Persyaratan MICROSOFT Entra ID dan PCI-DSS 10
Persyaratan 10: Log dan Pantau Semua Akses ke Komponen Sistem dan Persyaratan Pendekatan yang Ditentukan Data
Pemegang Kartu
10.1 Proses dan mekanisme untuk pengelogan dan pemantauan semua akses ke komponen sistem dan data pemegang kartu ditentukan dan didokumenkan.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.1.1 Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 10 adalah: Didokumentasikan Tetap diperbarui Dalam penggunaan Diketahui oleh semua pihak yang terkena dampak |
Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
| 10.1.2 Peran dan tanggung jawab untuk melakukan aktivitas dalam Persyaratan 10 didokumentasikan, ditetapkan, dan dipahami. | Gunakan panduan dan tautan di sini untuk menghasilkan dokumentasi untuk memenuhi persyaratan berdasarkan konfigurasi lingkungan Anda. |
10.2 Log audit diimplementasikan untuk mendukung deteksi anomali dan aktivitas yang mencurigakan, dan analisis forensik peristiwa.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.2.1 Log audit diaktifkan dan aktif untuk semua komponen sistem dan data pemegang kartu. | Arsipkan log audit Microsoft Entra untuk mendapatkan perubahan pada kebijakan keamanan dan konfigurasi penyewa Microsoft Entra. Arsipkan log aktivitas Microsoft Entra dalam sistem informasi keamanan dan manajemen peristiwa (SIEM) untuk mempelajari tentang penggunaan. Log aktivitas Microsoft Entra di Azure Monitor |
| 10.2.1.1 Log audit menangkap semua akses pengguna individual ke data pemegang kartu. | Tidak berlaku untuk ID Microsoft Entra. |
| 10.2.1.2 Log audit menangkap semua tindakan yang diambil oleh individu mana pun dengan akses administratif, termasuk penggunaan interaktif akun aplikasi atau sistem. | Tidak berlaku untuk ID Microsoft Entra. |
| 10.2.1.3 Log audit menangkap semua akses ke log audit. | Di MICROSOFT Entra ID, Anda tidak dapat menghapus atau mengubah log. Pengguna istimewa dapat mengkueri log dari ID Microsoft Entra. Peran dengan hak istimewa paling sedikit berdasarkan tugas di MICROSOFT Entra ID Saat log audit diekspor ke sistem seperti Ruang Kerja Azure Log Analytics, akun penyimpanan, atau sistem SIEM pihak ketiga, pantau untuk akses. |
| 10.2.1.4 Log audit menangkap semua upaya akses logis yang tidak valid. | MICROSOFT Entra ID menghasilkan log aktivitas saat pengguna mencoba masuk dengan kredensial yang tidak valid. Ini menghasilkan log aktivitas ketika akses ditolak karena kebijakan Akses Bersyar. |
| 10.2.1.5 Log audit menangkap semua perubahan pada kredensial identifikasi dan autentikasi termasuk, tetapi tidak terbatas pada: Pembuatan akun baru Elevasi hak istimewa Semua perubahan, penambahan, atau penghapusan ke akun dengan akses administratif |
MICROSOFT Entra ID menghasilkan log audit untuk peristiwa dalam persyaratan ini. |
| 10.2.1.6 Log audit menangkap yang berikut: Semua inisialisasi log audit baru, dan Semua memulai, menghentikan, atau menjeda log audit yang ada. |
Tidak berlaku untuk ID Microsoft Entra. |
| 10.2.1.7 Log audit menangkap semua pembuatan dan penghapusan objek tingkat sistem. | MICROSOFT Entra ID menghasilkan log audit untuk peristiwa dalam persyaratan ini. |
| 10.2.2 Log audit mencatat detail berikut untuk setiap peristiwa yang dapat diaudit: Identifikasi pengguna. Jenis peristiwa. Tanggal dan waktu. Indikasi keberhasilan dan kegagalan. Asal-usul peristiwa. Identitas atau nama data, komponen sistem, sumber daya, atau layanan yang terpengaruh (misalnya, nama dan protokol). |
Lihat, Log audit di ID Microsoft Entra |
10.3 Log audit dilindungi dari penghancuran dan modifikasi yang tidak sah.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.3.1 Akses baca ke file log audit terbatas pada file yang memiliki kebutuhan terkait pekerjaan. | Pengguna istimewa dapat mengkueri log dari ID Microsoft Entra. Peran istimewa paling rendah berdasarkan tugas di Microsoft Entra ID |
| 10.3.2 File log audit dilindungi untuk mencegah modifikasi oleh individu. | Di MICROSOFT Entra ID, Anda tidak dapat menghapus atau mengubah log. Saat log audit diekspor ke sistem seperti Ruang Kerja Analitik Log Azure, akun penyimpanan, atau sistem SIEM pihak ketiga, pantau untuk akses. |
| 10.3.3 File log audit, termasuk untuk teknologi yang menghadap eksternal, segera dicadangkan ke server log internal yang aman, terpusat, atau media lain yang sulit dimodifikasi. | Di MICROSOFT Entra ID, Anda tidak dapat menghapus atau mengubah log. Saat log audit diekspor ke sistem seperti Ruang Kerja Analitik Log Azure, akun penyimpanan, atau sistem SIEM pihak ketiga, pantau untuk akses. |
| 10.3.4 Pemantauan integritas file atau mekanisme deteksi perubahan digunakan pada log audit untuk memastikan bahwa data log yang ada tidak dapat diubah tanpa menghasilkan pemberitahuan. | Di MICROSOFT Entra ID, Anda tidak dapat menghapus atau mengubah log. Saat log audit diekspor ke sistem seperti Ruang Kerja Analitik Log Azure, akun penyimpanan, atau sistem SIEM pihak ketiga, pantau untuk akses. |
10.4 Log audit ditinjau untuk mengidentifikasi anomali atau aktivitas yang mencurigakan.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.4.1 Log audit berikut ditinjau setidaknya sekali setiap hari: Semua peristiwa keamanan. Log semua komponen sistem yang menyimpan, memproses, atau mengirimkan data pemegang kartu (CHD) dan/atau data autentikasi sensitif (SAD). Log semua komponen sistem penting. Log semua server dan komponen sistem yang melakukan fungsi keamanan (misalnya, kontrol keamanan jaringan, sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS), server autentikasi). |
Sertakan log Microsoft Entra dalam proses ini. |
| 10.4.1.1 Mekanisme otomatis digunakan untuk melakukan tinjauan log audit. | Sertakan log Microsoft Entra dalam proses ini. Konfigurasikan tindakan dan pemberitahuan otomatis saat log Microsoft Entra terintegrasi dengan Azure Monitor. Menyebarkan Azure Monitor: Pemberitahuan dan tindakan otomatis |
| 10.4.2 Log semua komponen sistem lainnya (yang tidak ditentukan dalam Persyaratan 10.4.1) ditinjau secara berkala. | Tidak berlaku untuk ID Microsoft Entra. |
| 10.4.2.1 Frekuensi tinjauan log berkala untuk semua komponen sistem lainnya (tidak ditentukan dalam Persyaratan 10.4.1) didefinisikan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen yang ditentukan dalam Persyaratan 12.3.1 | Tidak berlaku untuk ID Microsoft Entra. |
| 10.4.3 Pengecualian dan anomali yang diidentifikasi selama proses peninjauan ditangani. | Tidak berlaku untuk ID Microsoft Entra. |
10.5 Riwayat log audit dipertahankan dan tersedia untuk analisis.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.5.1 Menyimpan riwayat log audit setidaknya selama 12 bulan, dengan setidaknya tiga bulan terakhir segera tersedia untuk analisis. | Integrasikan dengan Azure Monitor dan ekspor log untuk pengarsipan jangka panjang. Integrasikan log Microsoft Entra dengan log Azure Monitor Pelajari tentang kebijakan penyimpanan data log Microsoft Entra. Retensi data Microsoft Entra |
10.6 Mekanisme sinkronisasi waktu mendukung pengaturan waktu yang konsisten di semua sistem.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.6.1 Jam dan waktu sistem disinkronkan menggunakan teknologi sinkronisasi waktu. | Pelajari tentang mekanisme sinkronisasi waktu di layanan Azure. Sinkronisasi waktu untuk layanan keuangan di Azure |
| 10.6.2 Sistem dikonfigurasi ke waktu yang benar dan konsisten sebagai berikut: Satu atau beberapa server waktu yang ditunjuk sedang digunakan. Hanya server waktu pusat yang ditunjuk yang menerima waktu dari sumber eksternal. Waktu yang diterima dari sumber eksternal didasarkan pada Waktu Atom Internasional atau Waktu Universal Terkoordinasi (UTC). Server waktu yang ditunjuk hanya menerima pembaruan waktu dari sumber eksternal tertentu yang diterima industri. Di mana ada lebih dari satu server waktu yang ditunjuk, server waktu serekan satu sama lain untuk menjaga waktu yang akurat. Sistem internal hanya menerima informasi waktu dari server waktu pusat yang ditunjuk. |
Pelajari tentang mekanisme sinkronisasi waktu di layanan Azure. Sinkronisasi waktu untuk layanan keuangan di Azure |
| 10.6.3 Pengaturan dan data sinkronisasi waktu dilindungi sebagai berikut: Akses ke data waktu dibatasi hanya untuk personel dengan kebutuhan bisnis. Setiap perubahan pengaturan waktu pada sistem penting dicatat, dipantau, dan ditinjau. |
MICROSOFT Entra ID bergantung pada mekanisme sinkronisasi waktu di Azure. Prosedur Azure menyinkronkan server dan perangkat jaringan dengan server NTP Stratum 1 kali yang disinkronkan ke satelit global positioning system (GPS). Sinkronisasi terjadi setiap lima menit. Azure memastikan waktu sinkronisasi host layanan. Sinkronisasi waktu untuk layanan keuangan di komponen Azure Hybrid di ID Microsoft Entra, seperti server Microsoft Entra Connect, berinteraksi dengan infrastruktur lokal. Pelanggan memiliki sinkronisasi waktu server lokal. |
10.7 Kegagalan sistem kontrol keamanan penting terdeteksi, dilaporkan, dan segera direspons.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 10.7.2 Persyaratan tambahan hanya untuk penyedia layanan: Kegagalan sistem kontrol keamanan penting terdeteksi, diperingatkan, dan segera ditangani, termasuk tetapi tidak terbatas pada kegagalan sistem kontrol keamanan penting berikut: Kontrol keamanan jaringan IDS/IPS File integrity monitoring (FIM) Solusi anti-malware Kontrol akses fisik Kontrol akses logis Kontrol mekanisme pengelogan audit Kontrol segmentasi (jika digunakan) |
MICROSOFT Entra ID bergantung pada mekanisme sinkronisasi waktu di Azure. Azure mendukung analisis peristiwa real time di lingkungan operasionalnya. Sistem infrastruktur Azure internal menghasilkan pemberitahuan peristiwa mendekati real-time tentang potensi kompromi. |
| 10.7.2 Kegagalan sistem kontrol keamanan penting terdeteksi, diperingatkan, dan segera ditangani, termasuk tetapi tidak terbatas pada kegagalan sistem kontrol keamanan penting berikut: Kontrol keamanan jaringan IDS/MEKANISME deteksi perubahan IP Solusi anti-malware Akses fisik mengontrol Kontrol akses logis Mekanisme pencatatan audit Kontrol segmentasi (jika digunakan) Mekanisme peninjauan log audit Alat pengujian keamanan otomatis (jika digunakan) |
Lihat, panduan operasi keamanan Microsoft Entra |
| 10.7.3 Kegagalan sistem kontrol keamanan penting segera direspons, termasuk tetapi tidak terbatas pada: Memulihkan fungsi keamanan. Mengidentifikasi dan mendokumentasikan durasi (tanggal dan waktu dari awal hingga akhir) kegagalan keamanan. Mengidentifikasi dan mendokumentasikan penyebab kegagalan dan mendokumentasikan remediasi yang diperlukan. Mengidentifikasi dan mengatasi masalah keamanan apa pun yang muncul selama kegagalan. Menentukan apakah tindakan lebih lanjut diperlukan sebagai akibat dari kegagalan keamanan. Menerapkan kontrol untuk mencegah penyebab kegagalan terulang kembali. Terus memantau kontrol keamanan. |
Lihat, panduan operasi keamanan Microsoft Entra |
Langkah berikutnya
Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak berlaku untuk ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.
Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.
- Panduan Microsoft Entra PCI-DSS
- Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
- Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
- Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
- Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak yang Aman
- Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui
- Persyaratan 8: Mengidentifikasi Pengguna dan Mengautentikasi Akses ke Komponen Sistem
- Persyaratan 10: Catat dan Pantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu (Anda di sini)
- Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur
- Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS