Microsoft Entra ID und PCI-DSS-Anforderung 10
Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
Anforderungen des definierten Ansatzes
10.1 Prozesse und Mechanismen für die Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten sind definiert und dokumentiert.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in der Anforderung 10 identifiziert werden, sind: Dokumentiert Auf dem neuesten Stand In Gebrauch Allen betroffenen Parteien bekannt |
Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen. |
| 10.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 10 sind dokumentiert, zugewiesen und verstanden. | Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen. |
10.2 Überwachungsprotokolle sind implementiert, um die Erkennung von Anomalien und verdächtigen Aktivitäten sowie die forensische Analyse von Ereignissen zu unterstützen.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.2.1 Überwachungsprotokolle sind für alle Systemkomponenten und Karteninhaberdaten aktiviert und aktiv. | Archivieren Sie Microsoft Entra-Überwachungsprotokolle, um Änderungen an Sicherheitsrichtlinien und der Microsoft Entra-Mandantenkonfiguration zu erhalten. Archivieren Sie Microsoft Entra-Aktivitätsprotokolle in einem Security Information and Event Managementa(SIEM)-System, um mehr über die Nutzung zu erfahren. Microsoft Entra-Aktivitätsprotokolle in Azure Monitor |
| 10.2.1.1 Überwachungsprotokolle erfassen alle individuellen Benutzerzugriffe auf Karteninhaberdaten. | Gilt nicht für Microsoft Entra ID. |
| 10.2.1.2 Überwachungsprotokolle erfassen alle Aktionen, die von einer Person mit Administratorzugriff ausgeführt werden, einschließlich der interaktiven Nutzung von Anwendungs- oder Systemkonten. | Gilt nicht für Microsoft Entra ID. |
| 10.2.1.3 Überwachungsprotokolle erfassen den gesamten Zugriff auf Überwachungsprotokolle. | In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern. Privilegierte Benutzer*innen können Protokolle über Microsoft Entra ID abfragen. Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID Wenn Überwachungsprotokolle in Systeme wie Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietenden exportiert werden, überwachen Sie diese auf Zugriff. |
| 10.2.1.4 Überwachungsprotokolle erfassen alle ungültigen logischen Zugriffsversuche. | Microsoft Entra ID generiert Aktivitätsprotokolle, wenn Benutzer*innen versuchen, sich mit ungültigen Anmeldeinformationen anzumelden. Es generiert Aktivitätsprotokolle, wenn der Zugriff aufgrund von Richtlinien für bedingten Zugriff verweigert wird. |
| 10.2.1.5 Überwachungsprotokolle erfassen alle Änderungen an Identifikations- und Authentifizierungsanmeldeinformationen einschließlich, aber nicht beschränkt auf: Erstellung neuer Konten Erhöhung der Privilegien Alle Änderungen, Hinzufügungen oder Löschungen von Konten mit Administratorzugriff |
Microsoft Entra ID generiert Überwachungsprotokolle für die Ereignisse in dieser Anforderung. |
| 10.2.1.6 Überwachungsprotokolle erfassen Folgendes: Jede Initialisierung neuer Überwachungsprotokolle und Jedes Starten, Beenden oder Anhalten der vorhandenen Überwachungsprotokolle. |
Gilt nicht für Microsoft Entra ID. |
| 10.2.1.7 Überwachungsprotokolle erfassen jede Erstellung und Löschung von Objekten auf Systemebene. | Microsoft Entra ID generiert Überwachungsprotokolle für die Ereignisse in dieser Anforderung. |
| 10.2.2 Überwachungsprotokolle zeichnen die folgenden Details für jedes überwachbare Ereignis auf: Benutzeridentifikation. Art des Ereignisses. Datum und Uhrzeit. Angabe über Erfolg und Fehler. Ursprung des Ereignisses. Identität oder Name der betroffenen Daten, Systemkomponenten, Ressourcen oder Dienste (z. B. Name und Protokoll). |
Überwachungsprotokolle in Microsoft Entra ID |
10.3 Überwachungsprotokolle sind vor Vernichtung und nicht autorisierten Änderungen geschützt.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.3.1 Der Lesezugriff auf Überwachungsprotokolldateien ist auf diejenigen beschränkt, die einen berufsbedingten Bedarf haben. | Privilegierte Benutzer*innen können Protokolle über Microsoft Entra ID abfragen. Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID |
| 10.3.2 Überwachungsprotokolldateien sind geschützt, um Veränderungen durch Einzelpersonen zu verhindern. | In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern. Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff. |
| 10.3.3 Überwachungsprotokolldateien, einschließlich solcher für nach außen gerichtete Technologien, werden zeitnah auf einem sicheren, zentralen, internen Protokollserver oder anderen schwer zu ändernden Medien gesichert. | In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern. Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff. |
| 10.3.4 Mechanismen zur Dateiintegritätsüberwachung oder Änderungserkennung werden für Überwachungsprotokolle verwendet, um sicherzustellen, dass bestehend Protokolldaten nicht verändert werden können, ohne einen Warnung auszulösen. | In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern. Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff. |
10.4 Überwachungsprotokolle werden überprüft, um Anomalien oder verdächtige Aktivitäten zu identifizieren.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.4.1 Die folgenden Überwachungsprotokolle werden mindestens einmal täglich überprüft: Alle Sicherheitsereignisse. Protokolle aller Systemkomponenten, die Daten von Karteninhabern (Cardholder Data, CHD) und/oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen. Protokolle aller kritischen Systemkomponenten. Protokolle aller Server und Systemkomponenten, die Sicherheitsfunktionen ausführen (z. B. Netzwerksicherheitskontrollen, Systeme zur Erkennung und Verhinderung von Eindringversuchen (Intrusion-Detection Systems/Intrusion-Prevention Systems, IDS/IPS), Authentifizierungsserver). |
Schließen Sie Microsoft Entra-Protokolle in diesen Prozess ein. |
| 10.4.1.1 Automatisierte Mechanismen werden verwendet, um Überprüfungen von Überwachungsprotokollen durchzuführen. | Schließen Sie Microsoft Entra-Protokolle in diesen Prozess ein. Konfigurieren Sie automatisierte Aktionen und Benachrichtigungen, wenn Microsoft Entra-Protokolle in Azure Monitor integriert sind. Bereitstellen von Azure Monitor: Warnungen und automatisierte Aktionen |
| 10.4.2 Protokolle aller anderen Systemkomponenten (die nicht in Anforderung 10.4.1 aufgeführt sind) werden regelmäßig überprüft. | Gilt nicht für Microsoft Entra ID. |
| 10.4.2.1 Die Häufigkeit regelmäßiger Protokollüberprüfungen für alle anderen Systemkomponenten (die nicht in Anforderung 10.4.1 definiert sind) wird in der gezielten Risikoanalyse der Entität definiert, die nach allen in Anforderung 12.3.1 angegebenen Elementen durchgeführt wird | Gilt nicht für Microsoft Entra ID. |
| 10.4.3 Ausnahmen und Anomalien, die während des Überprüfungsprozesses erkannt wurden, werden adressiert. | Gilt nicht für Microsoft Entra ID. |
10.5 Der Überwachungsprotokollverlauf wird aufbewahrt und ist für die Analyse verfügbar.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.5.1 Bewahren Sie den Überwachungsprotokollverlauf mindestens 12 Monate lang auf, wobei mindestens die letzten drei Monate sofort zur Analyse verfügbar sind. | Integrieren sie in Azure Monitor, und exportieren Sie die Protokolle für die langfristige Archivierung. Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle Erfahren Sie mehr über die Datenaufbewahrungsrichtlinie für Microsoft Entra-Protokolle. Microsoft Entra-Datenaufbewahrung |
10.6 Mechanismen zur Zeitsynchronisierung unterstützen konsistente Zeiteinstellungen für alle Systeme.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.6.1 Systemuhren und Uhrzeit werden mithilfe der Zeitsynchronisierungstechnologie synchronisiert. | Erfahren Sie mehr über den Zeitsynchronisierungsmechanismus in Azure-Diensten. Zeitsynchronisierung für Finanzdienstleistungen in Azure |
| 10.6.2 Systeme werden wie folgt für die richtige und konsistente Zeit konfiguriert: Mindestens ein bezeichneter Zeitserver wird verwendet. Nur die bezeichneten zentralen Zeitserver empfangen Zeit von externen Quellen. Die von externen Quellen empfangene Zeit basiert auf der Internationalen Atomzeit oder der koordinierten Weltzeit (UTC). Die bezeichneten Zeitserver akzeptieren Zeitupdates nur von bestimmten branchenweit akzeptierten externen Quellen. Wenn mehrere bezeichnete Zeitserver vorhanden sind, führen die Zeitserver ein Peering miteinander durch, um die genaue Zeit zu halten. Interne Systeme erhalten Zeitinformationen nur von bezeichneten zentralen Zeitservern. |
Erfahren Sie mehr über den Zeitsynchronisierungsmechanismus in Azure-Diensten. Zeitsynchronisierung für Finanzdienstleistungen in Azure |
| 10.6.3 Einstellungen und Daten zur Zeitsynchronisierung werden wie folgt geschützt: Der Zugriff auf Zeitdaten ist nur auf Mitarbeiter mit geschäftlichem Bedarf eingeschränkt. Alle Änderungen an Zeiteinstellungen auf kritischen Systemen werden protokolliert, überwacht und überprüft. |
Microsoft Entra ID stützt sich auf Zeitsynchronisationsmechanismen in Azure. Azure-Prozeduren synchronisieren Server und Netzwerkgeräte mit NTP Stratum 1-Zeitserver, die mit GPS (Global Positioning System)-Satelliten synchronisiert sind. Die Synchronisierung erfolgt alle fünf Minuten. Azure stellt sicher, dass die Diensthosts die Zeit synchronisieren. Zeitsynchronisierung für Finanzdienste in Azure Hybridkomponenten in Microsoft Entra ID, z. B. Microsoft Entra Connect-Server, interagieren mit der lokalen Infrastruktur. Der Kunde besitzt die Zeitsynchronisierung auf lokalen Servern. |
10.7 Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 10.7.2 Zusätzliche Anforderung nur für Dienstanbieter: Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben, einschließlich, aber nicht beschränkt auf Fehler der folgenden kritischen Sicherheitskontrollsysteme: Netzwerksicherheitskontrollen IDS/IPS Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) Antischadsoftwarelösungen Physische Zugriffssteuerung Logische Zugriffssteuerung Überwachungsprotokollierungsmechanismus Segmentierungskontrollen (falls verwendet) |
Microsoft Entra ID stützt sich auf Zeitsynchronisationsmechanismen in Azure. Azure unterstützt die Echtzeitereignisanalyse in seiner Betriebsumgebung. Interne Azure-Infrastruktursysteme generieren in Quasi-Echtzeit Ereigniswarnungen zu potenziellen Kompromittierungen. |
| 10.7.2 Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben, einschließlich, aber nicht beschränkt auf Fehler der folgenden kritischen Sicherheitskontrollsysteme: Netzwerksicherheitskontrollen IDS/IPS Änderungserkennungsmechanismus Antischadsoftwarelösungen Physische Zugriffssteuerung Logische Zugriffssteuerung Überwachungsprotokollierungsmechanismus Segmentierungskontrollen (wenn verwendet) Überprüfungsmechanismus für Überwachungsprotokolle Automatisierte Sicherheitstesttools (falls verwendet) |
Weitere Informationen finden Sie im Leitfaden für Microsoft Entra-SecOps. |
| 10.7.3 Auf Fehler kritischer Sicherheitskontrollsysteme wird umgehend reagiert, einschließlich, aber nicht beschränkt auf: Wiederherstellen von Sicherheitsfunktionen. Identifizieren und Dokumentieren der Dauer (Datum und Uhrzeit von Beginn bis Ende) des Sicherheitsfehlers. Identifizieren und Dokumentieren der Fehlerursache(n) und Dokumentieren der erforderlichen Wartung. Identifizieren und Adressieren von Sicherheitsrisiken, die während des Fehlers entstanden sind. Bestimmen, ob als Ergebnis des Sicherheitsfehlers weitere Aktionen erforderlich sind. Implementieren von Kontrollen, um zu verhindern, dass die Fehlerursache erneut auftritt. Wiederaufnahme der Überwachung von Sicherheitskontrollen. |
Weitere Informationen finden Sie im Leitfaden für Microsoft Entra-SecOps. |
Nächste Schritte
Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.
- PCI-DSS-Leitfaden für Microsoft Entra
- Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
- Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
- Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
- Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
- Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
- Anforderung 8: Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
- Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten (Sie sind hier)
- Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
- PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra