Säkerhetsstatus för Microsoft Defender för molnet

Översikt över säkerhetspoäng

Microsoft Defender för molnet har två huvudmål:

  • för att hjälpa dig att förstå din aktuella säkerhetssituation
  • för att hjälpa dig att effektivt förbättra din säkerhet

Den centrala funktionen i Defender för molnet som gör att du kan uppnå dessa mål är säkerhetspoängen.

Defender för molnet utvärderar kontinuerligt dina molnöverskridande resurser för säkerhetsproblem. Den sammanställer sedan alla resultat till en enda poäng så att du snabbt kan se din aktuella säkerhetssituation: ju högre poäng, desto lägre identifierad risknivå.

  • På de Azure Portal sidorna visas säkerhetspoängen som ett procentvärde och de underliggande värdena visas också tydligt:

    Övergripande säkerhetspoäng som visas i portalen.

  • I Azure-mobilappen visas säkerhetspoängen som ett procentvärde och du kan trycka på säkerhetspoängen för att se informationen som förklarar poängen:

    Övergripande säkerhetspoäng som visas i Azure-mobilappen.

Om du vill öka säkerheten går du till sidan med rekommendationer för Defender för molnet och åtgärdar rekommendationen genom att implementera reparationsanvisningarna för varje problem. Rekommendationerna grupperas i säkerhetskontroller. Varje kontroll är en logisk grupp med relaterade säkerhetsrekommendationer och återspeglar dina sårbara attackytor. Poängen förbättras bara när du åtgärdar alla rekommendationer för en enskild resurs i en kontroll. Om du vill se hur väl din organisation skyddar varje enskild attackyta kan du granska poängen för varje säkerhetskontroll.

Mer information finns i Hur din säkerhetspoäng beräknas nedan.

Hantera din säkerhetsstatus

På sidan Säkerhetsstatus kan du se säkerhetspoängen för hela prenumerationen och varje miljö i din prenumeration. Som standard visas alla miljöer.

Skärmbild av sidan för säkerhetsstatus.

Sidavsnitt Description
Skärmbild som visar de olika miljöalternativen. Välj din miljö för att se dess säkerhetspoäng och information. Flera miljöer kan väljas samtidigt. Sidan ändras baserat på ditt val här.
Skärmbild av miljöavsnittet på sidan för säkerhetsstatus. Visar det totala antalet prenumerationer, konton och projekt som påverkar din övergripande poäng. Den visar också hur många resurser som inte är felfria och hur många rekommendationer som finns i dina miljöer.

På den nedre halvan av sidan kan du visa och hantera visning av enskilda säkra poäng, antal resurser som inte är felfria och till och med visa rekommendationerna för alla dina enskilda prenumerationer, konton och projekt.

Du kan gruppera det här avsnittet efter miljö genom att markera kryssrutan Gruppera efter miljö.

Skärmbild av den nedre halvan av säkerhetsstatussidan.

Så här beräknas säkerhetspoäng

Varje säkerhetskontrolls bidrag till den övergripande säkerhetspoängen visas på rekommendationssidan.

Säkerhetskontrollerna i Microsoft Defender för molnet och deras inverkan på din säkerhetspoäng.

För att få alla möjliga punkter för en säkerhetskontroll måste alla dina resurser följa alla säkerhetsrekommendationer i säkerhetskontrollen. Defender för molnet har till exempel flera rekommendationer om hur du skyddar dina hanteringsportar. Du måste åtgärda dem alla för att göra skillnad för din säkerhetspoäng.

Exempelresultat för en kontroll

Skärmbild som visar hur du tillämpar säkerhetskontrollen för systemuppdateringar.

I det här exemplet:

  • Åtgärda säkerhetskontroller för säkerhetsrisker – Den här kontrollen grupperar flera rekommendationer som rör identifiering och lösning av kända säkerhetsrisker.

  • Maxpoäng – Det maximala antalet poäng som du kan få genom att slutföra alla rekommendationer inom en kontroll. Maxpoängen för en kontroll anger kontrollens relativa betydelse och är fast för varje miljö. Använd maxpoängvärdena för att prioritera problemen som ska fungera först.
    En lista över alla kontroller och deras maxpoäng finns i Säkerhetskontroller och deras rekommendationer.

  • Aktuell poäng – den aktuella poängen för den här kontrollen.

    Aktuell poäng = [Poäng per resurs] * [Antal felfria resurser]

    Varje kontroll bidrar till totalpoängen. I det här exemplet bidrar kontrollen med 2,00 poäng till den aktuella totala säkerhetspoängen.

  • Potentiell poängökning – De återstående poäng som är tillgängliga för dig inom kontrollen. Om du åtgärdar alla rekommendationer i den här kontrollen ökar poängen med 9 %.

    Potentiell poängökning = [Poäng per resurs] * [Antal resurser med feltillstånd]

  • Insikter – Ger dig extra information för varje rekommendation, till exempel:

    • Förhandsversionsrekommendations – Den här rekommendationen påverkar inte din säkerhetspoäng förrän den är allmänt tillgänglig.

    • Åtgärda – Från sidan med rekommendationsinformation kan du använda "Åtgärda" för att lösa problemet.

    • Framtvinga – Från sidan med rekommendationsinformation kan du automatiskt distribuera en princip för att åtgärda problemet när någon skapar en icke-kompatibel resurs.

    • Neka – Från sidan med rekommendationsinformation kan du förhindra att nya resurser skapas med det här problemet.

Beräkningar – förstå dina poäng

Metric Formel och exempel
Säkerhetskontrollens aktuella poäng
Ekvation för beräkning av säkerhetskontrollens poäng.

Varje enskild säkerhetskontroll bidrar till säkerhetspoängen. Varje resurs som påverkas av en rekommendation i kontrollen bidrar till kontrollens aktuella poäng. Den aktuella poängen för varje kontroll är ett mått på statusen för resurserna i kontrollen.
Knappbeskrivningar som visar de värden som används vid beräkning av säkerhetskontrollens aktuella poäng
I det här exemplet skulle maxpoängen på 6 divideras med 78 eftersom det är summan av de felfria och ej felfria resurserna.
6 / 78 = 0,0769
Om du multiplicerar det med antalet felfria resurser (4) resulterar det i den aktuella poängen:
0,0769 * 4 = 0,31

Säkerhetspoäng
Enskild prenumeration eller anslutningsapp

Ekvation för beräkning av en prenumerations säkerhetspoäng

Säkerhetspoäng för enskild prenumeration med alla kontroller aktiverade
I det här exemplet finns det en enda prenumeration eller anslutningsapp med alla tillgängliga säkerhetskontroller (en potentiell maxpoäng på 60 poäng). Poängen visar 28 poäng av 60 möjliga och de återstående 32 poängen återspeglas i siffrorna "Potentiell poängökning" i säkerhetskontrollerna.
Lista över kontroller och den potentiella poängökningen
Den här ekvationen är samma ekvation för en koppling där bara ordet prenumeration ersätts av ordet connector.
Säkerhetspoäng
Flera prenumerationer och anslutningsappar

Ekvation för att beräkna säkerhetspoängen för flera prenumerationer.

Den kombinerade poängen för flera prenumerationer och anslutningsappar innehåller en vikt för varje prenumeration och anslutningsapp. De relativa vikterna för dina prenumerationer och anslutningsappar bestäms av Defender för molnet baserat på faktorer som antalet resurser.
Den aktuella poängen för varje prenumeration, en dn-anslutningsapp beräknas på samma sätt som för en enskild prenumeration eller anslutningsapp, men sedan tillämpas vikten enligt ekvationen.
När du visar flera prenumerationer och anslutningsappar utvärderar säkerhetspoängen alla resurser inom alla aktiverade principer och grupperar deras kombinerade inverkan på varje säkerhetskontrolls maximala poäng.
Säkerhetspoäng för flera prenumerationer med alla kontroller aktiverade
Den kombinerade poängen är inte ett genomsnitt; Snarare är det den utvärderade statusen för alla resurser i alla prenumerationer och anslutningsappar.

Även här, om du går till rekommendationssidan och lägger till potentiella tillgängliga poäng, ser du att det är skillnaden mellan den aktuella poängen (22) och den maximala poäng som är tillgänglig (58).

Vilka rekommendationer ingår i beräkningarna för säkerhetspoäng?

Endast inbyggda rekommendationer påverkar säkerhetspoängen.

Rekommendationer som flaggats som förhandsversion ingår inte i beräkningarna av din säkerhetspoäng. De bör fortfarande åtgärdas när det är möjligt, så att när förhandsgranskningsperioden är slut bidrar de till din poäng.

Förhandsgranskningsrekommendationer markeras med:

Förbättra dina säkerhetspoäng

Du kan förbättra säkerhetspoängen genom att åtgärda säkerhetsrekommendationerna från listan med rekommendationer. Du kan åtgärda varje rekommendation manuellt för varje resurs eller använda alternativet Åtgärda (när det är tillgängligt) för att snabbt lösa ett problem med flera resurser. Mer information finns i Åtgärda rekommendationer.

Du kan också konfigurera alternativen Framtvinga och Neka för relevanta rekommendationer för att förbättra poängen och se till att användarna inte skapar resurser som påverkar poängen negativt.

Säkerhetskontroller och deras rekommendationer

I tabellen nedan visas säkerhetskontrollerna i Microsoft Defender för molnet. För varje kontroll kan du se det maximala antalet poäng som du kan lägga till i din säkerhetspoäng om du åtgärdar alla rekommendationer som anges i kontrollen för alla dina resurser.

Uppsättningen säkerhetsrekommendationer som tillhandahålls med Defender för molnet är skräddarsydd för de tillgängliga resurserna i varje organisations miljö. Du kan inaktivera principer och undanta specifika resurser från en rekommendation för att ytterligare anpassa rekommendationerna.

Vi rekommenderar att varje organisation noggrant granskar sina tilldelade Azure Policy initiativ.

Tips

Mer information om hur du granskar och redigerar dina initiativ finns i Arbeta med säkerhetsprinciper.

Även om Defender för molnets standardsäkerhetsinitiativ baseras på branschens bästa praxis och standarder finns det scenarier där de inbyggda rekommendationerna nedan kanske inte passar din organisation helt. Ibland är det nödvändigt att justera standardinitiativet – utan att äventyra säkerheten – för att säkerställa att det överensstämmer med organisationens egna principer, branschstandarder, regelstandarder och riktmärken.

Säkerhetspoäng Säkerhetskontroll och beskrivning Rekommendationer
10 Aktivera MFA – Defender för molnet placerar ett högt värde på multifaktorautentisering (MFA). Använd dessa rekommendationer för att skydda användarna av dina prenumerationer.
Det finns tre sätt att aktivera MFA och vara kompatibel med rekommendationerna: standardinställningar för säkerhet, tilldelning per användare, princip för villkorsstyrd åtkomst. Läs mer om de här alternativen i Hantera MFA-tvingande för dina prenumerationer.
– Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade
– Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade
– MFA ska aktiveras på konton med ägarbehörighet för prenumerationer
– MFA ska aktiveras på konton med skrivbehörighet för prenumerationer
8 Säkra hanteringsportar – Råstyrkeattacker riktar ofta in sig på hanteringsportar. Använd dessa rekommendationer för att minska exponeringen med verktyg som just-in-time-åtkomst till virtuella datorer och nätverkssäkerhetsgrupper. – Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper
– Hanteringsportar för virtuella datorer bör skyddas med just-in-time-nätverksåtkomstkontroll
– Hanteringsportar bör stängas på dina virtuella datorer
6 Tillämpa systemuppdateringar – Om du inte tillämpar uppdateringar blir säkerhetsproblemen oskickade och resulterar i miljöer som är känsliga för attacker. Använd dessa rekommendationer för att upprätthålla driftseffektivitet, minska säkerhetsrisker och tillhandahålla en stabilare miljö för slutanvändarna. Om du vill distribuera systemuppdateringar kan du använda lösningen Uppdateringshantering för att hantera korrigeringar och uppdateringar för dina datorer. – Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer
– Log Analytics-agenten bör installeras på VM-skalningsuppsättningar
– Log Analytics-agenten bör installeras på virtuella datorer
– Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer
– Systemuppdateringar på VM-skalningsuppsättningar ska installeras
– Systemuppdateringar bör installeras på dina datorer
– Systemuppdateringar bör installeras på dina datorer (drivs av Update Center)
6 Åtgärda säkerhetsrisker – Defender för molnet innehåller flera skannrar för sårbarhetsbedömning för att kontrollera dina datorer, databaser och containerregister efter svagheter som hotaktörer kan använda. Använd dessa rekommendationer för att aktivera dessa skannrar och granska deras resultat.
Läs mer om genomsökning av datorer, SQL-servrar och containerregister.
– Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat
– Azure Kubernetes Service kluster ska ha Azure Policy-tillägget för Kubernetes installerat
- Kodlagringsplatser bör ha kodgenomsökningsresultat lösta
- Kodlagringsplatser bör ha dependabot-genomsökningsresultat lösta
- Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts
- Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta
– Containeravbildningar ska endast distribueras från betrodda register
– Containerregisteravbildningar bör ha säkerhetsrisker lösta
– Funktionsappar bör lösa sårbarhetsresultat
– Kubernetes-kluster bör gatedistribution av sårbara avbildningar
– Datorer bör ha en lösning för sårbarhetsbedömning
– Du bör lösa sårbarhetsresultat på datorer
– Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta
4 Åtgärda säkerhetskonfigurationer – Felkonfigurerade IT-tillgångar har en högre risk att attackeras. Använd dessa rekommendationer för att härda de identifierade felkonfigurationerna i infrastrukturen. – Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat
– Resultat av säkerhetsstatus för Azure DevOps bör lösas
– Azure Kubernetes Service kluster ska ha Azure Policy-tillägget för Kubernetes installerat
– Containrar bör endast använda tillåtna AppArmor-profiler
– Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer
– Log Analytics-agenten bör installeras på VM-skalningsuppsättningar
– Log Analytics-agenten bör installeras på virtuella datorer
– Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer
– Datorer ska konfigureras på ett säkert sätt
– SQL-databaser bör lösa sårbarhetsresultat
– SQL-hanterade instanser bör ha konfigurerad sårbarhetsbedömning
– SQL-servrar på datorer bör få sårbarhetsresultat lösta
– SQL-servrar bör ha konfigurerad sårbarhetsbedömning
– Vm-skalningsuppsättningar ska konfigureras på ett säkert sätt
– Säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer bör åtgärdas (drivs av gästkonfiguration)
– Säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer bör åtgärdas (drivs av gästkonfiguration)
4 Hantera åtkomst och behörigheter – En viktig del av ett säkerhetsprogram är att se till att användarna har nödvändig åtkomst för att utföra sina jobb, men inte mer än så: modellen för åtkomst med minst privilegier. Använd dessa rekommendationer för att hantera dina identitets- och åtkomstkrav. – Autentisering till Linux-datorer bör kräva SSH-nycklar
– Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat
– Azure Cosmos DB-konton bör använda Azure Active Directory som den enda autentiseringsmetoden
– Azure Kubernetes Service kluster ska ha Azure Policy-tillägget för Kubernetes installerat
– Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort
– Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort
– Container med behörighetseskalering bör undvikas
– Containrar som delar känsliga värdnamnområden bör undvikas
– Inaktuella konton bör tas bort från prenumerationer
– Inaktuella konton med ägarbehörigheter bör tas bort från prenumerationer
– Externa konton med ägarbehörigheter bör tas bort från prenumerationer
– Externa konton med skrivbehörighet bör tas bort från prenumerationer
– Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade
– Gästkonton med ägarbehörighet för Azure-resurser bör tas bort
– Gästkonton med skrivbehörighet för Azure-resurser bör tas bort
– Gästkonfigurationstillägget ska installeras på datorer
– Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar
– De minst privilegierade Linux-funktionerna bör tillämpas för containrar
– Hanterad identitet ska användas i API-appar
– Hanterad identitet ska användas i funktionsappar
– Hanterad identitet ska användas i webbappar
– Privilegierade containrar bör undvikas
- Role-Based Access Control ska användas på Kubernetes Services
– Du bör undvika att köra containrar som rotanvändare
– Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
– Offentlig åtkomst för lagringskontot bör inte tillåtas
– Användning av podd-HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomsten från komprometterade containrar
– Tillägg för gästkonfiguration för virtuella datorer ska distribueras med systemtilldelad hanterad identitet
4 Aktivera kryptering i vila – Använd dessa rekommendationer för att säkerställa att du minimerar felkonfigurationer kring skyddet av dina lagrade data. – Service Fabric-kluster bör ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign
– Transparent datakryptering på SQL-databaser ska vara aktiverat
– Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser
4 Kryptera data under överföring – Använd dessa rekommendationer för att skydda data som rör sig mellan komponenter, platser eller program. Sådana data är känsliga för man-in-the-middle-attacker, avlyssning och sessionskapning. – API-appen ska endast vara tillgänglig via HTTPS
– Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar
– Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar
– FTPS ska krävas i API-appar
– FTPS ska krävas i funktionsappar
– FTPS ska krävas i webbappar
– Funktionsappen ska endast vara tillgänglig via HTTPS
– Redis Cache bör endast tillåta åtkomst via SSL
– Säker överföring till lagringskonton ska aktiveras
– TLS bör uppdateras till den senaste versionen för API-appar
– TLS bör uppdateras till den senaste versionen för funktionsappar
– TLS bör uppdateras till den senaste versionen för webbappar
– Webbprogrammet ska endast vara tillgängligt via HTTPS
4 Begränsa obehörig nätverksåtkomst – Azure erbjuder en uppsättning verktyg som är utformade för att säkerställa att åtkomsten i nätverket uppfyller de högsta säkerhetsstandarderna.
Använd dessa rekommendationer för att hantera Defender för molnets anpassningsbara inställningar för nätverkshärdning, se till att du har konfigurerat Azure Private Link för alla relevanta PaaS-tjänster, aktivera Azure Firewall i dina virtuella nätverk med mera.
– Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer
– Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn
- App Configuration bör använda privat länk
– Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat
– Azure Cache for Redis ska finnas i ett virtuellt nätverk
- Azure Event Grid domäner ska använda privat länk
- Azure Event Grid ämnen bör använda privat länk
– Azure Kubernetes Service kluster ska ha Azure Policy-tillägget för Kubernetes installerat
– Azure Machine Learning-arbetsytor bör använda privat länk
- Azure SignalR Service bör använda privat länk
– Azure Spring Cloud bör använda nätverksinmatning
– Containerregister bör inte tillåta obegränsad nätverksåtkomst
- Containerregister bör använda privat länk
– CORS bör inte tillåta att alla resurser får åtkomst till API Apps
– CORS bör inte tillåta att alla resurser får åtkomst till Funktionsappar
– CORS bör inte tillåta att alla resurser får åtkomst till webbprogram
– Brandväggen ska vara aktiverad på Key Vault
– Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper
– IP-vidarebefordring på den virtuella datorn bör inaktiveras
– Kubernetes API-servern ska konfigureras med begränsad åtkomst
– Privat slutpunkt ska konfigureras för Key Vault
– Privat slutpunkt ska vara aktiverad för MariaDB-servrar
– Privat slutpunkt ska vara aktiverad för MySQL-servrar
– Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar
– Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar
– Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar
– Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar
– Tjänster bör endast lyssna på tillåtna portar
– Lagringskontot bör använda en privat länkanslutning
– Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk
– Användningen av värdnätverk och portar bör begränsas
– Virtuella nätverk bör skyddas av Azure Firewall
– Vm Image Builder-mallar ska använda privat länk
3 Tillämpa anpassningsbar programkontroll – Anpassningsbar programkontroll är en intelligent, automatiserad lösning från slutpunkt till slutpunkt för att styra vilka program som kan köras på dina datorer. Det hjälper också till att härda dina datorer mot skadlig kod. – Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer
– Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras
– Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer
– Log Analytics-agenten bör installeras på virtuella datorer
– Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer
2 Skydda program mot DDoS-attacker – Azures avancerade nätverkssäkerhetslösningar omfattar Azure DDoS Protection, Azure Web Application Firewall och Azure Policy-tillägget för Kubernetes. Använd dessa rekommendationer för att se till att dina program skyddas med dessa verktyg och andra. – Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat
– Azure DDoS Protection Standard ska vara aktiverat
– Azure Kubernetes Service kluster ska ha Azure Policy-tillägget för Kubernetes installerat
– Gränsen för containerns processor- och minnesanvändning bör tillämpas
- Web Application Firewall (WAF) bör aktiveras för Application Gateway
– Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service
2 Aktivera slutpunktsskydd – Defender för molnet kontrollerar organisationens slutpunkter efter aktiva hotidentifierings- och svarslösningar som Microsoft Defender för Endpoint eller någon av de viktigaste lösningarna som visas i den här listan.
När en lösning för slutpunktsidentifiering och svar (EDR) inte hittas kan du använda dessa rekommendationer för att distribuera Microsoft Defender för Endpoint (ingår som en del av Microsoft Defender för servrar).
Andra rekommendationer i den här kontrollen hjälper dig att distribuera Log Analytics-agenten och konfigurera övervakning av filintegritet.
– Problem med slutpunktsskyddshälsa på datorer bör lösas
– Problem med slutpunktsskyddshälsa på datorer bör lösas
– Problem med slutpunktsskyddshälsa i VM-skalningsuppsättningar bör lösas
– Slutpunktsskydd ska installeras på datorer
– Slutpunktsskydd ska installeras på datorer
– Slutpunktsskydd ska installeras på VM-skalningsuppsättningar
– Installera slutpunktsskyddslösning på virtuella datorer
– Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer
– Log Analytics-agenten bör installeras på VM-skalningsuppsättningar
– Log Analytics-agenten bör installeras på virtuella datorer
– Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer
1 Aktivera granskning och loggning – Detaljerade loggar är en viktig del av incidentutredningar och många andra felsökningsåtgärder. Rekommendationerna i den här kontrollen fokuserar på att se till att du har aktiverat diagnostikloggar där det är relevant. – Granskning på SQL Server ska vara aktiverat
– Diagnostikloggar i App Service ska vara aktiverade
– Diagnostikloggar i Azure Data Lake Store ska vara aktiverade
– Diagnostikloggar i Azure Stream Analytics ska vara aktiverade
– Diagnostikloggar i Batch-konton ska vara aktiverade
– Diagnostikloggar i Data Lake Analytics ska vara aktiverade
– Diagnostikloggar i Händelsehubb ska vara aktiverade
– Diagnostikloggar i Key Vault ska vara aktiverade
– Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade
– Diagnostikloggar i Logic Apps ska vara aktiverade
– Diagnostikloggar i Söktjänster ska vara aktiverade
– Diagnostikloggar i Service Bus ska vara aktiverade
– Diagnostikloggar i Virtual Machine Scale Sets ska vara aktiverade
0 Aktivera förbättrade säkerhetsfunktioner – Använd dessa rekommendationer för att aktivera någon av de förbättrade planerna för säkerhetsfunktioner. – Azure Arc-aktiverade Kubernetes-kluster bör ha Defender-tillägget installerat
– Azure Kubernetes Service kluster ska ha Defender-profil aktiverad
– Övervakning av filintegritet ska aktiveras på datorer
– GitHub-lagringsplatser bör ha kodgenomsökning aktiverat
– Dependabot-genomsökning ska vara aktiverat för GitHub-lagringsplatser
– GitHub-lagringsplatser bör ha hemlig genomsökning aktiverat
– Microsoft Defender för App Service ska vara aktiverat
– Microsoft Defender för Azure SQL Database-servrar ska vara aktiverade
– Microsoft Defender för containrar ska vara aktiverat
– Microsoft Defender för DNS ska vara aktiverat
– Microsoft Defender för Key Vault ska vara aktiverat
– Microsoft Defender för relationsdatabaser med öppen källkod bör vara aktiverat
– Microsoft Defender för Resource Manager ska vara aktiverat
– Microsoft Defender för servrar ska vara aktiverat
– Microsoft Defender för servrar ska vara aktiverat på arbetsytor
– Microsoft Defender för SQL på datorer ska vara aktiverat på arbetsytor
– Microsoft Defender för SQL-servrar på datorer ska vara aktiverat
– Microsoft Defender för Storage ska vara aktiverat
0 Implementera rekommenderade säkerhetsmetoder – Den här kontrollen påverkar inte din säkerhetspoäng. Därför är det en samling rekommendationer som är viktiga att uppfylla för organisationens säkerhet, men som vi anser inte bör vara en del av hur du bedömer din övergripande poäng. – [Aktivera om det behövs] Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
– [Aktivera om det behövs] Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
- [Aktivera om det behövs] Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel (CMK)
- [Aktivera om det behövs] Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- [Aktivera om det behövs] MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data
- [Aktivera om det behövs] PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data
- [Aktivera om det behövs] SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data
- [Aktivera om det behövs] SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data
- [Aktivera om det behövs] Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering
- Högst 3 ägare bör utses för prenumerationer
– Åtkomsten till lagringskonton med brandväggs- och virtuella nätverkskonfigurationer bör begränsas
– Konton med läsbehörighet för Azure-resurser ska vara MFA-aktiverade
– Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL Managed Instance
– Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL Server
- API Management tjänster ska använda ett virtuellt nätverk
– Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar
– Automatisk etablering av Log Analytics-agenten ska aktiveras för prenumerationer
– Automation-kontovariabler ska krypteras
– Azure Backup ska vara aktiverat för virtuella datorer
– Azure Cosmos DB-konton bör ha brandväggsregler
– Cognitive Services-konton bör aktivera datakryptering
– Cognitive Services-konton bör begränsa nätverksåtkomsten
– Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering
– Containervärdar bör konfigureras på ett säkert sätt
– Standardprincipen för IP-filter ska vara Neka
– Diagnostikloggar i IoT Hub ska vara aktiverade
– Email meddelande om aviseringar med hög allvarlighetsgrad ska aktiveras
– Email meddelande till prenumerationsägaren om aviseringar med hög allvarlighetsgrad ska aktiveras
– Se till att API-appen har klientcertifikat inkommande klientcertifikat inställda på På
– Externa konton med läsbehörighet bör tas bort från prenumerationer
– Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB
– Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL
– Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL
– Gästkonton med läsbehörighet för Azure-resurser bör tas bort
– Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds
– Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds
– Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds
– Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds
– Gästkonfigurationstillägget ska installeras på datorer
- Identiska autentiseringsuppgifter
– IP-filterregel stort IP-intervall
– Java bör uppdateras till den senaste versionen för API-appar
– Java bör uppdateras till den senaste versionen för funktionsappar
– Java bör uppdateras till den senaste versionen för webbappar
- Key Vault nycklar ska ha ett utgångsdatum
- Key Vault hemligheter ska ha ett utgångsdatum
– Rensningsskydd bör vara aktiverat för nyckelvalv
– Mjuk borttagning ska vara aktiverat för nyckelvalv
– Kubernetes-kluster ska endast vara tillgängliga via HTTPS
– Kubernetes-kluster bör inaktivera API-autentiseringsuppgifter för automatisk inmontering
– Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner
– Kubernetes-kluster bör inte använda standardnamnområdet
– Virtuella Linux-datorer bör framtvinga validering av kernelmodulsignatur
– Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter
– Virtuella Linux-datorer bör använda säker start
– Datorer bör startas om för att tillämpa säkerhetskonfigurationsuppdateringar
– Datorer bör ha stängda portar som kan exponera attackvektorer
– MFA ska aktiveras på konton med läsbehörighet för prenumerationer
– Microsoft Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar
– Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances
- Network Watcher ska vara aktiverat
– Icke-Internetanslutna virtuella datorer bör skyddas med nätverkssäkerhetsgrupper
– Överetablerade identiteter i prenumerationer bör undersökas för att minska PCI (Permission Creep Index)
– PHP bör uppdateras till den senaste versionen för API-appar
– PHP bör uppdateras till den senaste versionen för webbappar
– Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade
– Åtkomst till offentligt nätverk på Azure SQL Database bör inaktiveras
– Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton
– Python bör uppdateras till den senaste versionen för API-appar
– Python bör uppdateras till den senaste versionen för funktionsappar
– Python bör uppdateras till den senaste versionen för webbappar
– Fjärrfelsökning bör inaktiveras för API-appen
– Fjärrfelsökning bör stängas av för funktionsappen
– Fjärrfelsökning bör vara inaktiverat för webbprogram
– Säker start ska vara aktiverat på virtuella Windows-datorer som stöds
– SQL-servrar bör ha en Azure Active Directory-administratör etablerad
– Lagringskonton ska migreras till nya Azure Resource Manager-resurser
– Undernät ska associeras med en nätverkssäkerhetsgrupp
– Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem
– Det bör finnas fler än en ägare tilldelad till prenumerationer
– Giltighetsperioden för certifikat som lagras i Azure Key Vault får inte överstiga 12 månader
– Statusen för gästattestering för virtuella datorer bör vara felfri
– Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet
– Virtuella datorer ska migreras till nya Azure Resource Manager-resurser
– vTPM ska vara aktiverat på virtuella datorer som stöds
– Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden
- Windows Defender Exploit Guard ska vara aktiverat på datorer
– Windows-webbservrar bör konfigureras för att använda säkra kommunikationsprotokoll

Vanliga frågor och svar – Säkerhetspoäng

Om jag bara tar upp tre av fyra rekommendationer i en säkerhetskontroll, kommer min säkerhetspoäng att ändras?

Nej. Den ändras inte förrän du har åtgärdat alla rekommendationer för en enskild resurs. För att få maximal poäng för en kontroll måste du åtgärda alla rekommendationer för alla resurser.

Om en rekommendation inte gäller för mig och jag inaktiverar den i principen, kommer min säkerhetskontroll att uppfyllas och min säkerhetspoäng uppdateras?

Ja. Vi rekommenderar att du inaktiverar rekommendationer när de inte kan användas i din miljö. Anvisningar om hur du inaktiverar en specifik rekommendation finns i Inaktivera säkerhetsprinciper.

Om en säkerhetskontroll ger mig noll poäng mot min säkerhetspoäng, bör jag ignorera det?

I vissa fall visas en kontroll maxpoäng som är större än noll, men effekten är noll. När den inkrementella poängen för att åtgärda resurser är försumbar avrundas den till noll. Ignorera inte dessa rekommendationer eftersom de fortfarande ger säkerhetsförbättringar. Det enda undantaget är kontrollen "Ytterligare bästa praxis". Att åtgärda dessa rekommendationer ökar inte poängen, men det förbättrar den övergripande säkerheten.

Nästa steg

I den här artikeln beskrivs säkerhetspoängen och de inkluderade säkerhetskontrollerna.

Relaterat material finns i följande artiklar: