Aktivieren Sie die automatische Bereitstellung des Überwachungs-Agents, um Sicherheitsdaten zu erfassen.

Wenn „Log Analytics Agent für Azure VMs“ aktiviert ist, stellt Microsoft Defender for Cloud den Microsoft Monitoring Agent auf allen vorhandenen unterstützten virtuellen Azure-Computern und allen neuen, die erstellt werden, bereit. Der Microsoft Monitoring Agent scannt nach verschiedenen sicherheitsbezogenen Konfigurationen und Ereignissen, z. B. Systemupdates, BS-Schwachstellen, Endpunktschutz, und stellt Warnungen bereit.

Microsoft Defender for Cloud sendet eine E-Mail an Abonnementbesitzer, wenn eine Warnung mit hohem Schweregrad für ihr Abonnement ausgelöst wird. Geben Sie als zusätzliche E-Mail-Adresse eine Sicherheitskontakt-E-Mail-Adresse an.

Microsoft Defender for Cloud sendet eine E-Mail an den Abonnementbesitzer, um ihn über Sicherheitswarnungen zu benachrichtigen. Durch das Hinzufügen der E-Mail-Adresse Ihres Sicherheitskontakts zum Feld „zusätzliche E-Mail-Adressen“ wird sichergestellt, dass das Sicherheitsteam Ihrer Organisation in diesen Warnungen enthalten ist. Dadurch wird sichergestellt, dass die richtigen Personen über potenzielle Kompromisse informiert sind, um das Risiko rechtzeitig zu mindern.

Aktiviert das E-Mail-Senden von Sicherheitswarnungen an den Abonnementbesitzer oder einen anderen festgelegten Sicherheitskontakt.

Durch Aktivieren von E-Mails für Sicherheitswarnungen wird sichergestellt, dass Sicherheitswarnungs-E-Mails von Microsoft empfangen werden. Dadurch wird sichergestellt, dass die richtigen Personen über potenzielle Sicherheitsprobleme informiert sind und das Risiko mindern können.

Aktivieren Sie Sicherheitswarnungs-E-Mails für Abonnementbesitzer.

Durch Aktivieren von Sicherheitswarnungs-E-Mails für Abonnementbesitzer wird sichergestellt, dass sie Sicherheitswarnungs-E-Mails von Microsoft erhalten. Dadurch wird sichergestellt, dass sie sich aller potenziellen Sicherheitsprobleme bewusst sind und das Risiko rechtzeitig mindern können.

Der Storage Blob-Service bietet skalierbaren, kosteneffizienten Zielspeicher in der Cloud.

Die Speicherprotokollierung erfolgt serverseitig und ermöglicht die Aufzeichnung von Details für erfolgreiche und fehlgeschlagene Anforderungen im Speicher-Account. Mit diesen Protokollen können Anwender Details zu Lese-, Schreib- und Löschvorgängen für die Blobs anzeigen. Speicherprotokollierungsprotokolleinträge enthalten die folgenden Informationen zu einzelnen Anforderungen: Zeitinformationen wie Startzeit, End-to-End-Latenz und Serverlatenz, Authentifizierungsdetails, Informationen zur Gleichzeitigkeit und die Größen der Anforderungs- und Antwortnachrichten.

Storage Analytics-Protokolle enthalten detaillierte Informationen zu erfolgreichen und fehlgeschlagenen Anforderungen an einen Speicherservice. Diese Informationen können verwendet werden, um jede einzelne Anforderung an einen Speicherservice zu überwachen, um die Sicherheit oder Diagnose zu erhöhen. Anforderungen werden nach bestem Bemühen protokolliert. Die Storage Analytics-Protokollierung ist für Ihren Speicher-Account standardmäßig nicht aktiviert.

Der Speicher der Speichertabelle ist ein Service, der Strukturdaten in NoSQL in der Cloud speichert und einen Schlüssel-/Attributspeicher mit einem Design ohne Schema bereitstellt. Die Speicherprotokollierung erfolgt serverseitig und ermöglicht die Aufzeichnung von Details für erfolgreiche und fehlgeschlagene Anforderungen im Speicher-Account. Mit diesen Protokollen können Anwender Details zu Lese-, Schreib- und Löschvorgängen für die Tabellen anzeigen. Speicherprotokollierungsprotokolleinträge enthalten die folgenden Informationen zu einzelnen Anforderungen: Zeitinformationen wie Startzeit, End-to-End-Latenz und Serverlatenz, Authentifizierungsdetails, Informationen zur Gleichzeitigkeit und die Größen der Anforderungs- und Antwortnachrichten.

Storage Analytics-Protokolle enthalten detaillierte Informationen zu erfolgreichen und fehlgeschlagenen Anforderungen an einen Speicherservice. Diese Informationen können verwendet werden, um jede einzelne Anforderung an einen Speicherservice zu überwachen, um die Sicherheit oder Diagnose zu erhöhen. Anforderungen werden nach bestem Bemühen protokolliert. Die Storage Analytics-Protokollierung ist für Ihren Speicher-Account standardmäßig nicht aktiviert.

Der Service „Speicherwarteschlange“ speichert Nachrichten, die von jedem Client gelesen werden können, der Zugriff auf das Speicherkonto hat. Eine Warteschlange kann eine unbegrenzte Anzahl von Nachrichten enthalten, von denen jede mit Version 2011-08-18 oder höher bis zu 64 KB groß sein kann. Die Speicherprotokollierung erfolgt serverseitig und ermöglicht die Aufzeichnung von Details für erfolgreiche und fehlgeschlagene Anforderungen im Speicher-Account. Mit diesen Protokollen können Anwender Details zu Lese-, Schreib- und Löschvorgängen für die Warteschlangen anzeigen. Speicherprotokollierungsprotokolleinträge enthalten die folgenden Informationen zu einzelnen Anforderungen: Zeitinformationen wie Startzeit, End-to-End-Latenz und Serverlatenz, Authentifizierungsdetails, Informationen zur Gleichzeitigkeit und die Größen der Anforderungs- und Antwortnachrichten.

Storage Analytics-Protokolle enthalten detaillierte Informationen zu erfolgreichen und fehlgeschlagenen Anforderungen an einen Speicherservice. Diese Informationen können verwendet werden, um einzelne Anforderungen zu überwachen und Probleme mit einem Speicherservice zu diagnostizieren. Anforderungen werden nach bestem Aufwand protokolliert.die Storage Analytics-Protokollierung ist für Ihren Speicher-Account standardmäßig nicht aktiviert.

Aktivieren Sie Vulnerability Assessment (VA)-Servicescans für kritische SQL-Server und entsprechende SQL-Datenbanken.

Aktivieren Sie periodische wiederkehrende Scans der Schwachstellenbewertung (VA) für kritische SQL-Server und entsprechende SQL-Datenbanken.

Konfigurieren Sie „Scan-Berichte senden an“ mit E-Mail-IDs betroffener Datenbesitzer/Stakeholder für kritische SQL-Server.

Aktivieren Sie die Einstellung „Vulnerability Assessment (VA)“ „auch E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer senden“.

Verwenden Sie die Azure Active Directory-Authentifizierung für die Authentifizierung mit SQL Database, um Anmeldeinformationen an einem zentralen Ort zu verwalten.

TDE mit vom Kunden verwaltetem Schlüsselsupport bietet mehr Transparenz und Kontrolle über den TDE-Schutz, erhöhte Sicherheit durch einen HSM-gestützten externen Service und Förderung der Aufgabentrennung. Mit TDE werden Daten im Ruhezustand mit einem symmetrischen Schlüssel (Datenbankverschlüsselungsschlüssel) verschlüsselt, der in der Datenbank- oder Data Warehouse-Verteilung gespeichert ist. Zum Schutz dieses Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) in der Vergangenheit konnte nur ein Zertifikat verwendet werden, das vom Azure SQL-Service verwaltet wird.

Mit der vom Kunden verwalteten Schlüsselunterstützung für TDE kann die DEK jetzt mit einem asymmetrischen Schlüssel geschützt werden, der im Key Vault gespeichert ist. Key Vault ist ein hochverfügbarer und skalierbarer Cloud-basierter Schlüsselspeicher, der zentrale Schlüsselverwaltung bietet, FIPS 140-2 Level 2 validierte Hardwaresicherheitsmodule (HSMs) nutzt und die Trennung der Verwaltung von Schlüsseln und Daten für zusätzliche Sicherheit ermöglicht. Basierend auf den Geschäftsanforderungen oder der Relevanz von Daten/Datenbanken, die auf einem SQL-Server gehostet werden, wird empfohlen, den TDE-Schutz mit einem Schlüssel zu verschlüsseln, der vom Datenbesitzer verwaltet wird (vom Kunden verwalteter Schlüssel).

Die Diagnoseeinstellung sollte so konfiguriert werden, dass die entsprechenden Aktivitäten von der Steuerungs-/Verwaltungsebene protokolliert werden. Eine Diagnoseeinstellung steuert, wie das Diagnoseprotokoll exportiert wird. Das Erfassen der Diagnoseeinstellungskategorien für die entsprechenden Aktivitäten der Steuerungs-/Verwaltungsebene ermöglicht richtige Warnungen

Eine Diagnoseeinstellung steuert, wie das Diagnoseprotokoll exportiert wird. Das Erfassen der Diagnoseeinstellungskategorien für die entsprechenden Aktivitäten der Steuerungs-/Verwaltungsebene ermöglicht richtige Warnungen.

Aktivieren Sie die AuditEvent-Protokollierung für SchlüsselVault-Instanzen, um sicherzustellen, dass Interaktionen mit SchlüsselTresoren protokolliert und verfügbar sind.

Überwachung, wie und wann auf SchlüsselTresore zugegriffen wird und wer einen Audit-Pfad von Interaktionen mit vertraulichen Informationen, Schlüsseln und Zertifikaten ermöglicht, die von Azure KeyVault verwaltet werden. Durch Aktivieren der Protokollierung für Key Vault werden Informationen in einem Azure-Speicher-Account gespeichert, den der Anwender bereitstellt. Dadurch wird automatisch ein neuer Container mit dem Namen Insights-logs-auditevent für den angegebenen Speicher-Account erstellt, und derselbe Speicher-Account kann zum Sammeln von Protokollen für mehrere Schlüsselspeicher verwendet werden.

Stellen Sie sicher, dass nicht angehängte Datenträger in einem Abonnement mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt sind.

Verwaltete Datenträger werden standardmäßig mit von der Plattform verwalteten Schlüsseln verschlüsselt.

Die Verwendung von anwenderverwalteten Schlüsseln kann ein zusätzliches Sicherheitsniveau bieten oder die regulatorischen Anforderungen einer Organisation erfüllen.

Die Verschlüsselung verwalteter Datenträger stellt sicher, dass der gesamte Inhalt ohne Schlüssel vollständig nicht wiederhergestellt werden kann, und schützt das Volume somit vor unberechtigten Lesezugriffen.

Auch wenn der Datenträger nicht an einen der VMs angehängt ist, besteht immer das Risiko, dass ein gefährdeter Anwenderaccount mit Administratorzugriff auf den VM-Service diese Datenträger bereitstellen/anhängen kann, was zur Offenlegung und Manipulation vertraulicher Informationen führen kann.

Der Schlüsselspeicher enthält Objektschlüssel, Geheimnisse und Zertifikate. Die versehentliche Nichtverfügbarkeit eines SchlüsselVault kann zu sofortigem Datenverlust oder Verlust von Sicherheitsfunktionen (Authentifizierung, Validierung, Verifizierung, Nichtwiderlegung usw.) führen, die von den SchlüsselVault-Objekten unterstützt werden.

Es wird empfohlen, den Schlüsselspeicher wiederherstellbar zu machen, indem die Funktionen „nicht löschen“ und „Soft Delete“ aktiviert werden. Dies dient dazu, den Verlust verschlüsselter Daten zu verhindern, einschließlich Speicherkonten, SQL-Datenbanken und/oder abhängiger Services, die von SchlüsselVault-Objekten (Schlüssel, Geheimnisse, Zertifikate) usw. bereitgestellt werden, wie dies im Falle einer versehentlichen Löschung durch einen Anwender oder durch störende Aktivitäten durch einen böswilligen Anwender geschehen kann.

Es kann Szenarien geben, in denen Anwender versehentlich das Löschen/Löschen eines Befehls für den Schlüsselspeicher ausführen oder Angreifer/böswillige Anwender dies absichtlich tun, um eine Unterbrechung zu verursachen. Das Löschen oder Löschen eines SchlüsselTresors führt zu sofortigem Datenverlust, da Schlüssel, die Daten und Geheimnisse/Zertifikate verschlüsseln, die Zugriff/Services ermöglichen, nicht zugänglich werden. Es gibt 2 SchlüsselVault-Eigenschaften, die bei der dauerhaften Nichtverfügbarkeit eines SchlüsselTresors eine Rolle spielen.1.enableSoftDelete:wenn Sie diesen Parameter für einen SchlüsselTresor auf „wahr“ setzen, wird sichergestellt, dass der SchlüsselTresor selbst oder seine Objekte für die nächsten 90 Tage wiederhergestellt werden können, auch wenn der SchlüsselTresor gelöscht wird. In diesem Zeitraum von 90 Tagen können Schlüsseltresor/Schlüsselobjekte wiederhergestellt oder gelöscht werden (dauerhafte Löschung). Wenn keine Aktion ausgeführt wird, werden der Schlüsseltresor und seine Objekte nach 90 Tagen gelöscht.2.enablePurgeProtection:enableSoftDelete stellt nur sicher, dass der Schlüsseltresor nicht dauerhaft gelöscht wird und 90 Tage ab dem Löschdatum wiederhergestellt werden kann. Es besteht jedoch die Wahrscheinlichkeit, dass der Schlüsselspeicher und/oder seine Objekte versehentlich gelöscht werden und daher nicht wiederhergestellt werden können. Wenn Sie „enablePurgeProtection“ auf „wahr“ festlegen, wird sichergestellt, dass der Schlüsselspeicher und seine Objekte nicht gelöscht werden können.durch Aktivieren beider Parameter in SchlüsselTresoren wird sichergestellt, dass SchlüsselTresore und ihre Objekte nicht dauerhaft gelöscht/gelöscht werden können.

Mit Azure Web Apps können Sites standardmäßig sowohl unter HTTP als auch unter HTTPS ausgeführt werden. Standardmäßig kann jeder über nicht sichere HTTP-Links auf Web-Apps zugreifen. Nicht sichere HTTP-Anforderungen können eingeschränkt werden, und alle HTTP-Anforderungen können an den sicheren HTTPS-Port weitergeleitet werden. Es wird empfohlen, nur HTTPS-Datenverkehr zu erzwingen.

Durch Aktivieren des nur HTTPS-Datenverkehrs werden alle nicht sicheren HTTP-Anforderungen an HTTPS-Ports weitergeleitet. HTTPS verwendet das TLS/SSL-Protokoll, um eine sichere Verbindung bereitzustellen, die sowohl verschlüsselt als auch authentifiziert ist. Daher ist es wichtig, HTTPS für die Sicherheitsvorteile zu unterstützen.