power BI und Power BI Embedded unterstützen die Verwendung von Arbeitsbereichsidentitäten und Dienstprinzipalen. Power BI Embedded unterstützt Dienstprinzipienprofile.
Verantwortung: Kunde
CHAT-4: Authentifizieren von Servern und Diensten
Leitfaden: Authentifizieren von Remoteservern mithilfe von TLS, um vertrauenswürdige Verbindungen sicherzustellen. Clients überprüfen Serverzertifikate von vertrauenswürdigen Behörden. Kunden sollten sicherstellen, dass ihre Datenaufnahmeprozesse angemessen gesichert sind. Microsoft Fabric erzwingt TLS 1.2+ für alle Verbindungen.
Verantwortung: Kunde
IM-5: Verwenden des einmaligen Anmeldens (Single Sign-On, SSO) für den Anwendungszugriff
Leitfaden: Verwenden Sie einmaliges Anmelden (Single Sign-On, SSO), um die Benutzererfahrung für die Authentifizierung für Ressourcen einschließlich Anwendungen und Daten über Clouddienste und lokale Umgebungen hinweg zu vereinfachen.
Microsoft Fabric verwendet Microsoft Entra-ID, um die Identitäts- und Zugriffsverwaltung für Azure-Ressourcen, Cloudanwendungen und lokale Anwendungen bereitzustellen. Dies umfasst sowohl Unternehmensidentitäten wie Mitarbeiter als auch externe Identitäten wie Partner, Anbieter und Zulieferer. Auf diese Weise kann der Zugriff auf die Daten und Ressourcen Ihrer Organisation lokal und in der Cloud durch einmaliges Anmelden (Single Sign-On, SSO) verwaltet und geschützt werden.
Verantwortung: Kunde
Chat-6: Verwenden sicherer Authentifizierungssteuerelemente
Leitfaden: Erzwingen von starken Authentifizierungssteuerelementen mit zentralem Identitäts- und Authentifizierungsverwaltungssystem für den gesamten Zugriff auf Ressourcen.
Einführung in kennwortlose Authentifizierungsoptionen für Azure Active Directory
Entfernen von ungültigen Kennwörtern mithilfe von Microsoft Entra ID Password Protection
Microsoft Fabric basiert auf der Microsoft Entra-ID, um Benutzer (oder Dienstprinzipale) zu authentifizieren. Bei der Authentifizierung erhalten Benutzer Zugriffstoken von der Microsoft Entra-ID.
Verantwortung: Kunde
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Leitfaden: Überprüfen Sie explizit vertrauenswürdige Signale, um den Benutzerzugriff auf Ressourcen im Rahmen eines Zero-Trust-Zugriffsmodells zuzulassen oder zu verweigern. Der bedingte Zugriff von Microsoft Entra ID stellt sicher, dass Mandanten durch Erzwingen der mehrstufigen Authentifizierung sicher sind, sodass nur intune registrierte Geräte auf bestimmte Dienste zugreifen und Benutzerspeicherorte und IP-Bereiche eingeschränkt werden können.
Verantwortung: Kunde
Chat-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln
Leitfaden: Eine Fabric-Arbeitsbereichsidentität ist ein dienstprinzipal ohne Anmeldeinformationen, der die Authentifizierung für Fabric-Elemente bereitstellt, indem sie mit von Microsoft Entra unterstützten Ressourcen verbunden werden.
Für Microsoft Fabric-Elemente wird empfohlen, den Anmeldeinformationsscanner zu implementieren, um Anmeldeinformationen in Ihrem Code zu identifizieren. Der Anmeldeinformationsscanner empfiehlt auch das Verschieben von ermittelten Anmeldeinformationen zu sichereren Speicherorten wie Azure Key Vault.
Für GitHub können Sie systemeigene geheime Scanfunktionen verwenden, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.
Verantwortung: Kunde
IM-9: Sichern des Benutzerzugriffs auf vorhandene Anwendungen
Leitfaden: Microsoft Fabric unterstützt die Verbindung mit lokalen Datenquellen über das lokale Datengateway, die sichere Übertragung von Daten aus Ihrer lokalen Umgebung an Fabric-Elemente wie Dataflow Gen2 und Semantikmodelle.
Verantwortung: Kunde
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Privileged Access | Microsoft Learn
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Leitfaden: Stellen Sie sicher, dass Sie alle Microsoft Fabric-Konten mit hohen Geschäftlichen Auswirkungen wie Fabric oder globale Administratoren identifizieren. Beschränken Sie die Anzahl der privilegierten/administrativen Konten in Ihrer Microsoft Fabric-Kontrollebene, Verwaltungsebene und Daten/Workload-Ebene. Sie müssen alle Rollen mit direktem oder indirekten Administratorzugriff schützen. Erwägen Sie die Verwendung von Privileged Identity Management (PIM) und Dienstprinzipale mit aufgabenspezifischen Berechtigungen (z. B. SPN-schreibgeschützter Zugriff auf Administrator-APIs). Seien Sie vorsichtig und vorsichtig, wenn Sie Einstellungen an Kapazitäts- und Arbeitsbereichsadministratoren delegieren
Erste Schritte mit der Verwaltung des privilegierten Zugriffs
Aktivieren der Dienstprinzipalauthentifizierung für Administrator-APIs in Microsoft Fabric
Verantwortung: Kunde
PA-2: Vermeiden des ständigen Zugriffs für Benutzerkonten und Berechtigungen [N/A]
Leitfaden: N/A
PA-3: Verwalten des Lebenszyklus von Identitäten und Berechtigungen
Leitfaden: Verwenden Sie einen automatisierten Prozess oder eine andere geeignete technische Kontrolle, um Zugriffsberechtigungen für den Mandanten und seine Elemente zu überwachen und zu verwalten.
Verantwortung: Kunde
PA-4: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs
Leitfaden: Als Microsoft Fabric-Dienstadministrator können Sie die Verwendung für alle Fabric-Ressourcen auf Mandantenebene analysieren, indem Sie benutzerdefinierte Berichte basierend auf den Aktivitäts- oder Microsoft 365-Überwachungsprotokollen verwenden. Sie können die Aktivitäten mithilfe einer REST-API oder eines PowerShell-Cmdlets herunterladen. Sie können die Aktivitätsdaten auch nach Datumsbereich, Benutzer und Aktivitätstyp filtern.
Sie müssen diese Anforderungen erfüllen, um auf das Aktivitätsprotokoll zuzugreifen:
Sie müssen entweder ein globaler Administrator oder ein Fabric-Dienstmandantenadministrator sein.
Sie haben die Power BI-Verwaltungs-Cmdlets lokal installiert oder verwenden die Power BI-Verwaltungs-Cmdlets in Azure Cloud Shell.
Sobald diese Anforderungen erfüllt sind, können Sie die nachstehenden Anleitungen befolgen, um Benutzeraktivitäten in Fabric nachzuverfolgen:
Führen Sie regelmäßige Benutzerzugriffsüberprüfungen durch, um sicherzustellen, dass Berechtigungen basierend auf Benutzer- und Geschäftsfunktionen entsprechend festgelegt werden.
Verantwortung: Kunde
PA-5: Einrichten des Notfallzugriffs [N/A]
Leitfaden: N/A
PA-6: Verwenden von Arbeitsstationen mit privilegiertem Zugriff
Leitfaden: Gesicherte, isolierte Arbeitsstationen sind für die Sicherheit vertraulicher Rollen wie Administratoren, Entwickler und kritischer Dienstanbieter von entscheidender Bedeutung. Verwenden Sie hochsichere Benutzerarbeitsstationen und/oder Azure Bastion für administrative Aufgaben im Zusammenhang mit der Verwaltung von Microsoft Fabric. Verwenden Sie Microsoft Entra-ID, Microsoft Defender Advanced Threat Protection (ATP) und/oder Microsoft Intune, um eine sichere und verwaltete Benutzerarbeitsstation für administrative Aufgaben bereitzustellen. Die gesicherten Workstations können zentral verwaltet werden, um eine gesicherte Konfiguration einschließlich starker Authentifizierung, Software- und Hardwarebaselines, eingeschränktem logischen und Netzwerkzugang durchzusetzen.
Verwenden Sie Richtlinien für bedingten Zugriff, um hoch privilegierte Anmeldungen nur von kompatiblen Geräten in zulässigen IP-Bereichen zu erzwingen.
Verantwortung: Kunde
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Anleitung: Befolgen Sie das Prinzip der nur ausreichenden Verwaltung (geringste Berechtigungen), um Berechtigungen auf feiner ebene zu verwalten. Verwenden Sie Features wie die rollenbasierte Zugriffssteuerung (RBAC), um den Ressourcenzugriff über Rollenzuweisungen zu verwalten. Siehe Berechtigungsmodell in PA-3.
Verantwortung: Kunde
PA-8 Ermitteln des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Leitfaden: Einrichten eines Genehmigungs- und Zugriffspfads zum Anfordern und Genehmigen von Supportanfragen von Anbietern und temporärem Zugriff auf Ihre Daten über einen sicheren Kanal. Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um jede von Microsoft vorgenommene Datenzugriffsanforderung zu überprüfen und zu genehmigen oder abzulehnen.
Verantwortung: Kunde
Datenschutz
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Datenschutz | Microsoft Learn
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Leitfaden: Verwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection für Ihre Microsoft Fabric-Elemente, um Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen. Verwenden Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection, um Ihre Berichte, Dashboards, Datasets, Datenflüsse und andere Elemente im Microsoft Fabric-Dienst zu klassifizieren und zu kennzeichnen und um Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen, wenn Inhalte aus Microsoft Fabric in Dateiformate exportiert werden, die Bezeichnungen wie Excel, PowerPoint und PDF-Dateien unterstützen.
Verantwortung: Kunde
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Leitfaden: Verwenden Sie Microsoft Purview-Richtlinien zur Verhinderung von Datenverlust, um das Hochladen vertraulicher Daten zu erkennen und automatische Risikobehebungsprobleme auszulösen.
Informationen zur Verhinderung von Datenverlust | Microsoft Learn
Nachverfolgen von Benutzeraktivitäten in Power BI – Power BI | Microsoft Learn
Verantwortung: Kunde
DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung
Leitfaden: Stellen Sie sicher, dass alle Clients und Datenquellen, die eine Verbindung mit Ihren Microsoft Fabric-Ressourcen herstellen, TLS v1.2 oder höher aushandeln können.
Verantwortung: Kunde
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Leitfaden: Microsoft Fabric verschlüsselt alle Ruhedaten und während der Übertragung. Microsoft Fabric verwendet standardmäßig von Microsoft verwaltete Schlüssel, um Ihre Daten zu verschlüsseln.
Verantwortung: Microsoft
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Leitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem vom Kunden verwaltete Schlüsseloption erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln im Microsoft Fabric-Dienst. Organisationen können ihre eigenen Schlüssel für die Verschlüsselung ruhender Daten für importierte semantische Modelle verwenden, die in Arbeitsbereichen in Premium-Kapazitäten gehostet werden.
Verantwortung: Kunde
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Leitfaden: Verwenden eines sicheren Schlüsseltresordiensts für die Schlüsselgenerierung, -verteilung und -speicherung. Drehen und widerrufen Sie Ihre Schlüssel basierend auf dem definierten Zeitplan gemäß den geltenden Standards und wenn es eine wichtige Einstellung oder Kompromittierung gibt.
HINWEIS: Power BI BYOK unterstützt den HSM-Schlüsselimport in AKV Premium.
Verantwortung: Kunde
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses [N/A]
Leitfaden: N/A
DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikat-Repositorys [N/A]
Leitfaden: N/A
Anlagenverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Asset Management | Microsoft Learn
AM-1: Nachverfolgen des Ressourcenbestands und der zugehörigen Risiken
Leitfaden: Als SaaS-Dienst wird das physische Inventar von Hardware und Geräten von Microsoft überwacht. Für die Überwachung von Fabric-Ressourcen verwenden Sie die Fabric Scanner-API zum Einrichten der Metadatenüberprüfung der Fabric-Elemente Ihrer Organisation.
Verantwortung: Geteilt
AM-2: Nur genehmigte Dienste verwenden
Leitfaden: Verwenden Sie Azure-Richtlinien, um zu steuern, wer Fabric-Kapazitäten bereitstellen kann. Stellen Sie sicher, dass nur genehmigte Microsoft Fabric-Workloads auf dem Mandanten verwendet werden können, indem Sie überwachen und einschränken, welche Workloads Benutzer im Mandanten erstellen und darauf zugreifen können. Verwenden Sie eine Kombination aus delegierten Steuerelementen des Mandanten, der Kapazität oder des Arbeitsbereichsadministrators, die diese Steuerungsebene bereitstellen.
Ablehnen eines bestimmten Ressourcentyps mit Azure-Richtlinie
Mandanteneinstellungen delegieren – Microsoft Fabric | Microsoft Learn
Verantwortung: Kunde
AM-3: Gewährleisten von Sicherheit bei der Lebenszyklusverwaltung von Ressourcen
Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/Prozessen zur Verwaltung von Ressourcenlebenszyklus für potenziell starke Änderungen. Zu diesen Änderungen gehören Änderungen an Zugriff, Datenempfindlichkeitsstufe, Netzwerkkonfiguration und Administratorberechtigungszuweisung an Microsoft Fabric-Mandanten, -Kapazitäten und -Arbeitsbereiche.
Identifizieren und Entfernen von Microsoft Fabric-Ressourcen, wenn sie nicht mehr benötigt werden.
Verantwortung: Kunde
AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung
Leitfaden: Verwenden Sie das Prinzip der geringsten Berechtigungen, wenn Sie Mandanten, Arbeitsbereichen und Artefakten Benutzerberechtigungen zuweisen. Stellen Sie sicher, dass die Anzahl der Benutzer, die über hoch privilegierte Rollen verfügen, eingeschränkt ist. Beschränken Sie den Zugriff der Benutzer auf Microsoft Fabric-Verwaltungsfeatures, um versehentliche oder böswillige Änderungen der Elemente in Ihrem Microsoft Fabric-Mandanten zu vermeiden.
Was ist die Microsoft Fabric-Verwaltung? – Microsoft Fabric | Microsoft Learn
Arbeitsbereich-Administratoreinstellungen – Microsoft Fabric | Microsoft Learn
Verwalten der Fabric-Kapazität – Microsoft Fabric | Microsoft Learn
Rollen in Arbeitsbereichen in Microsoft Fabric – Microsoft Fabric | Microsoft Learn
Verantwortung: Kunde
AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden [N/A]
Leitfaden: N/A
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark – Protokollierung und Bedrohungserkennung | Microsoft Learn
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Leitfaden: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilter- und Analyseregeln, um qualitativ hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren, um falsch positive Ergebnisse zu reduzieren. Aktivitäts- und Microsoft 365-Protokollierung auf dem Microsoft Fabric-Mandanten sind standardmäßig aktiviert.
Microsoft Purview Compliance Manager–Warnungen und Warnungsrichtlinien
Überlegungen für DSPM für KI - Datensicherheit und Compliance-Schutz für Copilot
Verantwortung: Kunde
LT-2: Aktivieren der Bedrohungserkennung für Azure-Identitäts- und Zugriffsverwaltung
Leitfaden: Leiten Sie alle Protokolle von Microsoft Fabric an Ihr SIEM weiter, die zum Einrichten von benutzerdefinierten Bedrohungserkennungen verwendet werden können. Verwenden Sie außerdem Microsoft Defender für Cloud-Apps-Steuerelemente in Power BI, um anomaliebasierte Erkennung zu ermöglichen, indem Sie den Leitfaden "Verwenden von Microsoft Defender for Cloud Apps"-Steuerelementen in Power BI ausführen.
Verantwortung: Kunde
LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Leitfaden: Aktivitäts- und Überwachungsprotokolle in Microsoft Fabric sind standardmäßig aktiviert. Es stehen zusätzliche Protokollierungs- und Überwachungsoptionen zur Verfügung und können auf Arbeitsbereichsebene für Ressourcen mit hohem Wert konfiguriert werden.
Verantwortung: Kunde
LT-4: Aktivieren der Netzwerkprotokollierung für sicherheitsrelevante Untersuchungen
Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, und die zugrunde liegende Netzwerkkonfiguration und Protokollierung liegt in der Verantwortung von Microsoft. Für Kunden, die private Links verwenden, stehen einige Protokollierungs- und Überwachungsfunktionen zur Verfügung, die konfiguriert werden können.
Verantwortung: Geteilt
LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen
Leitfaden: Microsoft Fabric zentralisiert Protokolle an zwei Stellen: das Power BI-Aktivitätsprotokoll und das einheitliche Überwachungsprotokoll. Diese Protokolle enthalten beide eine vollständige Kopie der Microsoft Fabric-Überwachungsdaten, aber es gibt mehrere wichtige Unterschiede, wie unten zusammengefasst.
Einheitliches Überwachungsprotokoll:
Umfasst Ereignisse aus SharePoint Online, Exchange Online, Dynamics 365 und anderen Diensten zusätzlich zu den Power BI- und Microsoft Fabric-Überwachungsereignissen.
Nur Benutzer wie beispielsweise globale Administratoren oder Prüfer mit der Rolle „Überwachungsprotokolle nur anzeigen“ oder „Berechtigungen der Überwachungsprotokolle“ haben darauf Zugriff.
Globale Administratoren und Auditoren können das einheitliche Überwachungsprotokoll mithilfe des Microsoft Defender XDR-Portals und des Microsoft Purview-Portals durchsuchen.
Globale Administratoren und Auditoren können Überwachungsprotokolleinträge mithilfe von Microsoft 365-Verwaltungs-APIs und Cmdlets herunterladen.
Speichert Überwachungsdaten für 180 Tage.
Speichert Überwachungsdaten, auch wenn der Mandant in eine andere Azure-Region verschoben wird.
Power BI-Aktivitätsprotokoll:
Umfasst nur die Microsoft Fabric- und Power BI-Überwachungsereignisse.
Globale Administratoren und Microsoft Fabric-Dienstadministratoren haben Zugriff.
Globale Administratoren und Microsoft Fabric-Dienstadministratoren können Aktivitätsprotokolleinträge mithilfe einer Power BI-REST-API und eines Verwaltungs-Cmdlets herunterladen.
Speichert Aktivitätsdaten für 30 Tage.
Speichert Aktivitätsdaten nicht, wenn der Mandant in eine andere Azure-Region verschoben wird.
Weitere Informationen finden Sie in den folgenden Referenzen:
Verantwortung: Kunde
LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher
Leitfaden: Konfigurieren Sie Ihre Speicheraufbewahrungsrichtlinien für Ihre Überwachungsprotokolle gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen.
Verantwortung: Kunde
LT-7: Verwenden genehmigter Zeitsynchronisierungsquellen
Leitfaden: Microsoft Fabric unterstützt nicht das Konfigurieren eigener Zeitsynchronisierungsquellen. Der Microsoft Fabric-Dienst basiert auf Microsoft-Zeitsynchronisierungsquellen und wird kunden nicht für die Konfiguration verfügbar gemacht.
Verantwortung: Microsoft
Reaktion auf Vorfälle
Microsoft Cloud Security Benchmark – Reaktion auf Vorfälle | Microsoft Learn
IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren
Leitfaden: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen in Microsoft Fabric einzubeziehen. Passen Sie basierend auf den verwendeten Microsoft Fabric-Workloads und Ihren Anwendungen, die auf Microsoft Fabric basieren, den Plan für die Reaktion auf Vorfälle und playbook an, um sicherzustellen, dass sie verwendet werden können, um auf den Vorfall in der Cloudumgebung zu reagieren.
Implementieren von Sicherheit in der gesamten Unternehmensumgebung
NIST SP800-61 Leitfaden zur Behandlung von Sicherheitsvorfällen
Verantwortung: Kunde
IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen
Leitfaden: Einrichten von Kontaktinformationen zu Sicherheitsvorfällen in Microsoft Defender für Cloud. Diese Kontaktinformationen werden von Microsoft verwendet, um Sie zu kontaktieren, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Sie haben auch Optionen zum Anpassen von Vorfallwarnungen und Benachrichtigungen in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.
Verantwortung: Kunde
IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität
Leitfaden: Microsoft Defender für Cloud bietet qualitativ hochwertige Warnungen in vielen Azure-Ressourcen. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Microsoft Sentinel zu streamen. Mit Microsoft Sentinel können Sie erweiterte Warnungsregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie Ihre Microsoft Defender für Cloud-Warnungen und Empfehlungen mithilfe des Exportfeatures, um Risiken für Microsoft Fabric und andere Azure-Ressourcen zu identifizieren. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich.
Verantwortung: Kunde
IR-4: Erkennung und Analyse - Untersuchen eines Vorfalls
Leitfaden: Verstehen, wie Sie standardmäßig auf Microsoft Fabric-Aktivitäts- und Überwachungsprotokolle zugreifen und diese verwenden. Aktivieren Sie die optionale Protokollierung für Ressourcen mit hohem Wert (siehe LT-3). Erwägen Sie, Ihre Protokolle nach Microsoft Sentinel zu exportieren. Nutzen Sie Protokolle, die von Diensten bereitgestellt werden, die von Microsoft Fabric in z. B. Microsoft Entra ID integriert werden. HINWEIS: Die Benutzeranmeldung bei Power BI oder Fabric in den Aktivitätsprotokollen wird nicht nachverfolgt; Überwachungsprotokolle erfassen Dienstanmeldungen. Die Datensatztypkategorie unterscheidet sich (z. B. PowerBIAudit für Power BI- und Microsoft Fabric-Ereignisse und AzureActiveDirectoryStsLogon zum Nachverfolgen von Dienstanmeldungen).
Verantwortung: Kunde
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie zuerst priorisieren können, welche Warnungen untersucht werden sollen. Der Schweregrad basiert darauf, wie sicher sich Microsoft Defender für Cloud bei der Feststellung oder Analyse fühlt, die zur Ausgabe der Warnung verwendet wird, sowie auf dem Grad der Gewissheit, dass es böswillige Absichten hinter der Aktivität gab, die zur Warnung führte.
Ebenso erstellt Microsoft Sentinel Warnungen und Vorfälle mit einem zugewiesenen Schweregrad und anderen Details basierend auf Analyseregeln. Verwenden Sie Analyseregelvorlagen, und passen Sie die Regeln entsprechend den Anforderungen Ihrer Organisation an, um die Priorisierung von Vorfällen zu unterstützen. Verwenden Sie Automatisierungsregeln in Microsoft Sentinel, um die Reaktion auf Bedrohungen zu verwalten und zu koordinieren, um die Teameffizienz und Effektivität Ihres Sicherheitsvorgangs zu maximieren, einschließlich kategorisieren von Vorfällen, um sie zu klassifizieren.
Verantwortung: Kunde
IR-6: Eingrenzung, Beseitigung und Wiederherstellung: Automatisieren der Incidentbehandlung
Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Microsoft Sentinel, um Aktionen automatisch auszulösen oder ein Playbook auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Playbooks ergreifen Aktionen, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Azure-Implementierung und zusätzlicher Kontext:
Konfigurieren der Workflowautomatisierung im Security Center
Einrichten automatisierter Bedrohungsantworten in Microsoft Defender für Cloud
Einrichten automatisierter Bedrohungsantworten in Microsoft Sentinel
Verantwortung: Kunde
IR-7: Aktivitäten nach einem Vorfall – Erfahrungen sammeln und Beweise aufbewahren
Leitfaden: Verwenden Sie das Ergebnis aus den gelernten Aktivitäten, um Ihren Plan für die Reaktion auf Vorfälle, das Playbook (z. B. ein Microsoft Sentinel-Playbook) zu aktualisieren und Erkenntnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung) zu integrieren, um Ihre zukünftige Fähigkeit zum Erkennen, Reagieren und Behandeln von Vorfällen in Microsoft Fabric zu verbessern.
Bewahren Sie die während der "Erkennung und Analyse – Untersuchen eines Vorfallschritts" gesammelten Nachweise auf, z. B. Protokolle im Speicher, z. B. ein Azure Storage-Konto zur unveränderlichen Aufbewahrung.
Verantwortung: Kunde
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Haltungs- und Sicherheitsrisikomanagement | Microsoft Learn
PV-1: Definieren und Einrichten sicherer Konfigurationen
Leitfaden: Verwenden Sie den Microsoft Fabric Microsoft Cloud Security Benchmark-Basisplan, um Ihre Konfigurationsbasiswerte für jede Workload zu definieren. In der Microsoft Fabric-Sicherheitsdokumentation finden Sie Informationen zu Sicherheitskontrollen und Konfigurationen, die möglicherweise in Microsoft Fabric-Ressourcen erforderlich sind.
Verantwortung: Kunde
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
Leitfaden: Verwenden Sie Microsoft Defender für Cloud zum Konfigurieren der Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Microsoft Fabric Azure-Ressourcen. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde.
Verwenden Sie Azure-Richtlinien, z. B. [Verweigern]-Regeln, um eine sichere Konfiguration über Azure-Ressourcen hinweg zu erzwingen.
Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von Der Azure-Richtlinie nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren. Überwachen Sie Ihre Microsoft Fabric-Instanz mithilfe der Admin-REST-APIs.
Verantwortung: Kunde
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Leitfaden: Stellen Sie sicher, dass nur autorisierte Mitarbeiter Microsoft Fabric-Computeressourcen wie Spark-Aufträge bereitstellen, verwalten und darauf zugreifen können. Andernfalls ist Microsoft Fabric ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gesichert und verwaltet.
Verantwortung: Geteilt
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gesichert und verwaltet.
Verantwortung: Microsoft
PV-5: Durchführen von Sicherheitsrisikobewertungen
Leitfaden: Microsoft-Sicherheitsteams, Drittanbieter und Entwicklungsteams führen regelmäßige strenge Sicherheitsrisikentests und -bewertungen von Microsoft Fabric-Produkten und -Diensten gemäß den Anforderungen erreichter Zertifizierungsstandards und SDL-Praktiken durch. Kunden können sich entscheiden, ihre eigene Sicherheitsrisikobewertung für Microsoft Fabric-Ressourcen auf allen Ebenen nach einem festen Zeitplan oder bei Bedarf durchzuführen.
Verantwortung: Microsoft
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gescannt und verwaltet.
Verantwortung: Microsoft
PV-7: Regelmäßig Red Team-Operationen durchführen
Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre Implementierung und Verwendung von Microsoft Fabric-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher. Als vollständig verwaltetes SaaS-Angebot führt Microsoft Fabric regelmäßige Penetrationstests durch; Kundenimplementierungen sind jedoch die Verantwortung des Kunden zu sichern.
Befolgen Sie die Microsoft Cloud Penetration Testing Rules of Engagement, um sicherzustellen, dass Ihre Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Verwenden Sie die Strategie und Ausführung von Red Teaming und Live Site Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, -Dienste und -Anwendungen.
Verantwortung: Geteilt
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Endpunktsicherheit | Microsoft Learn
Leitfaden: Microsoft Fabric stellt keine vom Kunden zugänglichen Computeressourcen bereit, die Kunden zum Konfigurieren des Endpunkterkennungs- und Reaktionsschutzes (Endpoint Detection and Response, EDR) erfordern. Die zugrunde liegende Infrastruktur für Microsoft Fabric wird von Microsoft verarbeitet, einschließlich Anti-Malware- und EDR-Behandlung.
Weitere Informationen finden Sie im Azure Security Benchmark: Netzwerksicherheit
Verantwortung: Microsoft
Sicherung und Wiederherstellung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Sicherung und Wiederherstellung | Microsoft Learn
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Leitfaden: Power BI ist ein vollständig verwalteter Dienst, der integriert ist. Es stehen zusätzliche Sicherungsoptionen für hochwertige Power BI-Ressourcen zur Verfügung. Darüber hinaus stehen umfassendere Microsoft Fabric-Sicherungsoptionen zur Verfügung: Zuverlässigkeit in Microsoft Fabric | Microsoft Learn.
Fabric bietet erfahrungsspezifische Anleitungen für die Sicherung und Notfallwiederherstellung von Daten und Prozessen, die innerhalb und außerhalb von OneLake gespeichert sind.
Wenn Daten in OneLake gespeichert werden: Fabric bietet eine regionsübergreifende Replikation für in OneLake gespeicherte Daten. Kunden können dieses Feature basierend auf ihren Anforderungen an Georedundanz aktivieren oder deaktivieren. In einem regionalen Notfallszenario garantiert Fabric den Datenzugriff mit bestimmten Einschränkungen. Während die Erstellung oder Änderung neuer Elemente nach dem Failover eingeschränkt ist, bleibt der primäre Fokus auf der Sicherstellung, dass vorhandene Daten in OneLake weiterhin zugänglich und intakt bleiben. Fabric bietet eine strukturierte Reihe von Anweisungen, die Kunden durch den Wiederherstellungsvorgang für Daten führen.
Wenn Daten außerhalb von OneLake gespeichert werden: Kunden müssen kritische Daten und Prozesse, die außerhalb von OneLake gespeichert sind, in eine andere Region kopieren, um ihren Notfallwiederherstellungsplan auszurichten.
Power BI enthält standardmäßig die Notfallwiederherstellung, ohne dass eine Aktivierung erforderlich ist. Power BI verwendet die georedundante Azure Storage-Replikation und die georedundante Azure SQL-Replikation , um sicherzustellen, dass Sicherungsinstanzen in anderen Regionen vorhanden sind, um eine höhere Verfügbarkeit und ein verringertes Risiko zu gewährleisten. Während Unterbrechungen bleiben Power BI-Elemente (semantische Modelle, Berichte, Dashboards) im schreibgeschützten Modus zugänglich und unterstützen fortlaufende Analysen und Entscheidungsfindung.
Erfahrungsspezifische Anleitungen für Sicherung und Notfallwiederherstellung
Sichern und Wiederherstellen von Power BI Premium-Semantikmodellen
BR-2: Schützen von Sicherungs- und Wiederherstellungsdaten
Leitfaden: Power BI ist ein vollständig verwalteter Dienst, der integrierte BCDR von Microsoft verwaltet hat. Fabric bietet eine strukturierte Reihe von Anweisungen, die Kunden durch den Wiederherstellungsvorgang für Daten führen.
Verantwortung: Geteilt
BR-3: Backups überwachen
Leitfaden: Power BI ist ein vollständig verwalteter Dienst, der integrierte BCDR von Microsoft verwaltet hat. Power BI- und Microsoft Fabric-Elementsicherungen, die vom Kunden konfiguriert wurden, sollten vom Kunden verwaltet und überwacht werden.
Verantwortung: Geteilt
BR-4: Regelmäßiges Testen der Sicherung
Leitfaden: Power BI ist ein vollständig verwalteter Dienst, der integrierte BCDR von Microsoft verwaltet hat. Das Microsoft-Entwicklungsteam führt regelmäßige BCDR-Tests durch; Kunden können das BCDR-Ereignis nicht simulieren und microsoft-eigene Sicherungen ihrer Mandantendaten testen. Vom Kunden erstellte und im Besitz befindliche Sicherungen wie semantische Modellsicherungen, die von Kunden- und Microsoft Fabric-Elementsicherungen erstellt wurden, sind Kundenverantwortung.
Verantwortung: Geteilt