Partager via

Configurer des contrôles supplémentaires pour être conforme au niveau d’impact élevé FedRAMP High

  • Article

La liste suivante de contrôles (et d’améliorations de contrôle) peut nécessiter une configuration dans votre locataire Microsoft Entra.

Chaque ligne des tableaux ci-dessous fournit des instructions normatives. Ces instructions vous aident à élaborer la réponse de votre organisation aux responsabilités partagées concernant le contrôle et/ou l’amélioration du contrôle.

Audit et responsabilité

Les instructions du tableau ci-dessous concernent :

  • AU-2 Événements d’audit
  • AU-3 Contenu d’audit
  • AU-6 Révision, analyse et rapports d’audit
ID et description du contrôle FedRAMP Aide et recommandations relatives à Microsoft Entra
AU-2 Événements d’audit
L’organisation :
(a.) Détermine que le système d’information est capable d’auditer les événements suivants : [Affectation FedRAMP : [événements d’ouverture de compte réussis et infructueux, événements de gestion de compte, accès aux objets, modification de stratégie, fonctions de privilèges, suivi des processus et événements système. Pour les applications web : toutes les activités de l’administrateur, les vérifications d’authentification, les vérifications d’autorisation, les suppressions de données, l’accès aux données, les modifications de données et les modifications d’autorisation] ;
(b.) Coordonne la fonction d’audit de sécurité avec d’autres entités organisationnelles nécessitant des informations d’audit pour améliorer la prise en charge mutuelle, puis contribuer à guider la sélection des événements auditables.
(c.) Fournit une logique expliquant la raison pour laquelle les événements auditables sont considérés comme suffisants pour prendre en charge des investigations qui ont eu lieu après des incidents de sécurité ; et
(d.) Détermine que les événements suivants doivent être audités dans le système d’information : [Affectation FedRAMP : sous-ensemble défini par l’organisation des événements vérifiables définis dans AU-2 a. à auditer continuellement pour chaque événement identifié].

AU-2 Exigences et conseils supplémentaires pour FedRAMP :
Exigence : la coordination entre le fournisseur de services et le consommateur doit être documentée, puis acceptée par le JAB/AO.

AU-3 Contenu des enregistrements d’audit
Le système d’information génère des enregistrements d’audit contenant des informations qui établissent le type d’événement qui s’est produit, à quel moment et où l’événement s’est produit, la source de l’événement, les conséquences de l’événement et l’identité des personnes ou sujets associés à l’événement.

AU-3(1)
Le système d’information génère des enregistrements d’audit contenant les informations supplémentaires suivantes : [Affectation FedRAMP : informations supplémentaires plus détaillées définies par l’organisation].

AU-3 (1) Exigences et conseils supplémentaires pour FedRAMP :
Exigence : le fournisseur de services définit les types d’enregistrements d’audit [affectation FedRAMP : session, connexion, transaction ou durée d’activité ; pour les transactions client-serveur, nombre d’octets reçus et d’octets envoyés ; messages d’information supplémentaires pour diagnostiquer ou identifier l’événement ; caractéristiques qui décrivent ou identifient l’objet ou la ressource concerné(e) par l’action ; identités individuelles des utilisateurs de compte de groupe ; texte intégral des commandes privilégiées]. Les types d’enregistrements d’audit sont approuvés, puis acceptés par le JAB/AO.
Aide : pour les transactions client-serveur, le nombre d’octets envoyés et reçus donne des informations sur le transfert bidirectionnel qui peuvent être utiles lors d’une investigation ou d’une demande.

AU-3(2)
Le système d’information fournit une gestion et une configuration centralisées du contenu à capturer dans les enregistrements d’audit générés par [Affectation FedRAMP : tous les appareils de réseau, de stockage des données et appareils informatiques].		 Vérifiez que le système est capable d’auditer les événements définis dans AU-2 Partie a. Coordonnez avec d’autres entités du sous-ensemble d’événements pouvant être audités de l’organisation la prise en charge des investigations ultérieures. Implémentez la gestion centralisée des enregistrements d’audit.

Toutes les opérations de cycle de vie des comptes (création, modification, activation, désactivation et suppression de comptes) sont auditées dans les journaux d’audit Microsoft Entra. Tous les événements d’authentification et d’autorisation sont audités dans les journaux de connexion Microsoft Entra, et tous les risques détectés sont audités dans les journaux de protection des identités. Vous pouvez transmettre chacun de ces différents journaux directement dans une solution SIEM (Security Information and Event Management) comme Microsoft Sentinel. Vous pouvez également utiliser Azure Event Hubs pour intégrer les journaux à des solutions SIEM tierces.

Événements d'audit

  • Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra
  • Rapports d’activité de connexion dans le centre d’administration Microsoft Entra
  • Guide pratique pour examiner les risques

    Intégrations SIEM

  • Microsoft Sentinel : connecter des données à partir de Microsoft Entra ID
  • Transmettre vers Azure Event Hub et d’autres SIEM
    		•
    AU-6 Révision, analyse et rapports d’audit
    L’organisation :
    (a.) Examine, puis analyse les enregistrements d’audit du système d’information [Affectation FedRAMP : au moins une fois par semaine] pour rechercher les indications de [Affectation : activité inappropriée ou inhabituelle définie par l’organisation] ; et
    (b.) Transmet les découvertes à [Affectation : personnel ou rôles définis par l’organisation].
    AU-6 Exigences et aide supplémentaires pour FedRAMP :
    Exigence : la coordination entre le fournisseur de services et le consommateur doit être documentée, puis acceptée par le responsable des autorisations. Dans les environnements multi-tenants, la capacité et les moyens de fournir une évaluation, une analyse et des rapports au consommateur sur les données relatives au consommateur doivent être documentés.

    AU-6(1)
    L’organisation utilise des mécanismes automatisés pour intégrer les processus d’évaluation, d’analyse et de rapports d’audit pour prendre en charge des processus organisationnels d’enquêtes sur les activités suspectes et de réponse à ces enquêtes.

    AU-6(3)
    L’organisation analyse, puis met en corrélation des enregistrements d’audit dans différents référentiels pour prendre connaissance de la situation à l’échelle de l’organisation.

    AU-6(4)
    Le système d’information permet de réviser, puis d’analyser de façon centralisée des enregistrements d’audit provenant de plusieurs composants au sein du système.

    AU-6(5)
    L’organisation intègre l’analyse des enregistrements d’audit à l’analyse de [Sélection FedRAMP (plusieurs choix possibles) : informations d’analyse des vulnérabilités ; données de performances ; informations de surveillance du système d’information ; données de test d’intrusion ; [Affectation : informations/données définies par l’organisation collectées depuis d’autres sources]] pour améliorer la probabilité d’identifier toute activité inappropriée ou inhabituelle.

    AU-6(6)
    L’organisation met en corrélation les informations des enregistrements d’audit avec les informations obtenues suite à la surveillance de l’accès physique pour améliorer la probabilité d’identifier toute activité suspecte, inappropriée, inhabituelle ou malveillante.
    AU-6 Exigences et aide supplémentaires pour FedRAMP :
    Exigence : la coordination entre le fournisseur de services et le consommateur doit être documentée, puis acceptée par le JAB/AO.

    AU-6(7)
    L’organisation spécifie les actions autorisées pour chaque [Sélection FedRAMP (plusieurs choix possibles) : processus de système d’information ; rôle ; utilisateur] associé à la révision, à l’analyse des informations d’audit et aux rapports les concernant.

    AU-6(10)
    L’organisation ajuste le niveau d’évaluation, d’analyse et de création de rapports de l’audit au sein du système d’information en cas de modification du risque basée sur les informations fournies par les forces de l’ordre, par les renseignements ou d’autres sources d’informations crédibles.    		 Examiner et analyser au moins une fois par semaine les enregistrements d’audit pour identifier les activités inappropriées ou inhabituelles et signaler ce qui en découle au personnel compétent.

    Les instructions ci-dessus pour AU-02 et AU-03 permettent d’examiner chaque semaine les enregistrements d’audit et d’en référer au personnel compétent. Vous ne pouvez pas répondre à ces exigences en utilisant Microsoft Entra ID uniquement. Vous devez également utiliser une solution SIEM comme Microsoft Sentinel. Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel ?.

    Réponse aux incidents

    Les instructions du tableau ci-dessous concernent :

    • IR-4 Gestion des incidents

    • IR-5 Surveillance des incidents

    ID et description du contrôle FedRAMP Aide et recommandations relatives à Microsoft Entra
    IR-4 Gestion des incidents
    L’organisation :
    (a.) Implémente une capacité de gestion des incidents pour les incidents de sécurité qui inclut la préparation, la détection, puis l’analyse, l’autonomie, l’éradication et la récupération ;
    (b.)Coordonne les activités de gestion des incidents avec les activités de planification d’urgence ; et
    (c.) Incorpore les leçons tirées des activités de gestion des incidents en cours dans les procédures de réponse aux incidents, les formations et les tests/exercices, puis implémente en conséquence les changements qui en résultent.
    IR-4 Exigences et conseils supplémentaires relatifs à FedRAMP :
    Exigence : le fournisseur de services vérifie que les personnes qui gèrent les incidents répondent aux exigences de sécurité du personnel proportionnelles à la criticité/sensibilité des informations traitées, stockées, puis transmises par le système d’information.

    IR-04(1)
    L’organisation utilise des mécanismes automatisés pour prendre en charge le processus de gestion des incidents.

    IR-04(2)
    L’organisation inclut la reconfiguration dynamique de [Affectation FedRAMP : tous les périphériques réseau, de stockage de données et de calcul] dans le cadre de la capacité de réponse aux incidents.

    IR-04(3)
    L’organisation identifie [Affectation : classes d’incident définies par l’organisation] et [Affectation : actions définies par l’organisation à entreprendre en réponse aux classes d’incidents] pour assurer la continuation des missions organisationnelles et des fonctions commerciales.

    IR-04(4)
    L’organisation met en corrélation les informations sur les incidents et les réponses individuelles aux incidents pour obtenir une perspective de l’organisation sur la sensibilisation et les réponses à ces incidents.

    IR-04(6)
    L’organisation implémente la capacité de gestion des incidents pour les menaces internes.

    IR-04(8)
    L’organisation implémente la capacité de gestion des incidents pour les menaces internes.
    L’organisation se coordonne avec [Affectation FedRAMP : organisations externes, y compris les répondeurs aux incidents liés aux consommateurs et les défenseurs du réseau, et l’équipe de réponse aux incidents liés aux consommateurs (CIRT)/l’équipe de réponse aux urgences informatiques (CERT) (par exemple, US-CERT, DoD CERT, IC CERT)] pour mettre en corrélation, puis partager [Affectation : informations sur les incidents définies par l’organisation] pour obtenir une perspective inter-organisation sur la sensibilisation aux incidents et des réponses aux incidents plus efficaces.

    IR-05 Surveillance des incidents
    L’organisation suit, puis documente les incidents de sécurité du système informatique.

    IR-05(1)
    L’organisation utilise des mécanismes automatisés pour faciliter le suivi des incidents de sécurité, ainsi que la collecte, puis l’analyse des informations sur les incidents.    		 Implémentez des fonctionnalités de gestion et de surveillance des incidents. Cela inclut la gestion des incidents automatisés, la reconfiguration dynamique, la continuité des opérations, la corrélation des informations, les menaces internes, la corrélation avec les organisations externes, la surveillance des incidents et le suivi automatique.

    Les journaux d’audit consignent toutes les modifications de configuration. Les événements d’authentification et d’autorisation sont audités dans les journaux de connexion, et tous les risques détectés sont audités dans les journaux de protection des identités. Vous pouvez transmettre chacun de ces différents journaux directement dans une solution SIEM comme Microsoft Sentinel. Vous pouvez également utiliser Azure Event Hubs pour intégrer les journaux à des solutions SIEM tierces. Automatisez la reconfiguration dynamique basée sur des événements au sein de la solution SIEM à l’aide de Microsoft Graph PowerShell.

    Événements d'audit

  • Auditer les rapports d’activité dans le Centre d’administration Microsoft Entra
  • Rapports d’activité de connexion dans le centre d’administration Microsoft Entra
  • Guide pratique pour examiner les risques

    Intégrations SIEM

  • Microsoft Sentinel : connecter des données à partir de Microsoft Entra ID
  • Transmettre vers Azure Event Hub et d’autres SIEM
    		•

    Sécurité du personnel

    Les instructions du tableau ci-dessous concernent :

    • PS-4 Départ du personnel
    ID et description du contrôle FedRAMP Aide et recommandations relatives à Microsoft Entra
    PS-4
    Licenciement du personnel
    L’organisation, à la fin de l’emploi individuel :
    (a.) Désactive l’accès au système d’information dans [Affectation FedRAMP : huit (8) heures] ;
    (b.) Arrête/révoque tous les authentificateurs/toutes les informations d’identification associés à l’individu ;
    (c.) Mène des entretiens de sortie qui incluent une discussion sur [Affectation : rubriques sur la sécurité des informations définies par l’organisation] ;
    (d.) Récupère toutes les propriétés liées au système d’information de l’organisation liées à la sécurité ;
    (e.) Conserve l’accès à l’information et aux systèmes d’information de l’organisation précédemment contrôlés par la personne dont le contrat prend fin ; et
    (f.) Informe [Affectation : personnel ou rôles définis par l’organisation] dans [Affectation : période définie par l’organisation].

    PS-4(2)
    L’organisation utilise des mécanismes automatisés pour informer [Affectation FedRAMP : personnel de contrôle d’accès chargé de désactiver l’accès au système] en cas de départ d’une personne.    		 Notifier automatiquement le personnel responsable de la désactivation de l’accès au système.

    Désactiver les comptes et révoquer tous les authentificateurs et informations d’identification connexes dans les 8 heures.

    Configurer le provisionnement (y compris la désactivation au moment du départ) des comptes dans Microsoft Entra ID à partir de systèmes RH externes, de l’instance Active Directory locale ou directement dans le cloud. Mettre fin à tous les accès système en révoquant les sessions existantes.

    Approvisionnement des comptes

  • Consultez les instructions détaillées dans AC-02.

    Révoquer tous les authentificateurs connexes

  • Révoquer les accès utilisateur en cas d’urgence dans Microsoft Entra ID
    		•

    Intégrité du système et des informations

    Les instructions du tableau ci-dessous concernent :

    • SI-4 Supervision du système d’information
    ID et description du contrôle FedRAMP Aide et recommandations relatives à Microsoft Entra
    SI-4 Supervision du système d’information
    L’organisation :
    (a.) Surveille le système d’information pour détecter ce qui suit :
    (1.) Attaques et indicateurs d’attaques potentielles conformément à [Affectation : objectifs de surveillance définis par l’organisation] ; et
    (2.) Connexions locales, réseau et distantes non autorisées ;
    (b.) Identifie toute utilisation non autorisée du système d’information via des [Affectation : techniques et méthodes définies par l’organisation] ;
    (c.) Déploie des dispositifs de surveillance (i) de façon stratégique dans le système d’information pour collecter des informations essentielles déterminées par l’organisation ; et (ii) à des emplacements ad hoc dans le système pour suivre des types spécifiques de transactions présentant un intérêt pour l’organisation ;
    (d.) Protège les informations obtenues depuis des outils de surveillance des intrusions contre tout accès, toute modification et toute suppression non autorisés ;
    (e.) Accroît le niveau d’activité de surveillance du système d’information chaque fois qu’il y a une indication de risque accru pour les opérations et les ressources organisationnelles, les individus, les autres organisations ou la nation sur la base d’informations relatives au respect des lois, d’informations décisionnelles ou d’autres sources crédibles d’information ;
    (f.) Obtient un avis juridique concernant les activités de surveillance du système d’information conformément aux lois fédérales, décrets, directives, politiques ou réglementations applicables ; et
    (g.) Fournit des [Affectation : informations de surveillance du système d’information définies par l’organisation] à [Affectation : personnel ou rôles définis par l’organisation] [Sélection (au moins une) : en fonction des besoins ; [Affectation : fréquence définie par l’organisation]].
    SI-4 Exigences et aide supplémentaires relatifs à FedRAMP :
    Aide : veuillez consulter les instructions relatives aux rapports de réponse aux incidents US-CERT.

    SI-04(1)
    L’organisation connecte, puis configure des outils individuels de détection des intrusions dans un système de détection d’intrusion à l’échelle du système d’information.    		 Implémenter une surveillance du système d’information et du système de détection des intrusions à l’échelle du réseau.

    Inclure tous les journaux Microsoft Entra (audit, connexion, protection des identités) au sein de la solution de monitoring du système d’information.

    Transmettre les journaux Microsoft Entra à une solution SIEM (voir IA-04).                                                                              

    Étapes suivantes

    Configurer des contrôles d’accès

    Configurer les contrôles d’identification et d’authentification

    Configurer d’autres contrôles