Microsoft cloud security benchmark: Access, Data, Identity, Network, Endpoint, Governance, Recovery, Incident och Vulnerability Management

Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över dina resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt).

AM-1: Spåra tillgångslager och deras risker

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
1.1, 1.5, 2.1, 2.4	CM-8, PM-5	2.4

Säkerhetsprincip: Spåra tillgångsinventeringen efter fråga och identifiera alla dina molnresurser. Organisera dina tillgångar logiskt genom att tagga och gruppera dina tillgångar baserat på deras tjänstkaraktär, plats eller andra egenskaper. Se till att säkerhetsorganisationen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar.

Se till att din säkerhetsorganisation kan övervaka riskerna för molntillgångar genom att alltid ha säkerhetsinsikter och risker aggregerade centralt.

Azure-vägledning: Inventeringsfunktionen i Microsoft Defender för molnet och Azure Resource Graph kan fråga efter och identifiera alla resurser i dina prenumerationer, inklusive Azure-tjänster, program och nätverksresurser. Ordna tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar och andra metadata i Azure (namn, beskrivning och kategori).

Se till att säkerhetsorganisationer har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar.

Se till att säkerhetsorganisationer beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet. Behörigheter för säkerhetsläsare kan tillämpas brett på en hel klientorganisation (rothanteringsgrupp) eller begränsas till hanteringsgrupper eller specifika prenumerationer.

GCP-vägledning: Använd Google Cloud Asset Inventory för att tillhandahålla inventeringstjänster baserat på en tidsseriedatabas. Den här databasen har en fem veckor lång historik över GCP-tillgångsmetadata. Med exporttjänsten Cloud Asset Inventory kan du exportera alla tillgångsmetadata vid en viss tidsstämpel eller exportera händelseändringshistorik under en tidsram.

Dessutom stöder Google Cloud Security Command Center en annan namngivningskonvention. Tillgångar är en organisations Google Cloud-resurser. IAM-rollerna för Security Command Center kan beviljas på organisations-, mapp- eller projektnivå. Din möjlighet att visa, skapa eller uppdatera resultat, tillgångar och säkerhetskälla beror på vilken nivå du beviljas åtkomst för.

GCP-implementering och extra kontext:

• Inventering av molntillgång
• Introduktion till cloud asset inventory
• tillgångstyper som stöds i Security Command Center

Azure-implementering och mer kontext:

• Skapa frågor med Azure Resource Graph Explorer
• Hantering av tillgångslager i Microsoft Defender för molnet
• Mer information om taggning av tillgångar finns i beslutsguiden för namngivning och taggning av resurser
• översikt över roll för säkerhetsläsare

AWS-vägledning: Använd AWS Systems Manager Inventory-funktionen för att fråga efter och identifiera alla resurser i dina EC2-instanser, inklusive information på programnivå och operativsystemnivå. Använd dessutom AWS-resursgrupper – Taggredigeraren för att bläddra i AWS-resursinventeringar.

Ordna tillgångar logiskt enligt organisationens taxonomi med hjälp av taggar och andra metadata i AWS (namn, beskrivning och kategori).

Se till att säkerhetsorganisationer har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar på AWS. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar.

AWS-implementering och extra kontext:

• AWS Systems Manager-inventering
• AWS-resursgrupper och taggar

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Hantering av säkerhetsefterlevnad

AM-2: Använd endast godkända tjänster

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, PM-5	6.3

Säkerhetsprincip: Se till att endast godkända molntjänster kan användas genom att granska och begränsa vilka tjänster som användare kan distribuera i miljön.

Azure-vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster användarna kan distribuera i din miljö. Använd Azure Resource Graph för att fråga efter och identifiera resurser i sina prenumerationer. Du kan också använda Azure Monitor för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.

Azure-implementering och mer kontext:

• Konfigurera och hantera Azure Policy-
• Neka en viss resurstyp med Azure Policy
• Skapa frågor med Azure Resource Graph Explorer

AWS-vägledning: Använd AWS Config för att granska och begränsa vilka tjänster användare kan distribuera i din miljö. Använd AWS-resursgrupper för att fråga efter och identifiera resurser i deras konton. Du kan också använda CloudWatch och/eller AWS Config för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.

AWS-implementering och extra kontext:

• AWS-resursgrupper

GCP-vägledning: Använd Google Cloud Organization Policy Service för att granska och begränsa vilka tjänster användare kan distribuera i din miljö. Du kan också använda molnövervakning i Operations Suite och/eller Organisationsprincip för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.

GCP-implementering och extra kontext:

• Introduktion till organisationens principtjänst
• Skapa och hantera organisationsprinciper

Intressenter för kundsäkerhet (Läs mer):

• Hantering av säkerhetsefterlevnad
• Posture Management

AM-3: Säkerställ säkerheten för livscykelhantering av tillgångar

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
1.1, 2.1	CM-8, CM-7	2.4

Säkerhetsprincip: Se till att säkerhetsattribut eller konfigurationer av tillgångarna alltid uppdateras under tillgångslivscykeln.

Azure-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för livscykelhantering av tillgångar för ändringar. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, datakänslighetsnivå, nätverkskonfiguration och tilldelning av administrativa privilegier.

Identifiera och ta bort Azure-resurser när de inte längre behövs.

Azure-implementering och extra kontext:

• Ta bort Azure-resursgrupp och resurs

AWS-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för livscykelhantering av tillgångar för ändringar. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, datakänslighetsnivå, nätverkskonfiguration och tilldelning av administrativa privilegier.

Identifiera och ta bort AWS-resurser när de inte längre behövs.

AWS-implementering och extra kontext:

• Hur söker jag efter aktiva resurser som jag inte längre behöver på mitt AWS-konto?
• Hur avslutar jag aktiva resurser som jag inte längre behöver på mitt AWS-konto?

GCP-vägledning: Upprätta eller uppdatera säkerhetsprinciper/processer som hanterar processer för livscykelhantering av tillgångar för ändringar. Dessa ändringar omfattar ändringar av identitetsprovidrar och åtkomst, känsliga data, nätverkskonfiguration och utvärdering av administrativa privilegier. Använd Google Cloud Security Command Center och kontrollera fliken Efterlevnad för riskfyllda tillgångar.

Använd dessutom automatisk rensning av oanvända Google Cloud Projects och tjänsten Cloud Recommender för att ge rekommendationer och insikter om hur du använder resurser i Google Cloud. Dessa rekommendationer och insikter är per produkt eller per tjänst och genereras baserat på heuristiska metoder, maskininlärning och aktuell resursanvändning.

GCP-implementering och extra kontext:

• Molnrekommendationssystem
• automatisk rensning av oanvända Google Cloud Projects.

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Posture Management
• Hantering av säkerhetsefterlevnad

AM-4: Begränsa åtkomsten till tillgångshantering

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
3.3	AC-3	Ej tillämpligt

Säkerhetsprincip: Begränsa användarnas åtkomst till tillgångshanteringsfunktioner för att undvika oavsiktlig eller skadlig ändring av tillgångarna i molnet.

Azure-vägledning: Azure Resource Manager är distributions- och hanteringstjänsten för Azure. Den tillhandahåller ett hanteringslager som gör att du kan skapa, uppdatera och ta bort resurser (tillgångar) i Azure. Använd villkorsstyrd åtkomst i Microsoft Entra för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Använd Rollbaserad åtkomstkontroll i Azure (RBAC) för att tilldela roller till identiteter för att styra deras behörigheter och åtkomst till Azure-resurser. Till exempel kan en användare med endast Azure RBAC-rollen Läsare visa alla resurser, men får inte göra några ändringar.

Använd Resurslås för att förhindra borttagningar eller ändringar av resurser. Resurslås administreras via Azure Blueprints.

Azure-implementering och extra kontext:

• Så här konfigurerar du villkorlig åtkomst för att blockera åtkomst till Azure Resources Manager
• Lås dina resurser för att skydda din infrastruktur
• Skydda nya resurser med Azure Blueprints-resurslås

AWS-vägledning: Använd AWS IAM för att begränsa åtkomsten till en specifik resurs. Du kan ange tillåtna eller neka åtgärder samt de villkor under vilka åtgärder utlöses. Du kan ange ett villkor eller kombinera metoder för behörigheter på resursnivå, resursbaserade principer, taggbaserad auktorisering, tillfälliga autentiseringsuppgifter eller tjänstlänkade roller för att ha en detaljerad åtkomstkontroll för dina resurser.

AWS-implementering och extra kontext:

• AWS-tjänster som fungerar med IAM

GCP-vägledning: Använd Google Cloud Identity and Access Management (IAM) för att begränsa åtkomsten till specifika resurser. Du kan ange tillåt eller neka åtgärder och villkor under vilka åtgärder utlöses. Du kan ange ett villkor eller kombinerade metoder för behörigheter på resursnivå, resursbaserade principer, taggbaserad auktorisering, tillfälliga autentiseringsuppgifter eller tjänstlänkade roller för att ha detaljerad kontroll av åtkomstkontroller för dina resurser.

Dessutom kan du använda VPC-tjänstkontroller för att skydda mot oavsiktliga eller riktade åtgärder från externa entiteter eller insiders-entiteter, vilket hjälper till att minimera omotiverade dataexfiltreringsrisker från Google Cloud-tjänster. Du kan använda VPC-tjänstkontroller för att skapa perimeterer som skyddar resurser och data för tjänster som du uttryckligen anger.

GCP-implementering och extra kontext:

• IAM (IAM)
• översikt över VPC-tjänstkontroller
• Resource Manager-

Intressenter för kundsäkerhet (Läs mer):

• Posture Management
• Infrastruktur och slutpunktssäkerhet

AM-5: Använd endast godkända program på en virtuell dator

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, CM-7, CM-10, CM-11	6.3

Säkerhetsprincip: Se till att endast auktoriserad programvara körs genom att skapa en lista över tillåtna program och blockera den obehöriga programvaran från att köras i din miljö.

Azure-vägledning: Använd anpassningsbara programkontroller i Microsoft Defender för molnet för att identifiera och generera en lista över tillåtna program. Du kan också använda ASC-anpassningsbara programkontroller för att säkerställa att endast auktoriserad programvara kan köras och att all obehörig programvara blockeras från att köras på virtuella Azure-datorer.

Använd Ändringsspårning och inventering i Azure Automation för att automatisera insamlingen av inventeringsinformation från dina virtuella Windows- och Linux-datorer. Information om programvarunamn, version, utgivare och uppdateringstid är tillgängliga från Azure-portalen. Om du vill hämta programinstallationsdatumet och annan information aktiverar du diagnostik på gästnivå och dirigerar Windows-händelseloggarna till en Log Analytics-arbetsyta.

Beroende på typ av skript kan du använda operativsystemspecifika konfigurationer eller externa resurser för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.

Du kan också använda en extern lösning för att identifiera och identifiera icke-godkänd programvara.

Azure-implementering och extra kontext:

• Så här använder du anpassningsbara programkontroller i Microsoft Defender för molnet
• Förstå ändringsspårning och inventering i Azure Automation
• Så här styr du PowerShell-skriptkörning i Windows-miljöer

GCP-vägledning: Använd Google Cloud VM Manager för att identifiera de program som är installerade på Compute Engines-instanser. Operativsysteminventering och konfigurationshantering kan användas för att säkerställa att icke-auktoriserad programvara blockeras från att köras på Compute Engine-instanser.

Du kan också använda en extern lösning för att identifiera och identifiera icke-godkänd programvara.

GCP-implementering och extra kontext:

• VM Manager-
• operativsystemkonfigurationshantering

AWS-vägledning: Använd AWS Systems Manager Inventory-funktionen för att identifiera de program som är installerade i dina EC2-instanser. Använd AWS-konfigurationsregler för att säkerställa att icke-auktoriserad programvara blockeras från att köras på EC2-instanser.

Du kan också använda en extern lösning för att identifiera och identifiera icke-godkänd programvara.

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Posture Management
• Hantering av säkerhetsefterlevnad

Säkerhetskontroll: Säkerhetskopiering och återställning

Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på de olika tjänstnivåerna utförs, verifieras och skyddas.

BR-2: Skydda säkerhetskopierings- och återställningsdata

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
11.3	CP-6, CP-9	3.4

Säkerhetsprincip: Se till att säkerhetskopierade data och åtgärder skyddas från dataexfiltrering, datakompromettering, ransomware/skadlig programvara och skadliga insiderhot. De säkerhetskontroller som ska tillämpas omfattar användar- och nätverksåtkomstkontroll, datakryptering i vila och under överföring.

Azure-vägledning: Använd multifaktorautentisering och Azure RBAC för att skydda de kritiska Azure Backup-åtgärderna (till exempel ta bort, ändra kvarhållning, uppdateringar av säkerhetskopieringskonfiguration). För Azure Backup-resurser som stöds använder du Azure RBAC för att separera uppgifter och aktivera detaljerad åtkomst och skapa privata slutpunkter i ditt virtuella Azure-nätverk för att på ett säkert sätt säkerhetskopiera och återställa data från dina Recovery Services-valv.

För resurser som stöds i Azure Backup krypteras säkerhetskopieringsdata automatiskt med azure-plattformshanterade nycklar med 256-bitars AES-kryptering. Du kan också välja att kryptera säkerhetskopiorna med hjälp av en kundhanterad nyckel. I det här fallet kontrollerar du att den kundhanterade nyckeln i Azure Key Vault också finns i säkerhetskopieringsomfånget. Om du använder en kundhanterad nyckel använder du skydd mot mjuk borttagning och rensning i Azure Key Vault för att skydda nycklar från oavsiktlig eller skadlig borttagning. För lokala säkerhetskopior med Azure Backup tillhandahålls kryptering i vila med den lösenfras som du anger.

Skydda säkerhetskopierade data från oavsiktlig eller skadlig borttagning, till exempel utpressningstrojanattacker/försök att kryptera eller manipulera säkerhetskopieringsdata. För resurser som stöds av Azure Backup aktiverar du mjuk borttagning för att säkerställa återställning av objekt utan dataförlust i upp till 14 dagar efter en obehörig borttagning och aktiverar multifaktorautentisering med hjälp av en PIN-kod som genererats i Azure-portalen. Aktivera även geo-redundant lagring eller återställning mellan regioner för att säkerställa att säkerhetskopierade data kan återställas när det uppstår en katastrof i den primära regionen. Du kan också aktivera zonredundant lagring (ZRS) för att säkerställa att säkerhetskopior kan återställas vid zonfel.

Azure-implementering och extra kontext:

• Översikt över säkerhetsfunktioner i Azure Backup
• Kryptering av säkerhetskopierade data med hjälp av kundhanterade nycklar
• säkerhetsfunktioner för att skydda hybridsäkerhetskopior från attacker
• Azure Backup – ange återställning mellan regioner

AWS-vägledning: Använd AWS IAM-åtkomstkontroll för att skydda AWS Backup. Skydda alltid AWS Backup-tjänstens åtkomst och säkerhetskopierings- och återställningspunkter. Exempelkontroller är:

• Använd multifaktorautentisering (MFA) för kritiska åtgärder, till exempel borttagning av en säkerhetskopierings-/återställningspunkt.
• Använd Secure Sockets Layer (SSL)/Transport Layer Security (TLS) för att kommunicera med AWS-resurser.
• Använd AWS KMS med AWS Backup för att kryptera säkerhetskopieringsdata med hjälp av kundhanterad CMK eller en AWS-hanterad CMK som är associerad med AWS Backup-tjänsten.
• Använd AWS Backup Vault Lock för oföränderlig lagring av kritiska data.
• Skydda S3-bucketar via åtkomstprincip, inaktivera offentlig åtkomst, framtvinga kryptering i vila och versionshanteringskontroll.

AWS-implementering och extra kontext:

• Säkerhet i AWS Backup
• Bästa praxis för säkerhet för Amazon S3

GCP-vägledning: Använd dedikerade konton med den starkaste autentiseringen för att utföra kritiska säkerhetskopierings- och återställningsåtgärder, till exempel ta bort, ändra kvarhållning, uppdateringar av säkerhetskopieringskonfigurationen. Dedikerade konton skyddar säkerhetskopieringsdata från oavsiktlig eller skadlig borttagning, till exempel utpressningstrojanattacker/försök att kryptera eller manipulera säkerhetskopieringsdata.

För resurser som stöds av GCP Backup använder du Google IAM med roller och behörigheter för att separera uppgifter och aktivera detaljerad åtkomst, samt konfigurera en anslutning för åtkomst till privata tjänster till VPC för att säkerhetskopiera och återställa data på ett säkert sätt från säkerhetskopierings-/återställningsinstallationen.

Säkerhetskopieringsdata krypteras automatiskt som standard på plattformsnivå med hjälp av AES-algoritmen (Advanced Encryption Standard), AES-256.

GCP-implementering och extra kontext:

• Kvarhållningsprinciper och kvarhållningsprinciper låser
• Backup- och katastrofåterställningstjänst
• Förhindra oavsiktlig borttagning av virtuella datorer

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Infrastruktur och slutpunktssäkerhet
• Incidentförberedelse

Säkerhetskontroll: Dataskydd

Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering.

DP-2: Övervaka avvikelser och hot mot känsliga data

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
3.13	AC-4, SI-4	A3.2

Säkerhetsprincip: Övervaka avvikelser kring känsliga data, till exempel obehörig överföring av data till platser utanför företagets synlighet och kontroll. Du övervakar avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.

Azure-vägledning: Använd Azure Information Protection (AIP) för att övervaka de data som klassificeras och etiketteras.

Använd Microsoft Defender för Storage, Microsoft Defender för SQL, Microsoft Defender för relationsdatabaser med öppen källkod och Microsoft Defender för Cosmos DB för att varna om avvikande överföring av information som kan tyda på obehöriga överföringar av känslig datainformation.

Azure-implementering och extra kontext:

• Aktivera Azure Defender för SQL
• Aktivera Azure Defender för lagring
• Aktivera Microsoft Defender för Azure Cosmos DB
• Aktivera Microsoft Defender för relationsdatabaser med öppen källkod och svara på aviseringar

AWS-vägledning: Använd AWS Macie för att övervaka data som har klassificerats och etiketterats och använda GuardDuty för att identifiera avvikande aktiviteter på vissa resurser (S3, EC2, Kubernetes eller IAM-resurser). Resultat och aviseringar kan sorteras, analyseras och spåras med EventBridge och vidarebefordras till Microsoft Sentinel eller Security Hub för incidentaggregering och spårning.

Du kan också ansluta dina AWS-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.

AWS-implementering och extra kontext:

• GuardDuty S3 hitta typer
• Amazon S3-skydd i Amazon GuardDuty

GCP-vägledning: Använd Google Cloud Security Command Center/Händelsehotidentifiering/Avvikelseidentifiering för att varna om avvikande överföring av information som kan tyda på obehörig överföring av känslig datainformation.

Du kan också ansluta dina GCP-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.

GCP-implementering och extra kontext:

• översikt över händelsehotidentifiering
• Avvikelseidentifiering med hjälp av strömningsanalys & AI-
• avvikelseidentifiering

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsåtgärder
• Programsäkerhet och DevOps
• Infrastruktur och slutpunktssäkerhet

DP-3: Kryptera känsliga data under överföring

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
3.10	SC-8	3.5, 3.6, 4.1

Säkerhetsprincip: Skydda data under överföring mot "out of band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Ange nätverksgränsen och tjänstomfånget där data under överföringskryptering är obligatoriska i och utanför nätverket. Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk.

Azure-vägledning: Framtvinga säker överföring i tjänster som Azure Storage, där inbyggda data i överföringskrypteringsfunktionen är inbyggd.

Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram genom att se till att alla klienter som ansluter till dina Azure-resurser använder TLS (Transport Layer Security) v1.2 eller senare. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.

För fjärrhantering av virtuella Azure-datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i Azure Storage Blob, App Service-appar och Funktionsappar i stället för att använda den vanliga FTP-tjänsten.

Azure-implementering och extra kontext:

• Dubbel kryptering för Azure-data under överföring
• Förstå kryptering under överföring med Azure
• information om TLS-
• Framtvinga säker överföring i Azure Storage

AWS-vägledning: Framtvinga säker överföring i tjänster som Amazon S3, RDS och CloudFront, där en inbyggd datakrypteringsfunktion för överföring finns.

Framtvinga HTTPS (till exempel i AWS Elastic Load Balancer) för webbprogram och tjänster för arbetsbelastningar (antingen på serversidan eller på klientsidan eller på båda) genom att se till att alla klienter som ansluter till dina AWS-resurser använder TLS v1.2 eller senare.

För fjärrhantering av EC2-instanser använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du AWS Transfer SFTP eller FTPS-tjänsten i stället för en vanlig FTP-tjänst.

AWS-implementering och extra kontext:

• TLS-säkerhetsprinciper i Elastic Load Balancer
• AWS Transfer SFTP och FTPS

GCP-vägledning: Framtvinga säker överföring i tjänster som Google Cloud Storage, där inbyggda data i överföringskrypteringsfunktionen är inbyggd.

Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram som säkerställer att alla klienter som ansluter till dina GCP-resurser använder transportnivåsäkerhet (TLS) v1.2 eller senare.

För fjärrhantering använder Google Cloud Compute Engine SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i tjänster som Google Cloud Big Query eller Cloud App Engine i stället för en vanlig FTP-tjänst.

GCP-implementering och extra kontext:

• Kryptering under överföring
• kryptering under överföring i Google Cloud

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Infrastruktur och slutpunktssäkerhet
• Application Security och DevOps
• Datasäkerhet

DP-6: Använd en process för säker nyckelhantering

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	IA-5, SC-12, SC-28	3.6

Säkerhetsprincip: Dokumentera och implementera en standard för hantering av kryptografiska nycklar för företag, processer och procedurer för att styra din nyckellivscykel. När du behöver använda kundhanterad nyckel i tjänsterna använder du en säker nyckelvalvstjänst för nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.

Azure-vägledning: Använd Azure Key Vault för att skapa och styra livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på det definierade schemat och när en nyckel dras tillbaka eller komprometteras. Kräv en viss kryptografisk typ och minsta nyckelstorlek vid generering av nycklar.

När det finns ett behov av att använda kundhanterad nyckel (CMK) i arbetsbelastningstjänster eller program bör du följa metodtipsen:

• Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet.
• Se till att nycklar registreras med Azure Key Vault och implementeras via nyckel-ID:t i varje tjänst eller program.

För att maximera nyckelmaterialets livslängd och portabilitet tar du med din egen nyckel (BYOK) till tjänsterna (d.v.s. importeraR HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.

• Programvaruskyddade nycklar i valv (Premium & Standard SKU:er): FIPS 140-2 Nivå 1
• HSM-skyddade nycklar i valv (Premium SKU): FIPS 140-2 Nivå 2
• HSM-skyddade nycklar i Managed HSM: FIPS 140-2 Nivå 3

Azure Key Vault Premium använder en delad HSM-infrastruktur i serverdelen. Azure Key Vault Managed HSM använder dedikerade, konfidentiella tjänstslutpunkter med en dedikerad HSM för när du behöver en högre nivå av nyckelsäkerhet.

Azure-implementering och extra kontext:

• Översikt över Azure Key Vault
• Azure-datakryptering i restnyckelhierarki
• BYOK-specifikation (Bring Your Own Key)

AWS-vägledning: Använd AWS Key Management Service (KMS) för att skapa och kontrollera livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.

När det finns behov av att använda kundhanterade huvudnycklar i arbetsbelastningstjänster eller applikationer, se till att följa bästa praxis:

• Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i KMS.
• Se till att nycklar registreras med KMS och implementeras via IAM-principer i varje tjänst eller program.

För att maximera nyckelmaterialets livslängd och portabilitet tar du med din egen nyckel (BYOK) till tjänsterna (dvs. importeraR HSM-skyddade nycklar från dina lokala HSM:er till KMS eller Cloud HSM). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.

Se listan för FIPS 140-2-nivån för FIPS-efterlevnadsnivå i AWS KMS och CloudHSM:

• Standardvärde för AWS KMS: FIPS 140-2 Nivå 2 verifierad
• AWS KMS med CloudHSM: FIPS 140-2 Nivå 3 (för vissa tjänster) verifierad
• AWS CloudHSM: FIPS 140-2 Nivå 3 verifierad

AWS-implementering och extra kontext:

• AWS-hanterade och kundhanterade CMK:er
• importera nyckelmaterial i AWS KMS-nycklar
• Säker överföring av nycklar till CloudHSM-
• Skapa ett anpassat nyckelarkiv som backas upp av CloudHSM

GCP-vägledning: Använd Cloud Key Management Service (Cloud KMS) för att skapa och hantera krypteringsnyckellivscykler i kompatibla Google Cloud-tjänster och i dina arbetsbelastningsprogram. Rotera och återkalla dina nycklar i Cloud KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.

Använd Googles Cloud HSM-tjänst för att tillhandahålla maskinvarubaserade nycklar till Cloud KMS (Key Management Service) Det ger dig möjlighet att hantera och använda egna kryptografiska nycklar samtidigt som du skyddas av fullständigt hanterade maskinvarusäkerhetsmoduler (HSM).

Cloud HSM-tjänsten använder HSM:er, som är FIPS 140-2 Level 3-verifierade och alltid körs i FIPS-läge. FIPS 140-2 Nivå 3 verifieras och körs alltid i FIPS-läge. FIPS-standarden anger de kryptografiska algoritmer och slumptalsgenerering som används av HSM:erna.

GCP-implementering och extra kontext:

• översikt över Cloud Key Management Service
• kundhanterade krypteringsnycklar (CMEK)
• Cloud HSM-

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Application Security och DevOps
• Datasäkerhet

DP-7: Använd en säker certifikathanteringsprocess

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	IA-5, SC-12, SC-17	3.6

Säkerhetsprincip: Dokumentera och implementera en standard för företagscertifikathantering, processer och procedurer som innehåller certifikatets livscykelkontroll och certifikatprinciper (om en offentlig nyckelinfrastruktur behövs).

Se till att certifikat som används av de kritiska tjänsterna i din organisation inventeras, spåras, övervakas och förnyas i tid med hjälp av automatiserad mekanism för att undvika avbrott i tjänsten.

Azure-vägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och azure-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du en manuell rotation i Azure Key Vault.

Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa offentligt signerade certifikat i Azure Key Vault. Följande certifikatutfärdare är de partnerleverantörer som för närvarande är integrerade med Azure Key Vault.

• DigiCert: Azure Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
• GlobalSign: Azure Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.

Azure-implementering och extra kontext:

• Kom igång med Key Vault-certifikat
• åtkomstkontroll för certifikat i Azure Key Vault

AWS-vägledning: Använd AWS Certificate Manager (ACM) för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i ACM och AWS-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i ACM. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.

Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. Skapa i stället offentligt signerade certifikat (signerade av Amazon Certificate Authority) i ACM och distribuera dem programmatiskt i tjänster som CloudFront, Load Balancers, API Gateway osv. Du kan också använda ACM för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.

AWS-implementering och extra kontext:

• AWS Certificate Manager – Kontrollera ett certifikats förnyelsestatus

GCP-vägledning: Använd Google Cloud Certificate Manager för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Certifikathanteraren och GCP-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i Certifikathanteraren. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.

Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa signerade offentliga certifikat i Certificate Manager och distribuera dem programmatiskt i tjänster som Load Balancer och Cloud DNS osv. Du kan också använda certifikatutfärdartjänsten för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.

GCP-implementering och extra kontext:

• Certifikatutfärdartjänst
• Certifikathanterare

Intressenter för kundsäkerhet (Läs mer):

• Application Security och DevOps
• Datasäkerhet

DP-8: Säkerställ säkerheten för nyckel- och certifikatlagringsplatsen

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	IA-5, SC-12, SC-17	3.6

Säkerhetsprincip: Säkerställ säkerheten för nyckelvalvstjänsten som används för hantering av kryptografinyckel och certifikatlivscykel. Härda key vault-tjänsten via åtkomstkontroll, nätverkssäkerhet, loggning och övervakning och säkerhetskopiering för att säkerställa att nycklar och certifikat alltid skyddas med maximal säkerhet.

Azure-vägledning: Skydda dina kryptografiska nycklar och certifikat genom att härda Azure Key Vault-tjänsten med hjälp av följande kontroller:

• Implementera åtkomstkontroll med hjälp av RBAC-principer i Azure Key Vault Managed HSM på nyckelnivå för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa. För Azure Key Vault Standard och Premium skapar du unika valv för olika program för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs.
• Aktivera Azure Key Vault-loggning för att säkerställa att viktiga hanteringsplan- och dataplansaktiviteter loggas.
• Skydda Azure Key Vault med Private Link och Azure Firewall för att säkerställa minimal exponering av tjänsten
• Använd hanterad identitet för att komma åt nycklar som lagras i Azure Key Vault i dina arbetsbelastningsprogram.
• När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
• Säkerhetskopiera dina nycklar och certifikat med Hjälp av Azure Key Vault. Aktivera skydd mot mjuk borttagning och rensning för att undvika oavsiktlig borttagning av nycklar. När nycklar måste tas bort bör du överväga att inaktivera nycklar i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
• För byok-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.
• Lagra aldrig nycklar i klartextformat utanför Azure Key Vault. Nycklar i alla Key Vault-tjänster kan inte exporteras som standard.
• Använd HSM-säkerhetskopierade nyckeltyper (RSA-HSM) i Azure Key Vault Premium och Azure Managed HSM för maskinvaruskyddet och de starkaste FIPS-nivåerna.

Aktivera Microsoft Defender för Key Vault för Azure-inbyggt, avancerat skydd mot hot för Azure Key Vault, vilket ger ett extra lager säkerhetsinformation.

Azure-implementering och extra kontext:

• Översikt över Azure Key Vault
• metodtips för Säkerhet i Azure Key Vault
• Använda hanterad identitet för att få åtkomst till Azure Key Vault-
• Översikt över Microsoft Defender för Key Vault

AWS-vägledning: För säkerhet för kryptografiska nycklar skyddar du dina nycklar genom att härda din KMS-tjänst (Key Management Service) för AWS genom följande kontroller:

• Implementera åtkomstkontroll med hjälp av nyckelprinciper (åtkomstkontroll på nyckelnivå) med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att minsta möjliga behörighet och uppdelning av ansvarsprinciper följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
• Använd detektivkontroller som CloudTrails för att logga och spåra användningen av nycklar i KMS och varna dig om kritiska åtgärder.
• Lagra aldrig nycklar i klartextformat utanför KMS.
• När nycklar måste tas bort bör du överväga att inaktivera nycklar i KMS i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
• När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
• För byok-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.

Skydda dina certifikat för certifikatsäkerhet genom att härda AWS Certificate Manager-tjänsten (ACM) genom följande kontroller:

• Implementera åtkomstkontroll med hjälp av principer på resursnivå med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att det finns en uppdelning av uppgifter för användarkonton: användarkonton som genererar certifikat är separata från användarkontona som bara kräver skrivskyddad åtkomst till certifikat.
• Använd detektivkontroller som CloudTrails för att logga och spåra användningen av certifikaten i ACM och varna dig om kritiska åtgärder.
• Följ KMS-säkerhetsvägledningen för att skydda din privata nyckel (genererad för certifikatbegäran) som används för tjänstcertifikatintegrering.

AWS-implementering och extra kontext:

• Bästa praxis för säkerhet för AWS Key Management Service
• Security i AWS Certificate Manager

GCP-vägledning: Skydda dina nycklar genom att härda nyckelhanteringstjänsten genom följande kontroller för säkerhet i kryptografiska nycklar:

• Implementera åtkomstkontroll med hjälp av IAM-roller för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
• Skapa en separat nyckelring för varje projekt som gör att du enkelt kan hantera och kontrollera åtkomsten till nycklarna enligt bästa praxis för lägsta behörighet. Det gör det också lättare att granska vem som har åtkomst till vilka nycklar vid när.
• Aktivera automatisk rotation av nycklar för att säkerställa att nycklarna uppdateras och uppdateras regelbundet. Detta hjälper till att skydda mot potentiella säkerhetshot, till exempel råstyrkeattacker eller skadliga aktörer som försöker få åtkomst till känslig information.
• Konfigurera en granskningsloggmottagare för att spåra alla aktiviteter som inträffar i din GCP KMS-miljö.

Skydda dina certifikat för certifikatsäkerhet genom att härda GCP-certifikathanteraren och certifikatutfärdartjänsten genom följande kontroller:

• Implementera åtkomstkontroll med hjälp av principer på resursnivå med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att det finns en uppdelning av uppgifter för användarkonton: användarkonton som genererar certifikat är separata från användarkontona som bara kräver skrivskyddad åtkomst till certifikat.
• Använd detektivkontroller som molngranskningsloggar för att logga och spåra användningen av certifikaten i Certifikathanteraren och varna dig om kritiska åtgärder.
• Secret Manager stöder också lagring av TLS-certifikat. Du måste följa liknande säkerhetspraxis för att implementera säkerhetskontrollerna i Secret Manager.

GCP-implementering och extra kontext:

• Cloud Key Management Service-åtkomstkontroller
• Certifikathanterare

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Application Security och DevOps
• Datasäkerhet

Säkerhetskontroll: Slutpunktssäkerhet

Endpoint Security omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänst mot skadlig kod för slutpunkter i molnmiljöer.

ES-1: Använd slutpunktsidentifiering och svar (EDR)

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
13.7	SC-3, SI-2, SI-3, SI-16	11.5

Säkerhetsprincip: Aktivera funktioner för slutpunktsidentifiering och svar (EDR) för virtuella datorer och integrera med SIEM- och säkerhetsåtgärdsprocesser.

Azure-vägledning: Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) ger EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Använd Microsoft Defender för molnet för att distribuera Microsoft Defender för servrar på dina slutpunkter och integrera aviseringarna i siem-lösningen, till exempel Microsoft Sentinel.

Azure-implementering och extra kontext:

• Introduktion till Azure Defender för servrar
• Översikt över Microsoft Defender för Endpoint
• funktioner i Microsoft Defender för molnet för datorer
• Connector för Defender for Servers-integrering i SIEM-

AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina EC2-instanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Du kan också använda Amazon GuardDuty-funktionen för integrerad hotinformation för att övervaka och skydda dina EC2-instanser. Amazon GuardDuty kan identifiera avvikande aktiviteter, till exempel aktivitet som indikerar en instanskompromation, till exempel utvinning av kryptovaluta, skadlig kod med hjälp av domängenereringsalgoritmer (DGA), utgående denial of service-aktivitet, ovanligt hög volym nätverkstrafik, ovanliga nätverksprotokoll, utgående instanskommunikation med en känd skadlig IP-adress, tillfälliga Amazon EC2-autentiseringsuppgifter som används av en extern IP-adress och dataexfiltrering med DNS.

AWS-implementering och extra kontext:

• Skydda dina slutpunkter med Defender for Clouds integrerade EDR-lösning

GCP-vägledning: Registrera ditt GCP-projekt i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina virtuella datorinstanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Du kan också använda Googles Security Command Center för integrerad hotinformation för att övervaka och skydda dina virtuella datorinstanser. Security Command Center kan identifiera avvikande aktivitet, till exempel potentiellt läckta autentiseringsuppgifter, utvinning av kryptovalutor, potentiellt skadliga program, skadlig nätverksaktivitet med mera.

GCP-implementering och extra kontext:

• Skydda dina slutpunkter med Defender for Clouds integrerade EDR-lösning:
• översikt över Security Command Center:

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Hotinformation
• Hantering av säkerhetsefterlevnad
• Posture Management

ES-2: Använd modern programvara mot skadlig kod

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
10.1	SC-3, SI-2, SI-3, SI-16	5,1

Säkerhetsprincip: Använd lösningar mot skadlig kod (även kallat slutpunktsskydd) som kan skydda i realtid och regelbundet genomsökning.

Azure-vägledning: Microsoft Defender för molnet kan automatiskt identifiera användningen av många populära lösningar mot skadlig kod för dina virtuella datorer och lokala datorer med Azure Arc konfigurerat och rapportera status för slutpunktsskydd som körs och ge rekommendationer.

Microsoft Defender Antivirus är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För Windows Server 2012 R2 använder du Microsofts tillägg mot skadlig kod för att aktivera SCEP (System Center Endpoint Protection). För virtuella Linux-datorer använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

Azure-implementering och extra kontext:

• slutpunktsskyddslösningar som stöds
• Så här konfigurerar du Microsofts program mot skadlig kod för Cloud Services och virtuella datorer

AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av några populära lösningar mot skadlig kod för EC2-instanser med Azure Arc konfigurerat och rapportera slutpunktsskyddskörningsstatusen och ge rekommendationer.

Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För EC2-instanser som kör Windows Server 2012 R2 använder du Microsofts tillägg mot skadlig kod för att aktivera SCEP (System Center Endpoint Protection). För EC2-instanser som kör Linux använder du Microsoft Defender för Endpoint i Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

AWS-implementering och extra kontext:

• GuardDuty EC2 hitta
• Slutpunktsskyddslösningar som stöds av Microsoft Defender
• Endpoint Protection-rekommendationer i Microsoft Defender för moln

GCP-vägledning: Registrera dina GCP-projekt i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av populära lösningar mot skadlig kod för virtuella datorinstanser med Azure Arc konfigurerad och rapportera slutpunktsskyddsstatus och ge rekommendationer.

Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För virtuella datorinstanser som kör Windows Server 2012 R2 använder du Microsofts tillägg mot skadlig kod för att aktivera SCEP (System Center Endpoint Protection). För virtuella datorinstanser som kör Linux använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

GCP-implementering och extra kontext:

• Slutpunktsskyddslösningar som stöds av Microsoft Defender:
• Endpoint Protection-rekommendationer i Microsoft Defender för moln:

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Hotinformation
• Hantering av säkerhetsefterlevnad
• Posture Management

ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
10,2	SI-2, SI-3	5.2

Säkerhetsprincip: Se till att signaturer mot skadlig kod uppdateras snabbt och konsekvent för lösningen mot skadlig kod.

Azure-vägledning: Följ rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft anti-malware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För externa lösningar kontrollerar du att signaturerna uppdateras i den externa lösningen mot skadlig kod.

Azure-implementering och extra kontext:

• Så här distribuerar du Microsofts program mot skadlig kod för Molntjänster och virtuell dator
• Endpoint Protection-utvärdering och rekommendationer i Microsoft Defender for Cloud

AWS-vägledning: Med ditt AWS-konto registrerat i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft anti-malware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För externa lösningar kontrollerar du att signaturerna uppdateras i den externa lösningen mot skadlig kod.

AWS-implementering och extra kontext:

• Ansluta dina AWS-konton till Microsoft Defender för Cloud

GCP-vägledning: Med dina GCP-projekt registrerade i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla EDR-lösningar uppdaterade med de senaste signaturerna. Microsoft anti-malware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För externa lösningar kontrollerar du att signaturerna uppdateras i den externa lösningen mot skadlig kod.

GCP-implementering och extra kontext:

• Anslut dina GCP-projekt till Microsoft Defender för molnet:

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Hotinformation
• Hantering av säkerhetsefterlevnad
• Posture Management

Säkerhetskontroll: Styrning och strategi

Styrning och strategi ger vägledning för att säkerställa en enhetlig säkerhetsstrategi och en dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder.

GS-5: Definiera och implementera strategi för hantering av säkerhetsstatus

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
4.1, 4.2	CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5	1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Allmän vägledning: Upprätta en princip, procedur och standard för att säkerställa att säkerhetskonfigurationshantering och sårbarhetshantering finns på plats i ditt molnsäkerhetsmandat.

Säkerhetskonfigurationshanteringen i molnet bör innehålla följande områden:

• Definiera de säkra konfigurationsbaslinjerna för olika resurstyper i molnet, till exempel webbportalen/-konsolen, hanterings- och kontrollplanet och resurser som körs i IaaS-, PaaS- och SaaS-tjänsterna.
• Se till att säkerhetsbaslinjerna hanterar riskerna inom olika kontrollområden, till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst, dataskydd och så vidare.
• Använd verktyg för att kontinuerligt mäta, granska och framtvinga konfigurationen för att förhindra att konfigurationen avviker från baslinjen.
• Utveckla en takt för att hålla dig uppdaterad med säkerhetsfunktioner, till exempel prenumerera på tjänstuppdateringarna.
• Använd en mekanism för säkerhetshälsa eller efterlevnadskontroll (till exempel Säker poäng, Instrumentpanel för efterlevnad i Microsoft Defender för molnet) för att regelbundet granska säkerhetskonfigurationsstatusen och åtgärda de identifierade luckorna.

Sårbarhetshanteringen i molnet bör innehålla följande säkerhetsaspekter:

• Utvärdera och åtgärda säkerhetsproblem regelbundet i alla typer av molnresurser, till exempel molnbaserade tjänster, operativsystem och programkomponenter.
• Använd en riskbaserad metod för att prioritera utvärdering och reparation.
• Prenumerera på relevanta CSPM-säkerhetsmeddelanden och bloggar för att få de senaste säkerhetsuppdateringarna.
• Se till att sårbarhetsbedömningen och reparationen (till exempel schema, omfattning och tekniker) uppfyller organisationens efterlevnadskrav.

Implementering och extra kontext:

• Microsofts prestandamått för molnsäkerhet – Hantering av hållning och sårbarheter
• Bästa praxis för Azure Security 9 – Upprätta hantering av säkerhetsstatus

Intressenter för kundsäkerhet (Läs mer):

• Alla intressenter

GS-11: Definiera och implementera säkerhetsstrategi för flera moln

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	Ej tillämpligt	Ej tillämpligt

Allmän vägledning: Se till att en strategi för flera moln definieras i din moln- och säkerhetsstyrning, riskhantering och åtgärdsprocess som bör innehålla följande aspekter:

• Implementering av flera moln: För organisationer som använder infrastruktur för flera moln och utbilda din organisation för att säkerställa att teamen förstår funktionsskillnaden mellan molnplattformarna och teknikstacken. Skapa, distribuera och/eller migrera lösningar som är portabla. Gör det enkelt att flytta mellan molnplattformar med minsta leverantörslåsning samtidigt som du använder molnbaserade funktioner på ett lämpligt sätt för det optimala resultatet av molnimplementeringen.
• Moln- och säkerhetsåtgärder: Effektivisera säkerhetsåtgärder för att stödja lösningarna i varje moln, genom en central uppsättning styrnings- och hanteringsprocesser som delar vanliga driftsprocesser, oavsett var lösningen distribueras och drivs.
• Verktygs- och teknikstack: Välj lämpliga verktyg som stöder flera molnmiljöer för att hjälpa till med att upprätta enhetliga och centraliserade hanteringsplattformar som innehåller alla säkerhetsdomäner som beskrivs i det här säkerhetsmåttet.

Implementering och extra kontext:

• Azure-hybrid- och
• Azure-hybrid- och multimolndokumentation
• jämförelse mellan AWS och Azure-tjänster
• Azure för AWS-proffs

Säkerhetskontroll: Identitetshantering

Identitetshantering omfattar kontroller för att upprätta en säker identitets- och åtkomstkontroll med hjälp av identitets- och åtkomsthanteringssystem, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och övervakning av kontoavvikelser.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
16,9, 16,12	IA-5	3.5, 6.3, 8.2

Säkerhetsprincip: Se till att programutvecklare hanterar autentiseringsuppgifter och hemligheter på ett säkert sätt:

• Undvik att bädda in autentiseringsuppgifter och hemligheter i kod- och konfigurationsfilerna
• Använd key vault eller en säker nyckellagringstjänst för att lagra autentiseringsuppgifter och hemligheter
• Sök efter autentiseringsuppgifter i källkoden.

Azure-vägledning: När det inte är ett alternativ att använda en hanterad identitet, säkerställer du att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- och konfigurationsfilerna.

Om du använder Azure DevOps och GitHub för din kodhanteringsplattform:

• Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i koden.
• För GitHub använder du funktionen för intern hemlig genomsökning för att identifiera autentiseringsuppgifter eller annan form av hemligheter i koden.

Klienter som Azure Functions, Azure Apps-tjänster och virtuella datorer kan använda hanterade identiteter för att komma åt Azure Key Vault på ett säkert sätt. Se Dataskyddskontroller som rör användningen av Azure Key Vault för hantering av hemligheter.

Azure-implementering och extra kontext:

• Konfigurera autentiseringsskanner
• GitHub-hemlighetsgenomsökning

AWS-vägledning: När användningen av en IAM-roll för programåtkomst inte är ett alternativ, säkerställ att säkerhetsinformation och autentiseringsuppgifter lagras på säkra platser som AWS Secret Manager eller Systems Manager Parameter Store, i stället för att bädda in dem i kod- och konfigurationsfiler.

Använd CodeGuru Reviewer för statisk kodanalys som kan identifiera hemligheterna som är hårdkodade i källkoden.

Om du använder Azure DevOps och GitHub för din kodhanteringsplattform:

• Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i koden.
• För GitHub använder du funktionen för intern hemlig genomsökning för att identifiera autentiseringsuppgifter eller andra former av hemligheter i koden.

AWS-implementering och extra kontext:

• AWS IAM-roller i EC2
• AWS Secrets Manager integrerade tjänster
• Identifiering av hemligheter för CodeGuru-granskare

GCP-vägledning: När du använder ett Google-hanterat tjänstkonto för programåtkomst är det inte ett alternativ, se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Google Cloud Secret Manager i stället för att bädda in dem i kod- och konfigurationsfilerna.

Använd Google Cloud Code-tillägget på IDE:er (integrerad utvecklingsmiljö) som Visual Studio Code för att integrera hemligheter som hanteras av Secret Manager i koden.

Om du använder Azure DevOps eller GitHub för din kodhanteringsplattform:

• Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i koden.
• För GitHub använder du funktionen för intern hemlig genomsökning för att identifiera autentiseringsuppgifter eller andra former av hemligheter i koden.

GCP-implementering och extra kontext:

• bästa praxis för Secret Manager
• Cloud Code för VS Code-funktioner

Intressenter för kundsäkerhet (Läs mer):

• Programsäkerhet och DevSecOps
• Posture Management

Säkerhetskontroll: Incidenthantering

Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Microsoft Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen.

IR-4: Identifiering och analys – undersöka en incident

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	IR-4	12.10

Säkerhetsprincip: Se till att säkerhetsåtgärdsteamet kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Olika loggar bör samlas in för att spåra aktiviteterna för en potentiell angripare i intrångskedjan för att undvika obevakade områden. Du bör också se till att insikter och lärdomar samlas in för andra analytiker och för framtida historiska referenser.

Använd den molnbaserade SIEM- och incidenthanteringslösningen om din organisation inte har någon befintlig lösning för att aggregera säkerhetsloggar och aviseringsinformation. Korrelera incidentdata baserat på data som kommer från olika källor för att utföra incidentutredningarna.

Azure-vägledning: Se till att ditt säkerhetsteam kan fråga efter och använda olika datakällor som samlas in från tjänster och system inom omfånget. Dessutom kan källorna innehålla:

• Identitets- och åtkomstloggdata: Använd Microsoft Entra-loggar och -arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
• Nätverksdata: Använd nätverkssäkerhetsgruppers flödesloggar, Azure Network Watcher och Azure Monitor för att samla in nätverksflödesloggar och annan analysinformation.
• Incidentrelaterade aktivitetsdata från ögonblicksbilder av de berörda systemen, som kan hämtas via:
  • Azure Virtual Machine-funktionen för ögonblicksbilder för att skapa en ögonblicksbild av systemets disk som körs.
  • Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
  • Ögonblicksbildsfunktionen i andra Azure-tjänster som stöds eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.

Microsoft Sentinel tillhandahåller omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.

Azure-implementering och extra kontext:

• Ögonblicksbild av en Windows-dators disk
• Ögonblicksbild av en Linux-dators disk
• Diagnostikinformation för Microsoft Azure Support och insamling av minnesdumpar
• Undersöka incidenter med Microsoft Sentinel

AWS-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som samlar in från tjänsterna i omfånget och kör system, men kan även innehålla:

• Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
• Nätverksdata: Använd VPC-flödesloggar, VPC Traffic Mirrors och Azure CloudTrail och CloudWatch för att samla in nätverksflödesloggar och annan analysinformation.
• Ögonblicksbilder av system som körs, som kan hämtas via:
  • Ögonblicksbildsfunktion i Amazon EC2 (EBS) för att skapa en ögonblicksbild av det system som körs på disken.
  • Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
  • Ögonblicksbildsfunktionen i AWS-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.

Om du aggregerar dina SIEM-relaterade data till Microsoft Sentinel tillhandahåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.

AWS-implementering och extra kontext:

• trafikspegling
• Skapa EBS-volymsäkerhetskopior med AMI:er och EBS-ögonblicksbilder
• Använd oföränderlig lagring

GCP-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som samlar in från tjänster i omfånget och system som körs, men som också kan omfatta:

• Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
• Nätverksdata: Använd VPC-flödesloggar och VPC-tjänstkontroller för att samla in nätverksflödesloggar och annan analysinformation.
• Ögonblicksbilder av system som körs, som kan hämtas via:
  • Funktioner för ögonblicksbilder i virtuella GCP-datorer för att skapa en ögonblicksbild av systemets disk som körs.
  • Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
  • Ögonblicksbildsfunktionen i GCP-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.

Om du aggregerar dina SIEM-relaterade data till Microsoft Sentinel tillhandahåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.

GCP-implementering och extra kontext:

• Security Command Center – säkerhetskällor
• datauppsättningar som stöds
• Skapa och hantera diskögonblicksbilder
• Stream Google Cloud Platform loggar in på Microsoft Sentinel-

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsåtgärder
• Incidentförberedelse
• Hotinformation

IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
Ej tillämpligt	IR-4, IR-5, IR-6	12.10

Säkerhetsprincip: Automatisera manuella, repetitiva uppgifter för att påskynda svarstiden och minska analytikernas belastning. Manuella uppgifter tar längre tid att utföra, vilket gör varje incident långsammare och minskar antalet incidenter som en analytiker kan hantera. Manuella uppgifter ökar också analytikernas trötthet, vilket ökar risken för mänskliga fel som orsakar fördröjningar och försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.

Azure-vägledning: Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Microsoft Sentinel för att automatiskt utlösa åtgärder eller köra spelböcker för att svara på inkommande säkerhetsaviseringar. Spelböcker vidtar åtgärder, till exempel att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.

Azure-implementering och extra kontext:

• Konfigurera arbetsflödesautomation i Security Center
• Konfigurera automatiserade hotsvar i Microsoft Defender för cloud
• Konfigurera automatiserade hotsvar i Microsoft Sentinel

AWS-vägledning: Om du använder Microsoft Sentinel för att hantera din incident centralt kan du också skapa automatiserade åtgärder eller köra spelböcker för att svara på inkommande säkerhetsaviseringar.

Du kan också använda automatiseringsfunktioner i AWS System Manager för att automatiskt utlösa åtgärder som definierats i planen för incidenthantering, inklusive att meddela kontakterna och/eller köra en runbook för att svara på aviseringar, till exempel inaktivera konton och isolera problematiska nätverk.

AWS-implementering och extra kontext:

• AWS Systems Manager – runbooks och automation

GCP-vägledning: Om du använder Microsoft Sentinel för att hantera din incident centralt kan du också skapa automatiserade åtgärder eller köra spelböcker för att svara på inkommande säkerhetsaviseringar.

Du kan också använda spelboksautomatiseringar i Chronicle för att automatiskt utlösa åtgärder som definierats i planen för incidenthantering, inklusive att meddela kontakterna och/eller köra en spelbok för att svara på aviseringar.

GCP-implementering och extra kontext:

• Chronicle SOAR-handbok

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsåtgärder
• Incidentförberedelse
• Hotinformation

Säkerhetskontroll: Loggning och hotidentifiering

Loggning och hotidentifiering omfattar kontroller för att identifiera hot i molnet och aktivera, samla in och lagra granskningsloggar för molntjänster, inklusive aktivering av identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera högkvalitativa aviseringar med inbyggd hotidentifiering i molntjänster. Det omfattar även insamling av loggar med en molnövervakningstjänst, centralisering av säkerhetsanalys med siem, tidssynkronisering och loggkvarhållning.

LT-1: Aktivera funktioner för hotidentifiering

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Säkerhetsprincip: Övervaka alla kända resurstyper för kända och förväntade hot och avvikelser för att stödja scenarier för hotidentifiering. Konfigurera dina aviseringsfiltrerings- och analysregler för att extrahera högkvalitativa aviseringar från loggdata, agenter eller andra datakällor för att minska falska positiva identifieringar.

Azure-vägledning: Använd funktionen för hotidentifiering i Microsoft Defender för molnet för respektive Azure-tjänster.

Information om hotidentifiering som inte ingår i Microsoft Defender-tjänster finns i Microsoft Cloud Security Benchmark-tjänstbaslinjer för respektive tjänster för att aktivera funktionerna för hotidentifiering eller säkerhetsaviseringar i tjänsten. Mata in aviseringar och loggdata från Microsoft Defender för molnet, Microsoft Defender XDR och logga data från andra resurser i dina Azure Monitor- eller Microsoft Sentinel-instanser för att skapa analysregler som identifierar hot och skapar aviseringar som matchar specifika kriterier i din miljö.

För OT-miljöer (Operational Technology) som omfattar datorer som styr eller övervakar ICS-resurser (Industrial Control System) eller SCADA-resurser (Övervakningskontroll och dataförvärv) använder du Microsoft Defender för IoT för att inventera tillgångar och identifiera hot och sårbarheter.

För tjänster som inte har en inbyggd hotidentifieringsfunktion bör du överväga att samla in dataplansloggarna och analysera hoten via Microsoft Sentinel.

Azure-implementering och extra kontext:

• Introduktion till Microft Defender for Cloud
• referensguide microsoft Defender för molnsäkerhetsaviseringar
• Skapa anpassade analysregler för att identifiera hot
• Hotindikatorer för cyberhotinformation i Microsoft Sentinel

AWS-vägledning: Använd Amazon GuardDuty för hotidentifiering som analyserar och bearbetar följande datakällor: VPC-flödesloggar, händelseloggar för AWS CloudTrail-hantering, CloudTrail S3-datahändelseloggar, EKS-granskningsloggar och DNS-loggar. GuardDuty kan rapportera om säkerhetsproblem som eskalering av privilegier, exponerad användning av autentiseringsuppgifter eller kommunikation med skadliga IP-adresser eller domäner.

Konfigurera AWS Config för att kontrollera regler i SecurityHub för efterlevnadsövervakning, till exempel konfigurationsavvikelse, och skapa resultat när det behövs.

För hotidentifiering som inte ingår i GuardDuty och SecurityHub aktiverar du funktioner för hotidentifiering eller säkerhetsaviseringar i de AWS-tjänster som stöds. Extrahera aviseringarna till CloudTrail, CloudWatch eller Microsoft Sentinel för att skapa analysregler som jagar hot som matchar specifika kriterier i din miljö.

Du kan också använda Microsoft Defender för molnet för att övervaka vissa tjänster i AWS, till exempel EC2-instanser.

För OT-miljöer (Operational Technology) som omfattar datorer som styr eller övervakar ICS-resurser (Industrial Control System) eller SCADA-resurser (Övervakningskontroll och dataförvärv) använder du Microsoft Defender för IoT för att inventera tillgångar och identifiera hot och sårbarheter.

AWS-implementering och extra kontext:

• Amazon GuardDuty
• Amazon GuardDuty-datakällor
• Ansluta dina AWS-konton till Microsoft Defender för Cloud
• Hur Defender för Cloud Apps hjälper dig att skydda din Amazon Web Services-miljö (AWS)
• Säkerhetsrekommendationer för AWS-resurser – en referensguide

GCP-vägledning: Använd Händelsehotidentifiering i Google Cloud Security Command Center för hotidentifiering med hjälp av loggdata som administratörsaktivitet, GKE-dataåtkomst, VPC-flödesloggar, Moln-DNS och brandväggsloggar.

Använd dessutom Security Operations-sviten för modern SOC med Chronicle SIEM och SOAR. Krönika SIEM och SOAR ger funktioner för hotidentifiering, undersökning och jakt

Du kan också använda Microsoft Defender för molnet för att övervaka vissa tjänster i GCP, till exempel beräknings-VM-instanser.

För OT-miljöer (Operational Technology) som omfattar datorer som styr eller övervakar ICS-resurser (Industrial Control System) eller SCADA-resurser (Övervakningskontroll och dataförvärv) använder du Microsoft Defender för IoT för att inventera tillgångar och identifiera hot och sårbarheter.

GCP-implementering och extra kontext:

• översikt över för händelsehotidentifiering i Security Command Center
• Krönika SOAR
• Hur Defender för Cloud Apps hjälper dig att skydda din GCP-miljö (Google Cloud Platform)
• Säkerhetsrekommendationer för GCP-resurser – en referensguide

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Säkerhetsåtgärder
• Posture Management
• Application Security och DevOps
• Hotinformation

LT-3: Aktivera loggning för säkerhetsundersökning

Expandera tabell

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
8.2, 8.5, 8.12	AU-3, AU-6, AU-12, SI-4	10.1, 10.2, 10.3

Säkerhetsprincip: Aktivera loggning för dina molnresurser för att uppfylla kraven för säkerhetsincidentutredningar och säkerhetssvar och efterlevnadsändamål.

Azure-vägledning: Aktivera loggningskapacitet för resurser på olika nivåer, till exempel loggar för Azure-resurser, operativsystem och program i dina virtuella datorer och andra loggtyper.

Tänk på olika typer av loggar för säkerhet, granskning och andra driftloggar på hanterings-/kontrollplanets och dataplanets nivåer. Det finns tre typer av loggar som är tillgängliga på Azure-plattformen:

• Azure-resurslogg: Loggning av åtgärder som utförs i en Azure-resurs (dataplanet). Du kan till exempel hämta en hemlighet från ett nyckelvalv eller göra en begäran till en databas. Innehållet i resursloggarna varierar beroende på Azure-tjänst och resurstyp.
• Azure-aktivitetslogg: Loggning av åtgärder på varje Azure-resurs på prenumerationsnivå, utifrån (hanteringsplanet). Du kan använda aktivitetsloggen för att avgöra vad, vem och när för skrivåtgärder (PUT, POST, DELETE) som tagits på resurserna i din prenumeration. Det finns en enda aktivitetslogg för varje Azure-prenumeration.
• Microsoft Entra-ID-loggar: Loggar över inloggningsaktivitetens historik och spårningsloggen för ändringar som gjorts i Microsoft Entra-ID:t för en viss klientorganisation.

Du kan också använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och loggdata som samlas in på Azure-resurser.

Azure-implementering och extra kontext:

• Förstå loggning och olika loggtyper i Azure
• Förstå datainsamling i Microsoft Defender för molnet
• Aktivera och konfigurera övervakning av skadlig kod
• Operativsystem och programloggar i dina beräkningsresurser

AWS-vägledning: Använd AWS CloudTrail-loggning för hanteringshändelser (kontrollplansåtgärder) och datahändelser (dataplansåtgärder) och övervaka dessa spår med CloudWatch för automatiserade åtgärder.

Med Amazon CloudWatch Logs-tjänsten kan du samla in och lagra loggar från dina resurser, program och tjänster nästan i realtid. Det finns tre huvudkategorier av loggar:

• Varuautomater: Loggar som publicerats internt av AWS-tjänster för din räkning. För närvarande är Amazon VPC Flow-loggar och Amazon Route 53-loggar de två typer som stöds. Dessa två loggar är aktiverade som standard.
• Loggar publicerade av AWS-tjänster: Loggar från mer än 30 AWS-tjänster publicerar till CloudWatch. De inkluderar Amazon API Gateway, AWS Lambda, AWS CloudTrail och många andra. Dessa loggar kan aktiveras direkt i tjänsterna och CloudWatch.
• Anpassade loggar: Loggar från ditt eget program och lokala resurser. Du måste samla in dessa loggar genom att installera CloudWatch Agent i dina operativsystem och vidarebefordra dem till CloudWatch.

Även om många tjänster endast publicerar loggar till CloudWatch Logs kan vissa AWS-tjänster publicera loggar direkt till Amazon S3 eller Amazon Kinesis Data Firehose, där du kan tillämpa olika policys för loggningslagring och lagringstid.

AWS-implementering och extra kontext:

• Aktivera loggning från vissa AWS-tjänster
• Övervakning och loggning
• Cloudwatch-funktioner

GCP-vägledning: Aktivera loggningsfunktioner för resurser på olika nivåer, till exempel loggar för Azure-resurser, operativsystem och program i dina virtuella datorer och andra loggtyper.

Tänk på olika typer av loggar för säkerhet, granskning och andra driftloggar på hanterings-/kontrollplanets och dataplanets nivåer. Operations Suite Cloud Logging Service samlar in och aggregerar alla typer av logghändelser från resursnivåer. Fyra kategorier av loggar stöds i Cloud Logging:

• Plattformsloggar – loggar skrivna av dina Google Cloud-tjänster.
• Komponentloggar – liknar plattformsloggar, men loggarna genereras av Programvarukomponenter från Google som körs på dina system.
• Säkerhetsloggar – främst granskningsloggar som registrerar administrativa aktiviteter och åtkomster inom dina resurser.
• Användarskriven – loggar skrivna av anpassade program och tjänster
• Loggar för flera moln och hybridmolnloggar – loggar från andra molnleverantörer som Microsoft Azure och loggar från lokal infrastruktur.

GCP-implementering och extra kontext:

• översikt över Cloud Audit Logs
• Google Cloud-tjänster med granskningsloggar

Intressenter för kundsäkerhet (Läs mer):

• Infrastruktur och slutpunktssäkerhet
• Säkerhetsåtgärder
• Posture Management
• Application Security och DevOps
• Hotinformation

LT-4: Aktivera nätverksloggning för säkerhetsundersökning

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Säkerhetsprincip: Aktivera loggning för dina nätverkstjänster för att stödja nätverksrelaterade incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Nätverksloggarna innehåller loggar från nätverkstjänster som IP-filtrering, nätverks- och programbrandvägg, DNS, flödesövervakning och så vidare.

Azure-vägledning: Aktivera och samla in nätverkssäkerhetsgruppsloggar (NSG), NSG-flödesloggar, Azure Firewall-loggar och WAF-loggar (Web Application Firewall) och loggar från virtuella datorer via datainsamlingsagenten för nätverkstrafik för säkerhetsanalys för att stödja incidentundersökningar och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Traffic Analytics för att ge insikter.

Samla in DNS-frågeloggar för att korrelera andra nätverksdata.

Azure-implementering och extra kontext:

• Så här aktiverar du flödesloggar för nätverkssäkerhetsgrupper
• Azure Firewall-loggar och mått
• azure-nätverksövervakningslösningar i Azure Monitor
• Samla in insikter om DIN DNS-infrastruktur med DNS Analytics-lösningen

AWS-vägledning: Aktivera och samla in nätverksloggar som VPC-flödesloggar, WAF-loggar och Route53 Resolver-frågeloggar för säkerhetsanalys för att stödja incidentundersökningar och generering av säkerhetsaviseringar. Loggarna kan exporteras till CloudWatch för övervakning eller en S3-lagringshink för inmatning till Microsoft Sentinel-lösningen för centraliserad analys.

AWS-implementering och extra kontext:

• Aktivera loggning från vissa AWS-tjänster

GCP-vägledning: De flesta nätverksaktivitetsloggar är tillgängliga via VPC-flödesloggarna som registrerar ett exempel på nätverksflöden som skickas från och tas emot av resurser, inklusive instanser som används som virtuella Google Compute-datorer, Kubernetes Engine-noder. Dessa loggar kan användas för nätverksövervakning, kriminalteknik, säkerhetsanalys i realtid och kostnadsoptimering.

Du kan visa flödesloggar i Molnloggning och exportera loggar till målet som Cloud Logging-export stöder. Flödesloggar aggregeras per anslutning från Compute Engine-VM:er och exporteras i realtid. Genom att prenumerera på Pub/Sub kan du analysera flödesloggar med hjälp av API:er för direktuppspelning i realtid.

GCP-implementering och extra kontext:

• Använda VPC-flödesloggar
• VPC-granskningsloggningsinformation
• paketspegling

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsåtgärder
• Infrastruktur och slutpunktssäkerhet
• Programsäkerhet och DevOps
• Hotinformation

LT-5: Centralisera hantering och analys av säkerhetsloggar

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
8.9, 8.11, 13.1	AU-3, AU-6, AU-12, SI-4	Ej tillämpligt

Säkerhetsprincip: Centralisera loggningslagring och analys för att möjliggöra korrelation mellan loggdata. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Använd molnbaserat SIEM om du inte har någon befintlig SIEM-lösning för CSP:er. Eller aggregera loggar/aviseringar i din befintliga SIEM.

Azure-vägledning: Se till att du integrerar Azure-aktivitetsloggar i en centraliserad Log Analytics-arbetsyta. Använd Azure Monitor för att köra frågor mot och utföra analyser och skapa aviseringsregler med hjälp av loggar som sammanställts från Azure-tjänster, slutpunktsenheter, nätverksresurser och andra säkerhetssystem.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel som tillhandahåller siem-funktioner (security information event management) och soar-funktioner (security orchestration automated response).

Azure-implementering och extra kontext:

• Samla in plattformsloggar och mått med Azure Monitor
• Så här registrerar du Microsoft Sentinel

AWS-vägledning: Se till att du integrerar dina AWS-loggar i en central resurs för lagring och analys. Använd CloudWatch för att fråga och utföra analyser och för att skapa aviseringsregler med hjälp av loggar som sammanställts från AWS-tjänster, tjänster, slutpunktsenheter, nätverksresurser och andra säkerhetssystem.

Dessutom kan du aggregera loggarna i en S3-lagringshink och registrera loggdata till Microsoft Sentinel som tillhandahåller siem-funktioner (security information event management) och soar-funktioner (security orchestration automated response).

AWS-implementering och extra kontext:

• Ansluta Microsoft Sentinel till Amazon Web Services för att mata in AWS-tjänstloggdata

GCP-vägledning: Se till att du integrerar dina GCP-loggar i en centraliserad resurs (till exempel Operations Suite Cloud Logging Bucket) för lagring och analys. Molnloggning stöder de flesta av Google Clouds interna tjänstloggning samt externa program och lokala program. Du kan använda Cloud Logging för att fråga och utföra analyser och skapa aviseringsregler med hjälp av loggarna aggregerade från GCP-tjänster, tjänster, slutpunktsenheter, nätverksresurser och andra säkerhetssystem.

Använd molnbaserat SIEM om du inte har någon befintlig SIEM-lösning för CSP:er eller aggregerar loggar/aviseringar i din befintliga SIEM.

GCP-implementering och extra kontext:

• aggregera och lagra organisationens loggar
• Översikt över fråge- och visningsloggar
• Krönika SIEM

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Application Security och DevOps
• Infrastruktur och slutpunktssäkerhet

LT-6: Konfigurera kvarhållning av logglagring

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

Säkerhetsprincip: Planera din kvarhållningsstrategi för loggar enligt dina efterlevnads-, reglerings- och affärskrav. Konfigurera loggkvarhållningsprincipen för de enskilda loggningstjänsterna för att säkerställa att loggarna arkiveras korrekt.

Azure-vägledning: Loggar som Azure-aktivitetsloggar behålls i 90 dagar och tas sedan bort. Du bör skapa en diagnostikinställning och dirigera loggarna till en annan plats (till exempel Azure Monitor Log Analytics-arbetsyta, Event Hubs eller Azure Storage) baserat på dina behov. Den här strategin gäller även för andra resursloggar och resurser som hanteras av dig själv, till exempel loggar i operativsystemen och programmen på virtuella datorer.

Du har alternativet för loggkvarhållning:

• Använd Azure Monitor Log Analytics-arbetsytan under en loggkvarhållningsperiod på upp till ett år eller enligt dina krav för svarsteamet.
• Använd Azure Storage, Data Explorer eller Data Lake för långsiktig lagring och arkivering i mer än ett år och för att uppfylla dina krav på säkerhetsefterlevnad.
• Använd Azure Event Hubs för att vidarebefordra loggar till en extern resurs utanför Azure.

Azure-implementering och extra kontext:

• Ändra kvarhållningsperioden för data i Log Analytics
• Konfigurera kvarhållningsprincip för Azure Storage-kontologgar
• Aviseringar och rekommendationer för Microsoft Defender för molnet exporterar

AWS-vägledning: Som standard sparas loggarna på obestämd tid och upphör aldrig att gälla i CloudWatch. Du kan justera kvarhållningsprincipen för varje logggrupp, behålla den obegränsade kvarhållningen eller välja en kvarhållningsperiod mellan 10 år och en dag.

Använd Amazon S3 för loggarkivering från CloudWatch och tillämpa objektlivscykelhantering och arkiveringsprincip på bucketen. Du kan använda Azure Storage för central loggarkivering genom att överföra filerna från Amazon S3 till Azure Storage.

AWS-implementering och extra kontext:

• Ändra CloudWatch-loggkvarhållning
• Kopiera data från Amazon S3 till Azure Storage med hjälp av AzCopy

GCP-vägledning: Som standard behåller Operations Suite Cloud Logging loggarna i 30 dagar, såvida du inte konfigurerar anpassad kvarhållning för bucketen Molnloggning. Granskningsloggar för administratörsaktivitet, systemhändelsegranskningsloggar och åtkomsttransparensloggar behålls som standard 400 dagar. Du kan konfigurera Molnloggning för att behålla loggar mellan 1 dag och 3 650 dagar.

Använd Cloud Storage för loggarkivering från Molnloggning och tillämpa livscykelhantering och arkiveringsprincip för objekt på bucketen. Du kan använda Azure Storage för central loggarkivering genom att överföra filerna från Google Cloud Storage till Azure Storage.

GCP-implementering och extra kontext:

• Logg anpassad kvarhållning
• principer för lagringsbevarande
• Översikt över loggroutning och lagring

Intressenter för kundsäkerhet (Läs mer):

• Säkerhetsarkitektur
• Application Security och DevOps
• Säkerhetsåtgärder
• Hantering av säkerhetsefterlevnad

Säkerhetskontroll: Hantering av hållning och sårbarhet

Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra molnsäkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i molnresurser.

PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
4.1	CM-2, CM-6	2,2

Säkerhetsprincip: Övervaka och varna kontinuerligt när det finns en avvikelse från den definierade konfigurationsbaslinjen i dina beräkningsresurser. Framtvinga önskad konfiguration enligt baslinjekonfigurationen genom att neka den inkompatibla konfigurationen eller distribuera en konfiguration i beräkningsresurser.

Azure-vägledning: Använd Microsoft Defender för molnet och Azure Automanage Machine Configuration (kallades tidigare Azure Policy Guest Configuration) för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla operativsystemets säkerhetskonfiguration. Microsoft VM-mallar med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav. Använd Ändringsspårning och inventering i Azure Automation för att spåra ändringar i virtuella datorer som finns i Azure, lokalt och andra molnmiljöer för att hjälpa dig att hitta drift- och miljöproblem med programvara som hanteras av Distribution Package Manager. Installera gästattesteringsagenten på virtuella datorer för att övervaka startintegriteten på konfidentiella virtuella datorer.

Azure-implementering och extra kontext:

• Implementera rekommendationer för sårbarhetsbedömning i Microsoft Defender för molnet
• Så här skapar du en virtuell Azure-dator från en Azure Resource Manager-mall
• Översikt över Azure Automation State Configuration
• Skapa en virtuell Windows-dator i Azure-portalen
• Container security i Microsoft Defender for Cloud
• översikt över ändringsspårning och inventering
• Gästattestering för konfidentiella virtuella datorer

AWS-vägledning: Använd AWS System Managers State Manager-funktion för att regelbundet utvärdera och åtgärda konfigurationsavvikelser på dina EC2-instanser. Dessutom kan du använda CloudFormation-mallar, anpassade operativsystemavbildningar för att upprätthålla operativsystemets säkerhetskonfiguration. AMI-mallar med Systems Manager kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Du kan också övervaka och hantera konfigurationen av operativsystemet centralt via Azure Automation State Configuration och registrera tillämpliga resurser för Azure-säkerhetsstyrning med hjälp av följande metoder:

• Registrera ditt AWS-konto i Microsoft Defender för molnet
• Använda Azure Arc för servrar för att ansluta dina EC2-instanser till Microsoft Defender för molnet

För arbetsbelastningsprogram som körs i din EC2-instans, AWS Lambda eller containermiljö kan du använda AWS System Manager AppConfig för att granska och tillämpa önskad konfigurationsbaslinje.

AWS-implementering och extra kontext:

• AWS System Manager State Manager
• Ansluta dina AWS-konton till Microsoft Defender för Cloud
• Aktivera Azure Automation State Configuration

GCP-vägledning: Använd VM Manager och Google Cloud Security Command Center för att regelbundet utvärdera och åtgärda konfigurationsavvikelsen för dina Compute Engine-instanser, containrar och serverlösa kontrakt. Dessutom kan du använda Vm-mallar för Distributionshanteraren, anpassade operativsystemavbildningar för att upprätthålla operativsystemets säkerhetskonfiguration. Vm-mallar för Distributionshanteraren med VM Manager kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Du kan också övervaka och hantera konfigurationen av operativsystemet centralt via Azure Automation State Configuration och registrera tillämpliga resurser för Azure-säkerhetsstyrning med hjälp av följande metoder:

• Registrera ditt GCP-projekt i Microsoft Defender för molnet
• Använda Azure Arc för servrar för att ansluta dina virtuella GCP-instanser till Microsoft Defender för molnet

GCP-implementering och extra kontext:

• Översikt över Google Cloud Command Center.
• Google Cloud VM Manager
• Distributionshanteraren för Google Cloud:

Intressenter för kundsäkerhet (Läs mer):

• Posture Management
• Infrastruktur och slutpunktssäkerhet
• Application Security och DevOps

PV-5: Utföra sårbarhetsbedömningar

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
5.5, 7.1, 7.5, 7.6	RA-3, RA-5	6.1, 6.2, 6.6

Säkerhetsprincip: Utför sårbarhetsbedömning för dina molnresurser på alla nivåer i ett fast schema eller på begäran. Spåra och jämför genomsökningsresultaten för att kontrollera att säkerhetsriskerna har åtgärdats. Utvärderingen bör omfatta alla typer av sårbarheter, till exempel sårbarheter i Azure-tjänster, nätverk, webb, operativsystem, felkonfigurationer och så vidare.

Tänk på de potentiella risker som är kopplade till den privilegierade åtkomst som används av sårbarhetsskannrarna. Följ bästa praxis för privilegierad åtkomstsäkerhet för att skydda alla administrativa konton som används för genomsökningen.

Azure-vägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar. Microsoft Defender för molnet har en inbyggd sårbarhetsskanner för virtuella datorer. Använd en extern lösning för att utföra sårbarhetsbedömningar på nätverksenheter och program (till exempel webbprogram)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultatet med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Microsoft Defender för molnet kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetod (just-in-time) för genomsökningskontot. Autentiseringsuppgifter för skanningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Azure-implementering och extra kontext:

• Implementera rekommendationer för sårbarhetsbedömning i Microsoft Defender för molnet
• Integrerad sårbarhetsskanner för virtuella datorer
• SQL-sårbarhetsbedömning
• Att exportera sårbarhetsgenomsökningsresultat för Microsoft Defender för molnet

AWS-vägledning: Använd Amazon Inspector för att genomsöka dina Amazon EC2-instanser och containeravbildningar som finns i Amazon Elastic Container Registry (Amazon ECR) efter sårbarheter i programvara och oavsiktlig nätverksexponering. Använd en extern lösning för att utföra sårbarhetsbedömningar på nätverksenheter och program (till exempel webbprogram)

Se kontroll ES-1, Använd slutpunktsidentifiering och svar (EDR) för att registrera ditt AWS-konto i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) i dina EC2-instanser. Microsoft Defender för servrar tillhandahåller en inbyggd funktion för hot- och sårbarhetshantering för dina virtuella datorer. Resultatet av sårbarhetsgenomsökning konsolideras på instrumentpanelen för Microsoft Defender för molnet.

Spåra statusen för sårbarhetsfynd för att säkerställa att de åtgärdas eller undertrycks korrekt om de anses vara falska positiva.

När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera en tillfällig etableringsmetod för genomsökningskontot. Autentiseringsuppgifter för skanningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

AWS-implementering och extra kontext:

• Amazon Inspector
• Undersöka svagheter med Microsoft Defender för Endpoints hot- och sårbarhetshantering

GCP-vägledning: Följ rekommendationerna från Microsoft Defender för molnet eller/och Google Cloud Security Command Center för att utföra sårbarhetsbedömningar på dina Compute Engine-instanser. Security Command Center har inbyggda sårbarhetsbedömningar på nätverksenheter och program (till exempel Webbsäkerhetsskanner)

Exportera genomsökningsresultat med konsekventa intervall och jämför resultatet med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för hantering av säkerhetsrisker som föreslås av Security Command Center kan du pivotera till den valda genomsökningslösningens portal för att visa historiska genomsökningsdata.

GCP-implementering och extra kontext:

• Översikt över Google Cloud Security Command Center.översikt över websäkerhetsskanner

PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt

CIS Controls v8 ID:er	NIST SP 800-53 r4 ID(er)	PCI-DSS ID:er v3.2.1
7.2, 7.3, 7.4, 7.7	RA-3, RA-5, SI-2: FELREPARATION	6.1, 6.2, 6.5, 11.2

Säkerhetsprincip: Distribuera snabbt och automatiskt korrigeringar och uppdateringar för att åtgärda säkerhetsrisker i dina molnresurser. Använd lämplig riskbaserad metod för att prioritera reparation av säkerhetsrisker. Till exempel bör allvarligare sårbarheter i en tillgång med högre värde hanteras som en högre prioritet.

Azure-vägledning: Använd Azure Automation Update Management eller en extern lösning för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.

För extern programvara använder du en extern korrigeringshanteringslösning eller Microsoft System Center Updates Publisher för Configuration Manager.

Azure-implementering och extra kontext:

• Konfigurera uppdateringshantering för virtuella datorer i Azure
• Hantera uppdateringar och korrigeringar för dina virtuella Azure-datorer

AWS-vägledning: Använd AWS Systems Manager – Patch Manager för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina operativsystem och program. Patch Manager stöder korrigeringsbaslinjer så att du kan definiera en lista över godkända och avvisade korrigeringar för dina system.

Du kan också använda Azure Automation Update Management för att centralt hantera korrigeringar och uppdateringar av dina AWS EC2 Windows- och Linux-instanser.

För extern programvara använder du en extern korrigeringshanteringslösning eller Microsoft System Center Updates Publisher för Configuration Manager.

AWS-implementering och extra kontext:

• AWS Systems Manager – Patch Manager
• översikt över Uppdateringshantering

GCP-vägledning: Använd Uppdateringshantering av operativsystemet i Google Cloud VM Manager eller en extern lösning för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update är aktiverat och inställt på att uppdateras automatiskt.

För extern programvara använder du en extern korrigeringshanteringslösning eller Microsoft System Center Updates Publisher för konfigurationshantering.

GCP-implementering och extra kontext:

• VM Manager.
• operativsystemets korrigeringshantering
• Google Kubernetes Engine (GKE). Säkerhetskorrigering

Intressenter för kundsäkerhet (Läs mer):

• Posture Management
• Infrastruktur och slutpunktssäkerhet
• Application Security och DevOps