Bagikan melalui

Mengonfigurasi kontrol tambahan untuk memenuhi tingkat Dampak Tinggi FedRAMP

  • Artikel

Daftar kontrol berikut (dan penyempurnaan kontrol) mungkin memerlukan konfigurasi di penyewa Microsoft Entra Anda.

Setiap baris dalam tabel berikut ini menyediakan panduan preskriptif. Panduan ini membantu Anda dalam mengembangkan respons organisasi Anda terhadap tanggung jawab bersama mengenai kontrol atau peningkatan kontrol.

Audit dan akuntabilitas

Panduan dalam tabel berikut berkaitan dengan:

  • Peristiwa Audit AU-2
  • Konten audit AU-3
  • Tinjauan, analisis, dan pelaporan Audit AU-6
ID dan deskripsi Kontrol FedRAMP Panduan dan rekomendasi Microsoft Entra
Peristiwa Audit AU-2
Organisasi:
(a.) Menentukan bahwa sistem informasi mampu mengaudit peristiwa berikut: [Penugasan FedRAMP: [Peristiwa masuk akun yang berhasil dan tidak berhasil, peristiwa manajemen akun, akses objek, perubahan kebijakan, fungsi hak istimewa, pelacakan proses, dan peristiwa sistem. Untuk aplikasi Web: semua aktivitas administrator, pemeriksaan autentikasi, pemeriksaan otorisasi, penghapusan data, akses data, perubahan data, dan perubahan izin];
(b.) Mengoordinasikan fungsi audit keamanan dengan entitas organisasi lain yang memerlukan informasi terkait audit untuk meningkatkan dukungan bersama dan untuk membantu memandu pemilihan peristiwa yang dapat diaudit;
(c.) Memberikan alasan mengapa peristiwa yang dapat diaudit dianggap memadai untuk mendukung penyelidikan setelah fakta insiden keamanan; dan
(d.) Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penetapan FedRAMP: subset yang ditentukan organisasi dari peristiwa yang dapat diaudit yang ditentukan dalam AU-2 a. untuk diaudit terus-menerus untuk setiap peristiwa yang diidentifikasi].

Persyaratan dan Panduan FedRAMP Tambahan AU-2:
Persyaratan: Koordinasi antara penyedia layanan dan konsumen harus didokumentasikan dan diterima oleh JAB/AO.

Catatan Konten dan Audit AU-3
Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, ketika peristiwa terjadi, di mana peristiwa terjadi, sumber peristiwa, hasil peristiwa, dan identitas individu atau subjek apa pun yang terkait dengan peristiwa tersebut.

AU-3(1)
Sistem informasi menghasilkan catatan audit yang berisi informasi tambahan berikut: [Penugasan FedRAMP: informasi tambahan yang ditentukan organisasi dan lebih rinci].

Persyaratan dan Panduan FedRAMP Tambahan AU-3 (1):
Persyaratan: Penyedia layanan menentukan jenis catatan audit [Penugasan FedRAMP: durasi sesi, koneksi, transaksi, atau aktivitas; untuk transaksi server klien, jumlah byte yang diterima dan byte yang dikirim; pesan informasi tambahan untuk mendiagnosis atau mengidentifikasi peristiwa; karakteristik yang menjelaskan atau mengidentifikasi objek atau sumber daya yang ditindaklanjuti; identitas individu pengguna akun grup; teks lengkap perintah istimewa]. Jenis catatan audit disetujui dan diterima oleh JAB/AO.
Panduan: Untuk transaksi server klien, jumlah byte yang dikirim dan diterima memberikan informasi transfer dua arah yang dapat membantu selama penyelidikan atau pertanyaan.

AU-3(2)
Sistem informasi menyediakan manajemen terpusat dan konfigurasi konten yang akan diambil dalam catatan audit yang dihasilkan oleh [Penugasan FedRAMP: semua jaringan, penyimpanan data, dan perangkat komputasi].		 Pastikan sistem mampu mengaudit peristiwa yang ditentukan dalam AU-2 Bagian a. Berkoordinasi dengan entitas lain dalam subset peristiwa yang dapat diaudit organisasi untuk mendukung penyelidikan setelah fakta. Menerapkan manajemen catatan audit terpusat.

Semua operasi siklus hidup akun (pembuatan akun, modifikasi, pengaktifan, penonaktifan, dan tindakan penghapusan) diaudit dalam log audit Microsoft Entra. Semua peristiwa autentikasi dan otorisasi diaudit dalam log masuk Microsoft Entra, dan risiko apa pun yang terdeteksi diaudit di log Perlindungan ID Microsoft Entra. Anda dapat mengalirkan masing-masing log ini langsung ke solusi informasi keamanan dan manajemen peristiwa (SIEM) seperti Microsoft Sentinel. Atau, gunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga.

Mengaudit peristiwa

  • Laporan aktivitas audit di pusat admin Microsoft Entra
  • Laporan aktivitas masuk di pusat admin Microsoft Entra
  • Cara: Menyelidiki risiko

    Integrasi SIEM

  • Microsoft Sentinel : Menyambungkan data dari ID Microsoft Entra
  • Streaming ke hub peristiwa Azure dan SIEM lainnya
    		•
    Tinjauan, Analisis, dan Pelaporan Audit AU-6
    Organisasi:
    (a.) Meninjau dan menganalisis catatan audit sistem informasi [Penugasan FedRAMP: setidaknya setiap minggu] untuk indikasi [Penugasan: aktivitas yang tidak pantas atau tidak biasa yang ditentukan organisasi]; dan
    (b.) Melaporkan temuan ke [Penugasan: personel atau peran yang ditentukan organisasi].
    Persyaratan dan Panduan FedRAMP Tambahan AU-6:
    Persyaratan: Koordinasi antara penyedia layanan dan konsumen harus didokumentasikan dan diterima oleh Pejabat Otorisasi. Di lingkungan multi-penyewa, kemampuan dan sarana untuk memberikan tinjauan, analisis, dan pelaporan kepada konsumen untuk data yang berkaitan dengan konsumen harus didokumenkan.

    AU-6(1)
    Organisasi ini menggunakan mekanisme otomatis untuk mengintegrasikan tinjauan audit, analisis, dan proses pelaporan untuk mendukung proses organisasi untuk penyelidikan dan respons terhadap aktivitas yang mencurigakan.

    AU-6(3)
    Organisasi menganalisis dan menghubungkan catatan audit di berbagai repositori untuk mendapatkan kesadaran situasi di seluruh organisasi.

    AU-6(4)
    Sistem informasi menyediakan kemampuan untuk meninjau dan menganalisis rekaman audit secara terpusat dari beberapa komponen dalam sistem.

    AU-6(5)
    Organisasi mengintegrasikan analisis catatan audit dengan analisis [FedRAMP Selection (satu atau beberapa): informasi pemindaian kerentanan; data performa; informasi pemantauan sistem informasi; data uji penetrasi; [Penugasan: data/informasi yang ditentukan organisasi yang dikumpulkan dari sumber lain]] untuk lebih meningkatkan kemampuan untuk mengidentifikasi aktivitas yang tidak pantas atau tidak biasa.

    AU-6(6)
    Organisasi menghubungkan informasi dari catatan audit dengan informasi yang diperoleh dari pemantauan akses fisik untuk lebih meningkatkan kemampuan untuk mengidentifikasi aktivitas yang mencurigakan, tidak pantas, tidak biasa, atau jahat.
    Persyaratan dan Panduan FedRAMP Tambahan AU-6:
    Persyaratan: Koordinasi antara penyedia layanan dan konsumen harus didokumentasikan dan diterima oleh JAB/AO.

    AU-6(7)
    Organisasi menentukan tindakan yang diizinkan untuk setiap [Pemilihan FedRAMP (satu atau lebih): proses sistem informasi; peran; pengguna] yang terkait dengan tinjauan, analisis, dan pelaporan informasi audit.

    AU-6(10)
    Organisasi menyesuaikan tingkat tinjauan audit, analisis, dan pelaporan dalam sistem informasi ketika ada perubahan risiko berdasarkan informasi penegakan hukum, informasi intelijen, atau sumber informasi kredibel lainnya.    		 Tinjau dan analisis catatan audit setidaknya sekali setiap minggu untuk mengidentifikasi aktivitas yang tidak pantas atau tidak biasa, dan laporkan temuan kepada personel yang sesuai.

    Panduan sebelumnya yang disediakan untuk AU-02 dan AU-03 memungkinkan peninjauan catatan audit mingguan dan pelaporan kepada personel yang sesuai. Anda tidak dapat memenuhi persyaratan ini hanya dengan menggunakan ID Microsoft Entra. Anda juga harus menggunakan solusi SIEM seperti Microsoft Sentinel. Untuk informasi selengkapnya, lihat Apa itu Microsoft Sentinel?.

    Respons insiden

    Panduan dalam tabel berikut berkaitan dengan:

    • Penanganan insiden IR-4

    • Pemantauan insiden IR-5

    ID dan deskripsi Kontrol FedRAMP Panduan dan rekomendasi Microsoft Entra
    Penanganan Insiden IR-4
    Organisasi:
    (a.) Menerapkan kemampuan penanganan insiden untuk insiden keamanan yang mencakup persiapan, deteksi dan analisis, penahanan, pemberantasan, dan pemulihan;
    (b.) Mengoordinasikan kegiatan penanganan insiden dengan kegiatan perencanaan kontingensi; dan
    (c.) Menggabungkan pelajaran yang dipelajari dari aktivitas penanganan insiden yang sedang berlangsung ke dalam prosedur respons insiden, pelatihan, dan pengujian/latihan, dan menerapkan perubahan yang dihasilkan yang sesuai.
    Persyaratan dan Panduan FedRAMP Tambahan IR-4:
    Persyaratan: Penyedia layanan memastikan bahwa individu yang melakukan penanganan insiden memenuhi persyaratan keamanan personel sepadan dengan kekritisan/sensitivitas informasi yang sedang diproses, disimpan, dan ditransmisikan oleh sistem informasi.

    IR-04(1)
    Organisasi ini menggunakan mekanisme otomatis untuk mendukung proses penanganan insiden.

    IR-04(2)
    Organisasi ini mencakup konfigurasi ulang dinamis [Penugasan FedRAMP: semua jaringan, penyimpanan data, dan perangkat komputasi] sebagai bagian dari kemampuan respons insiden.

    IR-04(3)
    Organisasi mengidentifikasi [Penugasan: kelas insiden yang ditentukan organisasi] dan [Penugasan: tindakan yang ditentukan organisasi untuk diambil sebagai respons terhadap kelas insiden] untuk memastikan kelanjutan misi organisasi dan fungsi bisnis.

    IR-04(4)
    Organisasi ini menghubungkan informasi insiden dan respons insiden individu untuk mencapai perspektif seluruh organisasi tentang kesadaran dan respons insiden.

    IR-04(6)
    Organisasi menerapkan kemampuan penanganan insiden untuk ancaman orang dalam.

    IR-04(8)
    Organisasi menerapkan kemampuan penanganan insiden untuk ancaman orang dalam.
    Organisasi ini berkoordinasi dengan [Penugasan FedRAMP: organisasi eksternal termasuk responden insiden konsumen dan pembela jaringan dan tim respons insiden konsumen (CIRT)/ Computer Emergency Response Team (CERT) (seperti US-CERT, DoD CERT, IC CERT)] untuk menghubungkan dan berbagi [Penugasan: informasi insiden yang ditentukan organisasi] untuk mencapai perspektif lintas organisasi tentang kesadaran insiden dan respons insiden yang lebih efektif.

    Pemantauan Insiden IR-05
    Organisasi melacak dan mendanai insiden keamanan sistem informasi.

    IR-05(1)
    Organisasi ini menggunakan mekanisme otomatis untuk membantu pelacakan insiden keamanan dan dalam pengumpulan dan analisis informasi insiden.    		 Menerapkan kemampuan penanganan dan pemantauan insiden. Ini termasuk Penanganan Insiden Otomatis, Konfigurasi Ulang Dinamis, Kelangsungan Operasi, Korelasi Informasi, Ancaman Orang Dalam, Korelasi dengan Organisasi Eksternal, dan Pemantauan Insiden dan Pelacakan Otomatis.

    Log audit merekam semua perubahan konfigurasi. Peristiwa autentikasi dan otorisasi diaudit dalam log masuk, dan risiko apa pun yang terdeteksi diaudit di log Perlindungan ID Microsoft Entra. Anda dapat mengalirkan masing-masing log ini langsung ke solusi SIEM, seperti Microsoft Sentinel. Atau, gunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga. Mengotomatiskan konfigurasi ulang dinamis berdasarkan peristiwa di SIEM dengan menggunakan Microsoft Graph PowerShell.

    Mengaudit peristiwa

  • Laporan aktivitas audit di pusat admin Microsoft Entra
  • Laporan aktivitas masuk di pusat admin Microsoft Entra
  • Cara: Menyelidiki risiko

    Integrasi SIEM

  • Microsoft Sentinel : Menyambungkan data dari ID Microsoft Entra
  • Streaming ke hub peristiwa Azure dan SIEM lainnya
    		•

    Keamanan personel

    Panduan dalam tabel berikut berkaitan dengan:

    • Penghentian Personel PS-4
    ID dan deskripsi Kontrol FedRAMP Panduan dan rekomendasi Microsoft Entra
    PS-4
    Penghentian Personel
    Organisasi, setelah pemutusan hubungan kerja individu:
    (a.) Menonaktifkan akses sistem informasi dalam [Penetapan FedRAMP: delapan (8) jam];
    (b.) Menghentikan/mencabut pengautentikasi/kredensial apa pun yang terkait dengan individu;
    (c.) Melakukan wawancara keluar yang mencakup diskusi [Penugasan: topik keamanan informasi yang ditentukan organisasi];
    (d.) Mengambil semua properti terkait sistem informasi organisasi terkait keamanan;
    (e.) Mempertahankan akses ke informasi organisasi dan sistem informasi yang sebelumnya dikendalikan oleh individu yang dihentikan; dan
    (f.) Memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi] dalam [Penugasan: periode waktu yang ditentukan organisasi].

    PS-4(2)
    Organisasi ini menggunakan mekanisme otomatis untuk memberi tahu [Penugasan FedRAMP: personel kontrol akses yang bertanggung jawab untuk menonaktifkan akses ke sistem] setelah penghentian individu.    		 Secara otomatis memberi tahu personel yang bertanggung jawab untuk menonaktifkan akses ke sistem.

    Nonaktifkan akun dan cabut semua pengautentikasi dan kredensial terkait dalam waktu 8 jam.

    Konfigurasikan provisi (termasuk penonaktifan setelah penghentian) akun di ID Microsoft Entra dari sistem SDM eksternal, Active Directory lokal, atau langsung di cloud. Hentikan semua akses sistem dengan mencabut sesi yang ada.

    Provisi akun

  • Lihat panduan terperinci di AC-02.

    Mencabut semua pengautentikasi terkait

  • Mencabut akses pengguna dalam keadaan darurat di ID Microsoft Entra
    		•

    Integritas sistem dan informasi

    Panduan dalam tabel berikut berkaitan dengan:

    • Pemantauan sistem informasi SI-4
    ID dan deskripsi Kontrol FedRAMP Panduan dan rekomendasi Microsoft Entra
    Pemantauan Sistem Informasi SI-4
    Organisasi:
    (a.) Memantau sistem informasi untuk mendeteksi:
    (1.) Serangan dan indikator potensi serangan sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan
    (2.) Koneksi lokal, jaringan, dan jarak jauh yang tidak sah;
    (b.) Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi];
    (c.) Menyebarkan perangkat pemantauan (i) secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi;
    (d.) Melindungi informasi yang diperoleh dari alat pemantauan intrusi dari akses, modifikasi, dan penghapusan yang tidak sah;
    (e.) Meningkatkan tingkat aktivitas pemantauan sistem informasi setiap kali ada indikasi peningkatan risiko terhadap operasi organisasi dan aset, individu, organisasi lain, atau Bangsa berdasarkan informasi penegakan hukum, informasi intelijen, atau sumber informasi kredibel lainnya;
    (f.) Memperoleh pendapat hukum sehubungan dengan kegiatan pemantauan sistem informasi sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, atau peraturan; dan
    (d.) Menyediakan [Penugasan: informasi pemantauan sistem informasi yang ditentukan organisasi] ke [Penugasan: personel atau peran yang ditentukan organisasi] [Seleksi (satu atau beberapa): sesuai kebutuhan; [Penugasan: frekuensi yang ditentukan organisasi]].
    Persyaratan dan Panduan FedRAMP Tambahan SI-4:
    Panduan: Lihat Panduan Pelaporan Respons Insiden AS-CERT.

    SI-04(1)
    Organisasi menghubungkan dan mengonfigurasi alat deteksi intrusi individu ke dalam sistem informasi sistem deteksi gangguan di seluruh sistem.    		 Terapkan pemantauan di seluruh sistem informasi, dan sistem deteksi intrusi.

    Sertakan semua log Microsoft Entra (Audit, Masuk, Perlindungan ID) dalam solusi pemantauan sistem informasi.

    Streaming log Microsoft Entra ke dalam solusi SIEM (lihat IA-04).                                                                              

    Langkah berikutnya

    Mengonfigurasi kontrol akses

    Mengonfigurasi kontrol identifikasi dan autentikasi

    Mengonfigurasi kontrol lain