Area lain dari Zero Trust yang ditujukan dalam nota 22-09

Artikel lain dalam panduan ini membahas pilar identitas prinsip Zero Trust, seperti yang dijelaskan dalam Nota Kantor Manajemen dan Anggaran AS (OMB) M 22-09 untuk Kepala Departemen Eksekutif dan Badan. Artikel ini membahas area model kematangan Zero Trust di luar pilar identitas, dan membahas tema berikut:

• Visibilitas
• Analytics
• Otomatisasi dan orkestrasi
• Pemerintahan

Visibilitas

Penting untuk memantau penyewa Microsoft Entra Anda. Asumsikan pola pikir pelanggaran dan memenuhi standar kepatuhan dalam nota 22-09 dan Memorandum 21-31. Tiga jenis log utama digunakan untuk analisis dan penyerapan keamanan:

• Log audit Azure untuk memantau aktivitas operasional direktori, seperti membuat, menghapus, memperbarui objek seperti pengguna atau grup
  • Gunakan juga untuk membuat perubahan pada konfigurasi Microsoft Entra, seperti modifikasi pada kebijakan Akses Bersyar
  • Lihat, Log audit di ID Microsoft Entra
• Log provisi memiliki informasi tentang objek yang disinkronkan dari ID Microsoft Entra ke aplikasi seperti Service Now dengan Microsoft Identity Manager
  • Lihat, Log provisi di ID Microsoft Entra
• Log masuk Microsoft Entra untuk memantau aktivitas masuk yang terkait dengan pengguna, aplikasi, dan perwakilan layanan.
  • Log masuk memiliki kategori untuk diferensiasi
  • Rincian masuk interaktif menunjukkan proses masuk yang berhasil dan gagal, kebijakan yang diterapkan, dan metadata lainnya
  • Rincian masuk pengguna non-interaktif tidak menunjukkan interaksi selama masuk: klien yang masuk atas nama pengguna, seperti aplikasi seluler atau klien email
  • Rincian masuk perwakilan layanan menunjukkan perwakilan layanan atau rincian masuk aplikasi: layanan atau aplikasi yang mengakses layanan, aplikasi, atau direktori Microsoft Entra melalui REST API
  • Identitas terkelola untuk masuk sumber daya Azure: Sumber daya atau aplikasi Azure yang mengakses sumber daya Azure, seperti layanan aplikasi web yang mengautentikasi ke back end Azure SQL.
  • Lihat, Log masuk di ID Microsoft Entra (pratinjau)

Di penyewa Microsoft Entra ID Free, entri log disimpan selama tujuh hari. Penyewa dengan lisensi Microsoft Entra ID P1 atau P2 mempertahankan entri log selama 30 hari.

Pastikan alat manajemen peristiwa dan informasi keamanan (SIEM) menyerap log. Gunakan peristiwa masuk dan audit untuk berkorelasi dengan aplikasi, infrastruktur, data, perangkat, dan log jaringan.

Sebaiknya integrasikan log Microsoft Entra dengan Microsoft Sentinel. Konfigurasikan konektor untuk menyerap log penyewa Microsoft Entra.

Pelajari lebih lanjut:

• Apa itu Microsoft Azure Sentinel?
• Menyambungkan ID Microsoft Entra ke Microsoft Azure Sentinel

Untuk penyewa Microsoft Entra, Anda dapat mengonfigurasi pengaturan diagnostik untuk mengirim data ke akun Azure Storage, Azure Event Hubs, atau ruang kerja Analitik Log. Gunakan opsi penyimpanan ini untuk mengintegrasikan alat SIEM lainnya untuk mengumpulkan data.

Pelajari lebih lanjut:

• Apa itu pemantauan Microsoft Entra?
• Dependensi penyebaran pelaporan dan pemantauan Microsoft Entra

Analytics

Anda dapat menggunakan analitik dalam alat berikut untuk menggabungkan informasi dari ID Microsoft Entra dan menampilkan tren dalam postur keamanan Anda dibandingkan dengan garis besar Anda. Anda juga dapat menggunakan analitik untuk menilai dan mencari pola atau ancaman di seluruh ID Microsoft Entra.

• Microsoft Entra ID Protection menganalisis rincian masuk dan sumber telemetri lainnya untuk perilaku berisiko
  • Perlindungan ID menetapkan skor risiko untuk peristiwa masuk
  • Mencegah masuk, atau memaksa autentikasi peningkatan, untuk mengakses sumber daya atau aplikasi berdasarkan skor risiko
  • Lihat, Apa itu Perlindungan ID?
• Laporan penggunaan dan wawasan Microsoft Entra memiliki informasi yang mirip dengan buku kerja Azure Sentinel, termasuk aplikasi dengan tren penggunaan atau masuk tertinggi.
  • Menggunakan laporan untuk memahami tren agregat yang mungkin menunjukkan serangan atau peristiwa lainnya
  • Lihat, Penggunaan, dan wawasan di ID Microsoft Entra
• Microsoft Sentinel menganalisis informasi dari ID Microsoft Entra:
  • Analitik Perilaku Pengguna dan Entitas Microsoft Sentinel (UEBA) memberikan kecerdasan tentang potensi ancaman dari pengguna, host, alamat IP, dan entitas aplikasi.
  • Gunakan templat aturan analitik untuk berburu ancaman dan pemberitahuan di log Microsoft Entra Anda. Analis keamanan atau operasi Anda dapat melakukan triase dan memulihkan ancaman.
  • Buku kerja Microsoft Azure Sentinel membantu memvisualisasikan sumber data Microsoft Entra. Lihat rincian masuk menurut negara/wilayah atau aplikasi.
  • Lihat, Buku kerja Microsoft Azure Sentinel yang umum digunakan
  • Lihat, Memvisualisasikan data yang dikumpulkan
  • Lihat, Mengidentifikasi ancaman tingkat lanjut dengan UEBA di Microsoft Azure Sentinel

Otomatisasi dan orkestrasi

Automation di Zero Trust membantu memulihkan pemberitahuan karena ancaman atau perubahan keamanan. Di ID Microsoft Entra, integrasi otomatisasi membantu mengklarifikasi tindakan untuk meningkatkan postur keamanan Anda. Otomatisasi didasarkan pada informasi yang diterima dari pemantauan dan analitik.

Gunakan panggilan REST Microsoft Graph API untuk mengakses MICROSOFT Entra ID secara terprogram. Akses ini memerlukan identitas Microsoft Entra dengan otorisasi dan cakupan. Dengan Graph API, integrasikan alat lain.

Sebaiknya Siapkan fungsi Azure atau aplikasi logika Azure untuk menggunakan identitas terkelola yang ditetapkan sistem. Aplikasi logika atau fungsi memiliki langkah atau kode untuk mengotomatiskan tindakan. Tetapkan izin ke identitas terkelola untuk memberikan izin direktori perwakilan layanan untuk melakukan tindakan. Memberikan hak minimum identitas terkelola.

Pelajari selengkapnya: Apa itu identitas terkelola untuk sumber daya Azure?

Titik integrasi otomatisasi lainnya adalah modul Microsoft Graph PowerShell. Gunakan Microsoft Graph PowerShell untuk melakukan tugas atau konfigurasi umum di ID Microsoft Entra, atau menggabungkan ke dalam fungsi Azure atau runbook Azure Automation.

Pemerintahan

Dokumentasikan proses Anda untuk mengoperasikan lingkungan Microsoft Entra. Gunakan fitur Microsoft Entra untuk fungsionalitas tata kelola yang diterapkan ke cakupan di ID Microsoft Entra.

Pelajari lebih lanjut:

• panduan referensi operasi Tata Kelola ID Microsoft Entra
• Panduan operasi keamanan Microsoft Entra
• Apa itu Tata Kelola ID Microsoft Entra?
• Memenuhi persyaratan otorisasi memorandum 22-09.

Langkah berikutnya

• Memenuhi persyaratan identitas memorandum 22-09 dengan ID Microsoft Entra
• Sistem manajemen identitas di seluruh perusahaan
• Memenuhi persyaratan autentikasi multifaktor memorandum 22-09
• Memenuhi persyaratan otorisasi memorandum 22-09
• Mengamankan identitas dengan Zero Trust