Skip to content

Baseline-Template-Referenz

TCM365 wird mit 43 integrierten Security Baseline Templates ausgeliefert, die branchenstandard Frameworks, vendorspezifische Best Practices und gängige Deployment-Szenarien abdecken. Diese Referenz dokumentiert alle verfügbaren Templates, die JSON-Struktur und Hinweise zur Erstellung eigener Templates.

Template-Übersicht

Kategorie Templates Frameworks / Fokus
CIS Benchmarks 4 CIS Microsoft 365 Level 1, Level 1 E5, Level 2, Level 2 E5
SCUBA 8 AAD, Defender, Exchange, SharePoint, Teams, PowerBI, PowerPlatform, Full Bundle
Microsoft Zero Trust 3 Starting Point, Enterprise, Specialized
NIST 1 NIST 800-207 Zero Trust Architecture
BSI 1 BSI Grundschutz Microsoft 365
Maester 3 App Registration Security, CA Policy Validation (52 Tests), Privileged Role Hygiene
EIDSCA 1 Entra ID Security Configuration Analyzer
General Security 9 Anti-Phishing, CA MFA, DKIM, Entra Hardening, Exchange, Intune, Legacy Auth, Teams, Zero Trust
Zscaler 4 ZIA Security Best Practices, ZPA Zero Trust Access, ZIA DLP, Zscaler Hardening
Szenarien 6 Copilot Readiness, Education, New Tenant, Regulated Industry, Remote Workforce, SMB Essential
Atlassian 3 Org Security, Jira Security, Confluence Security
Gesamt 43

CIS Benchmark Templates

Template ID Name Regeln Scope
cis-m365-l1 CIS M365 Level 1 25+ Entra, Exchange, SharePoint, Teams
cis-m365-l1-e5 CIS M365 Level 1 E5 30+ L1 + E5-spezifische Controls
cis-m365-l2 CIS M365 Level 2 40+ Umfassendes Hardening
cis-m365-l2-e5 CIS M365 Level 2 E5 50+ L2 + E5-spezifische Controls

CIS (Center for Internet Security) Benchmarks bieten praeskriiptive Sicherheitskonfigurations-Anleitungen für Microsoft 365 Umgebungen.

SCUBA Templates

Template ID Name Regeln Scope
scuba-aad SCUBA AAD 20+ Azure Active Directory
scuba-defender SCUBA Defender 15+ Microsoft Defender
scuba-exchange SCUBA Exchange 20+ Exchange Online
scuba-sharepoint SCUBA SharePoint 15+ SharePoint Online
scuba-teams SCUBA Teams 15+ Microsoft Teams
scuba-powerbi SCUBA Power BI 10+ Power BI
scuba-powerplatform SCUBA Power Platform 10+ Power Platform
scuba-full SCUBA Full Bundle 100+ Alle SCUBA Workloads

SCUBA (Secure Cloud Business Applications) Baselines von CISA bieten Sicherheitskonfigurationen auf Bundesbehoerden-Niveau.

Microsoft Zero Trust Templates

Template ID Name Regeln Fokus
zero-trust-start Zero Trust Starting Point 15+ Grundlegendes Zero Trust
zero-trust-enterprise Zero Trust Enterprise 25+ Enterprise-Grade Zero Trust
zero-trust-specialized Zero Trust Specialized 35+ Hochsicherheitsumgebungen

Basierend auf Microsofts Zero Trust Deployment-Modell mit progressiven Sicherheitsstufen.

NIST und BSI Templates

Template ID Name Regeln Framework
nist-800-207 NIST 800-207 Zero Trust 20+ NIST SP 800-207
bsi-grundschutz BSI Grundschutz M365 25+ BSI IT-Grundschutz

Maester Templates

Template ID Name Regeln Fokus
maester-app-reg App Registration Security 15+ App Registration Hygiene
maester-ca-validation CA Policy Validation 52 Conditional Access Validierung
maester-privileged-roles Privileged Role Hygiene 12+ Directory Role Sicherheit

Maester Templates implementieren die Checks aus dem Maester Security Testing Framework.

EIDSCA Template

Template ID Name Regeln Fokus
eidsca Entra ID Security Configuration Analyzer 30+ Umfassende Entra Baseline

EIDSCA bietet eine gruendliche Evaluation der Entra ID Sicherheitseinstellungen, die Authentifizierungsmethoden, Token Policies und Tenant-Konfiguration abdeckt.

General Security Templates

Template ID Name Regeln Fokus
anti-phishing Anti-Phishing 10+ Phishing-Schutz Einstellungen
ca-mfa-enforcement CA MFA Enforcement 8+ MFA Policy Validierung
dkim-signing DKIM Signing 5+ DKIM Konfigurations-Checks
entra-hardening Entra Hardening 15+ Entra ID Sicherheits-Hardening
exchange-security Exchange Security 12+ Exchange Online Sicherheit
intune-compliance Intune Compliance 10+ Device Compliance Policies
legacy-auth-blocking Legacy Auth Blocking 6+ Legacy Authentication Blocking
teams-governance Teams Governance 10+ Teams Sicherheit und Governance
zero-trust-foundation Zero Trust Foundation 12+ Zero Trust Grundlagen

Zscaler Templates

Template ID Name Regeln Fokus
zscaler-zia-security ZIA Security Best Practices 10 ZIA Sicherheitskonfiguration
zscaler-zpa-access ZPA Zero Trust Access 9 ZPA Access Policies
zscaler-zia-dlp ZIA DLP 8 Data Loss Prevention Regeln
zscaler-hardening Zscaler Hardening 8 Cross-Produkt Hardening

Cross-Vendor Mapping

Zscaler Baseline Templates enthalten Cross-Vendor Framework Mapping Felder (isoMapping, nis2Mapping), die Zscaler-spezifische Regeln mit ISO 27001, NIS2 und anderen Compliance Frameworks abgleichen.

Szenario Templates

Template ID Name Regeln Zielgruppe
scenario-copilot Copilot Readiness 15+ M365 Copilot Deployment Vorbereitung
scenario-education Education 12+ Bildungseinrichtungen
scenario-new-tenant New Tenant 20+ Frischer Tenant Hardening
scenario-regulated Regulated Industry 30+ Finanz, Gesundheit, Behörden
scenario-remote Remote Workforce 15+ Remote/Hybrid Work Sicherheit
scenario-smb SMB Essential 10+ Kleine und mittlere Unternehmen

Szenario Templates kombinieren Regeln aus mehreren Frameworks, um spezifische Deployment-Kontexte abzudecken.

Atlassian Templates (v2.5.0)

Template ID Name Regeln Fokus
atlassian-org-security Atlassian Org Security 10 Organisationsweite Sicherheit
atlassian-jira-security Atlassian Jira Security 8 Jira-spezifische Sicherheit
atlassian-confluence-security Atlassian Confluence Security 6 Confluence-spezifische Sicherheit

Atlassian Baseline Templates prüfen Konfigurationen wie Authentication Policies, IP Allowlists, Permission Schemes, Space Permissions und externe Benutzerverwaltung.

Template JSON Struktur

Alle Baseline Templates sind als JSON Dateien in backend-js/src/config/baseline-templates/ gespeichert:

{
  "id": "cis-m365-l1",
  "name": "CIS Microsoft 365 Level 1",
  "description": "CIS Benchmark for Microsoft 365 - Level 1 (L1) profile",
  "version": "1.0.0",
  "framework": "CIS",
  "vendor": "microsoft",
  "tags": ["cis", "m365", "level-1"],
  "rules": [
    {
      "id": "CIS-1.1.1",
      "name": "Ensure MFA is enabled for all users",
      "description": "Multi-factor authentication should be required for all user accounts.",
      "severity": "high",
      "resourceType": "microsoft.entra.conditionalAccess",
      "evaluationType": "policy-exists",
      "expectedValue": {
        "grantControls.builtInControls": ["mfa"],
        "state": "enabled"
      },
      "mitreAttackId": "T1078",
      "mitreAttackTactic": "Initial Access",
      "remediation": "Create a Conditional Access policy that requires MFA for all users.",
      "references": [
        "https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworks"
      ]
    }
  ]
}

Rule-Felder

Feld Typ Pflicht Beschreibung
id string Ja Eindeutiger Rule Identifier
name string Ja Menschenlesbarer Rule Name
description string Ja Detaillierte Beschreibung des Checks
severity string Ja low, medium, high, critical
resourceType string Ja Vendor-prefixed Resource Type zum Prüfen
evaluationType string Ja Evaluierungsstrategie (siehe unten)
expectedValue object Ja Erwarteter Konfigurationswert
mitreAttackId string Nein MITRE ATT&CK Technique ID (z.B. T1078)
mitreAttackTactic string Nein MITRE ATT&CK Tactic Name
remediation string Nein Behebungsanleitung
references string[] Nein Externe Dokumentationslinks

Framework-spezifische Felder

Feld Framework Beschreibung
maesterTestId Maester Maester Testfall-Identifier
eidscaControl EIDSCA EIDSCA Control Identifier
cisControlId CIS CIS Benchmark Control-Nummer
isoMapping Zscaler ISO 27001 Control Mapping
nis2Mapping Zscaler NIS2 Anforderungs-Mapping

Evaluierungstypen

Typ Beschreibung
policy-exists Prüfen ob eine Policy mit erwarteten Werten existiert
value-equals Prüfen ob eine Einstellung dem erwarteten Wert entspricht
value-contains Prüfen ob eine Collection erwartete Elemente enthält
value-not-empty Prüfen ob eine Einstellung nicht null oder leer ist
count-minimum Prüfen ob eine Collection mindestens N Elemente hat
regex-match Prüfen ob ein Wert einem regulaeren Ausdruck entspricht

MITRE ATT&CK Mapping

Baseline Rules unterstützen MITRE ATT&CK Mapping für Threat Coverage Analyse:

{
  "mitreAttackId": "T1078",
  "mitreAttackTactic": "Initial Access"
}

Der Security Assessment Report Generator nutzt diese Mappings zur Erstellung einer MITRE ATT&CK Coverage Matrix, die zeigt, welche Techniken durch die angewendeten Baseline Rules adressiert werden.

Gemappte Tactics

Tactic Beschreibung Häufige Rule Mappings
Initial Access Initialer Zugang erlangen MFA, CA Policies, SSO
Persistence Zugang aufrechterhalten App Registrations, Rollen
Privilege Escalation Hoehere Berechtigungen erlangen PIM, Role Assignments
Defense Evasion Erkennung vermeiden Audit Logging, Monitoring
Credential Access Credentials stehlen Passwort Policies, MFA
Lateral Movement Im Netzwerk bewegen Segmentierung, Zugriffskontrolle
Collection Zieldaten sammeln DLP, Sharing Policies
Exfiltration Daten stehlen DLP, External Sharing Blocks

Eigene Templates erstellen

Um ein neues Baseline Template hinzuzufuegen:

  1. JSON Datei erstellen in backend-js/src/config/baseline-templates/:

    backend-js/src/config/baseline-templates/my-custom-baseline.json

  2. Template-Struktur befolgen wie oben dokumentiert

  3. Template registrieren durch Sicherstellen, dass es vom BaselinesService geladen wird

  4. Regeln hinzufügen mit angemessenem Schweregrad, Resource Types und Evaluierungstypen

  5. MITRE ATT&CK Mappings einschliessen wo anwendbar für Security Assessment Coverage

Template Validierung

Testen Sie Ihr benutzerdefiniertes Template durch Ausführen der Baseline Evaluation gegen einen Snapshot. Die Compliance Engine meldet Regeln mit ungueltigen Resource Types oder Evaluierungskonfigurationen.

Template-Speicherort

Alle integrierten Templates befinden sich unter:

backend-js/src/config/baseline-templates/

Dieses Verzeichnis enthält 43 JSON Dateien, eine pro Baseline Template. Der BaselinesService laedt diese Templates beim Start und stellt sie über die API bereit.