Teljes felügyelet (TIC 3.0) biztonsági architektúrák monitorozása a Microsoft Sentinelrel
Teljes felügyelet a következő biztonsági alapelvek tervezésére és megvalósítására szolgáló biztonsági stratégia:
| Explicit ellenőrzés | A legkevésbé jogosultsági hozzáférés használata | A szabálysértés feltételezése |
|---|---|---|
| Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. | Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. |
Ez a cikk a Microsoft Sentinel Teljes felügyelet (TIC 3.0) megoldás használatát ismerteti, amely segít a szabályozási és megfelelőségi csapatoknak a megbízható INTERNETKAPCSOLATOK (TIC) 3.0 kezdeményezésnek megfelelő Teljes felügyelet követelmények monitorozásában és megválaszolásában.
A Microsoft Sentinel-megoldások egy adott adatkészlethez előre konfigurált, csomagolt tartalomkészletek. A Teljes felügyelet (TIC 3.0) megoldás tartalmaz egy munkafüzetet, elemzési szabályokat és egy forgatókönyvet, amely automatikus vizualizációt biztosít a Teljes felügyelet elvekről, áttérve a Megbízható internetes Csatlakozás ions keretrendszerre, segítve a szervezeteket a konfigurációk időbeli monitorozásában.
A Teljes felügyelet megoldás és a TIC 3.0 keretrendszer
A Teljes felügyelet és a TIC 3.0 nem egyezik meg, de sok közös témát osztanak meg, és közös történetet nyújtanak. A Teljes felügyelet (TIC 3.0) Microsoft Sentinel megoldása részletes kereszteződéseket kínál a Microsoft Sentinel és a Teljes felügyelet modell között a TIC 3.0 keretrendszerrel. Ezek a kereszteződések segítenek a felhasználóknak jobban megérteni a kettő közötti átfedéseket.
Bár a Microsoft Sentinel megoldás Teljes felügyelet (TIC 3.0) ajánlott eljárásokkal kapcsolatos útmutatást nyújt, a Microsoft nem garantálja és nem is jelenti a megfelelőséget. Az internetes Csatlakozás ion (TIC) minden követelményére, érvényesítésére és ellenőrzésére a Kiberbiztonság és Infrastruktúra Biztonsági Ügynökség az irányadó.
A Teljes felügyelet (TIC 3.0) megoldás láthatóságot és helyzetfelismerést biztosít a Microsoft-technológiákkal szemben támasztott szabályozási követelményekhez elsősorban felhőalapú környezetekben. Az ügyfélélmény felhasználónként eltérő lesz, és egyes panelek további konfigurációkat és lekérdezésmódosítást igényelhetnek a működéshez.
Javaslatok nem jelentik a megfelelő vezérlők lefedettségét, mivel gyakran az egyes ügyfelek számára egyedi, a követelményekhez való közeledés számos lépésének egyike. Javaslatok kiindulópontnak kell tekinteni a megfelelő ellenőrzési követelmények teljes vagy részleges lefedésének megtervezéséhez.
A Microsoft Sentinel Teljes felügyelet -megoldás (TIC 3.0) a következő felhasználók és használati esetek bármelyike esetén hasznos:
- Biztonsági irányítási, kockázat- és megfelelőségi szakemberek a megfelelőségi helyzet felméréséhez és jelentéséhez
- Mérnökök és építészek, akiknek Teljes felügyelet és TIC 3.0-ra igazított számítási feladatokat kell megtervezni
- Biztonsági elemzők riasztási és automatizálási építéshez
- Felügyelt biztonsági szolgáltatók (MSSP-k) tanácsadási szolgáltatásokhoz
- Biztonsági vezetők, akiknek felül kell vizsgálniuk a követelményeket, elemezniük kell a jelentéskészítést, kiértékelniük a képességeket
Előfeltételek
A Teljes felügyelet (TIC 3.0) megoldás telepítése előtt győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Előkészítési Microsoft-szolgáltatások: Győződjön meg arról, hogy a Microsoft Sentinel és a Felhőhöz készült Microsoft Defender is engedélyezve van az Azure-előfizetésében.
Felhőhöz készült Microsoft Defender követelmények: Felhőhöz készült Microsoft Defender:
Adja hozzá a szükséges szabályozási szabványokat az irányítópulthoz. Ügyeljen arra, hogy az Azure Security Benchmark és az NIST SP 800-53 R5 Assessments is hozzáadva legyen a Felhőhöz készült Microsoft Defender irányítópulthoz. További információ: szabályozási szabvány hozzáadása az irányítópulthoz a Felhőhöz készült Microsoft Defender dokumentációjában.
Felhőhöz készült Microsoft Defender adatok folyamatos exportálása a Log Analytics-munkaterületre. További információ: Felhőhöz készült Microsoft Defender adatok folyamatos exportálása.
Szükséges felhasználói engedélyek. A Teljes felügyelet (TIC 3.0) megoldás telepítéséhez hozzáféréssel kell rendelkeznie a Microsoft Sentinel-munkaterülethez biztonsági olvasó engedélyekkel.
A Teljes felügyelet (TIC 3.0) megoldást más Microsoft-szolgáltatásokkal való integráció is fokozza, például:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Felhőhöz készült Microsoft Defender
- Végponthoz készült Microsoft Defender
- Microsoft Defender identitáshoz
- Felhőhöz készült Microsoft Defender-alkalmazások
- Office 365-höz készült Microsoft Defender
A Teljes felügyelet (TIC 3.0) megoldás telepítése
A Teljes felügyelet (TIC 3.0) megoldás üzembe helyezése az Azure Portalon:
A Microsoft Sentinelben válassza a Content Hubot, és keresse meg a Teljes felügyelet (TIC 3.0) megoldást.
A jobb alsó sarokban válassza a Részletek megtekintése, majd a Létrehozás lehetőséget. Válassza ki azt az előfizetést, erőforráscsoportot és munkaterületet, ahol telepíteni szeretné a megoldást, majd tekintse át az üzembe helyezendő kapcsolódó biztonsági tartalmat.
Ha elkészült, a megoldás telepítéséhez válassza a Véleményezés + Létrehozás lehetőséget.
További információkért lásd a beépített tartalmak és megoldások üzembe helyezését ismertető cikket.
Használati példaforgatókönyv
Az alábbi szakaszok bemutatják, hogyan használhatja egy biztonsági műveleti elemző a Teljes felügyelet (TIC 3.0) megoldással üzembe helyezett erőforrásokat a követelmények áttekintéséhez, a lekérdezések vizsgálatához, a riasztások konfigurálásához és az automatizálás implementálásához.
A Teljes felügyelet (TIC 3.0) megoldás telepítése után használja a Microsoft Sentinel-munkaterületen üzembe helyezett munkafüzetet, elemzési szabályokat és forgatókönyvet a hálózat Teljes felügyelet kezeléséhez.
Teljes felügyelet adatok megjelenítése
Lépjen a Microsoft Sentinel-munkafüzetek >Teljes felügyelet (TIC 3.0) munkafüzetre, és válassza a Mentett munkafüzet megtekintése lehetőséget.
A Teljes felügyelet (TIC 3.0) munkafüzet lapján válassza ki a megtekinteni kívánt TIC 3.0 képességeket. Ehhez az eljáráshoz válassza a Behatolásészlelés lehetőséget.
Tipp.
A javaslatok és segédablakok megjelenítéséhez vagy elrejtéséhez használja a lap tetején található Útmutató váltógombot. Győződjön meg arról, hogy a megfelelő részletek vannak kiválasztva az Előfizetés, a Munkaterület és a TimeRange beállításban, hogy megtekinthesse a keresett adatokat.
Tekintse át a megjelenő vezérlőkártyákat. Görgessen le például az Adaptív Hozzáférés-vezérlés kártya megtekintéséhez:
Tipp.
A javaslatok és segédvonalak ablaktábláinak megtekintéséhez vagy elrejtéséhez használja a bal felső sarokban található Segédvonalak váltógombot. Ezek hasznosak lehetnek például a munkafüzet első elérésekor, de szükségtelenek, ha már megismerte a vonatkozó fogalmakat.
A lekérdezések felfedezése. Az Adaptív hozzáférés-vezérlés kártya jobb felső sarkában például válassza a :Továbbiak gombot, majd válassza az
Utolsó futtatás lekérdezés megnyitása a Naplók nézetben lehetőséget.A lekérdezés a Microsoft Sentinel Naplók lapján nyílik meg:
Teljes felügyelet kapcsolódó riasztások konfigurálása
A Microsoft Sentinelben lépjen az Elemzés területre. Tekintse meg a Teljes felügyelet (TIC 3.0) megoldással üzembe helyezett beépített elemzési szabályokat a TIC3.0 keresésével.
Alapértelmezés szerint a Teljes felügyelet (TIC 3.0) megoldás olyan elemzési szabályokat telepít, amelyek úgy vannak konfigurálva, hogy monitorozzák a Teljes felügyelet (TIC3.0) állapotot a vezérlőcsaláddal, és testre szabhatja a megfelelőségi csapatoknak a testtartás változásaira való riasztásának küszöbértékeit.
Ha például a számítási feladat rugalmassági állapota egy hét alatt a megadott százalék alá csökken, a Microsoft Sentinel riasztást hoz létre a megfelelő szabályzatállapot (pass/fail), az azonosított eszközök, az utolsó értékelési idő, valamint a szervizműveletek Felhőhöz készült Microsoft Defender részletes hivatkozásainak megadásához.
Szükség szerint frissítse a szabályokat, vagy konfiguráljon egy újat:
További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.
Válasz szárnyalással
A Microsoft Sentinelben lépjen az Automation>Active forgatókönyvek lapjára, és keresse meg a Notify-GovernanceComplianceTeam forgatókönyvet.
Ezzel a forgatókönyvvel automatikusan monitorozhatja a CMMC-riasztásokat, és e-mailben és Microsoft Teams-üzenetben is értesítheti a szabályozási megfelelőségi csapatot a releváns részletekről. Szükség szerint módosítsa a forgatókönyvet:
További információ: Eseményindítók és műveletek használata a Microsoft Sentinel forgatókönyveiben.
Gyakori kérdések
Támogatottak az egyéni nézetek és jelentések?
Igen. Testre szabhatja a Teljes felügyelet (TIC 3.0)-munkafüzetet, hogy előfizetés, munkaterület, idő, vezérlőcsalád vagy érettségi szintű paraméterek alapján tekintse meg az adatokat, és exportálhatja és kinyomtathatja a munkafüzetet.
További információ: Az Adatok vizualizációja és monitorozása Az Azure Monitor-munkafüzetek használata.
További termékekre van szükség?
A Microsoft Sentinelre és a Felhőhöz készült Microsoft Defender is szükség van.
Ezen szolgáltatásokon kívül minden vezérlőkártya több szolgáltatás adatain alapul attól függően, hogy milyen típusú adatok és vizualizációk jelennek meg a kártyán. Több mint 25 Microsoft-szolgáltatások biztosít bővítést a Teljes felügyelet (TIC 3.0) megoldáshoz.
Mit tegyek adatok nélküli panelekkel?
Az adatok nélküli panelek kiindulópontként szolgálnak a Teljes felügyelet és a TIC 3.0 vezérlési követelményeinek kezeléséhez, beleértve a megfelelő vezérlők kezelésére vonatkozó javaslatokat is.
Több előfizetés, felhő és bérlő is támogatott?
Igen. A munkafüzetparaméterek, az Azure Lighthouse és az Azure Arc használatával használhatja a Teljes felügyelet (TIC 3.0) megoldást az összes előfizetésére, felhőjére és bérlőjére.
További információ: Az Azure Monitor-munkafüzetek használata az adatok vizualizációjához és monitorozásához, valamint több bérlő kezelése a Microsoft Sentinelben MSSP-ként.
Támogatott a partnerintegráció?
Igen. A munkafüzetek és az elemzési szabályok testre szabhatók a partnerszolgáltatásokkal való integrációhoz.
További információ: Az Azure Monitor-munkafüzetek használata az adatok és a Surface egyéni eseményadatainak megjelenítéséhez és figyeléséhez a riasztásokban.
Elérhető a kormányzati régiókban?
Igen. A Teljes felügyelet (TIC 3.0) megoldás nyilvános előzetes verzióban érhető el, és üzembe helyezhető kereskedelmi/kormányzati régiókban. További információ: Felhőszolgáltatás rendelkezésre állása kereskedelmi és USA-beli kormányzati ügyfelek számára.
Milyen engedélyek szükségesek a tartalom használatához?
A Microsoft Sentinel közreműködői felhasználói munkafüzeteket, elemzési szabályokat és egyéb Microsoft Sentinel-erőforrásokat hozhatnak létre és szerkeszthetnek.
A Microsoft Sentinel Reader felhasználói megtekinthetik az adatokat, incidenseket, munkafüzeteket és más Microsoft Sentinel-erőforrásokat.
További információ: Engedélyek a Microsoft Sentinelben.
Következő lépések
További információkért lásd:
- A Microsoft Sentinel használatának első lépései
- Adatok vizualizációja és monitorozása munkafüzetekkel
- Microsoft Teljes felügyelet modell
- Teljes felügyelet Központi telepítési központ
Tekintse meg videóinkat:
- Bemutató: Microsoft Sentinel Teljes felügyelet (TIC 3.0) megoldás
- Microsoft Sentinel: Teljes felügyelet (TIC 3.0) munkafüzet bemutatója
Olvassa el blogjainkat!
- A Microsoft Sentinel: Teljes felügyelet (TIC3.0) megoldás bejelentése
- Teljes felügyelet (TIC 3.0) számítási feladatok létrehozása és monitorozása szövetségi információs rendszerekhez a Microsoft Sentinellel
- Teljes felügyelet: 7 bevezetési stratégia biztonsági vezetőktől
- Teljes felügyelet implementálása a Microsoft Azure-ral: Identitás- és hozzáférés-kezelés (6 részsorozat)