Monitorare le architetture di sicurezza TIC 3.0 (Zero Trust) con Microsoft Sentinel

Zero Trust è una strategia di sicurezza per la progettazione e l'implementazione dei seguenti set di principi di sicurezza:

Verificare esplicita	Uso dell'accesso con privilegi minimi	Presunzione di violazione
Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.	Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.	Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Questo articolo descrive come usare la soluzione Microsoft Sentinel Zero Trust (TIC 3.0), che consente ai team di governance e conformità di monitorare e rispondere ai requisiti zero trust in base all'iniziativa TRUSTED INTERNET CONNECTIONS (TIC) 3.0 .

Le soluzioni di Microsoft Sentinel sono set di contenuti in bundle, preconfigurati per un set specifico di dati. La soluzione Zero Trust (TIC 3.0) include una cartella di lavoro, regole di analisi e un playbook, che fornisce una visualizzazione automatizzata dei principi Zero Trust, incrociata al framework Trust Internet Connessione ions, aiutando le organizzazioni a monitorare le configurazioni nel tempo.

Nota

Ottenere una panoramica completa dello stato zero trust dell'organizzazione con l'iniziativa Zero Trust in Microsoft Exposure Management. Per altre informazioni, vedere Modernizzare rapidamente il comportamento di sicurezza per Zero Trust | Microsoft Learn.

La soluzione Zero Trust e il framework TIC 3.0

Zero Trust e TIC 3.0 non sono uguali, ma condividono molti temi comuni e insieme forniscono una storia comune. La soluzione Microsoft Sentinel per Zero Trust (TIC 3.0) offre attraversamenti dettagliati tra Microsoft Sentinel e il modello Zero Trust con il framework TIC 3.0. Questi attraversamenti consentono agli utenti di comprendere meglio le sovrapposizioni tra i due.

Anche se la soluzione Microsoft Sentinel per Zero Trust (TIC 3.0) fornisce indicazioni sulle procedure consigliate, Microsoft non garantisce né implica la conformità. Tutti i requisiti, le convalide e i controlli TIC (Trusted Internet Connessione ion) sono regolati dall'Agenzia di sicurezza informatica e infrastruttura.

La soluzione Zero Trust (TIC 3.0) offre visibilità e consapevolezza della situazione per i requisiti di controllo forniti con le tecnologie Microsoft in ambienti prevalentemente basati sul cloud. L'esperienza del cliente varia in base all'utente e alcuni riquadri possono richiedere configurazioni aggiuntive e modifiche alle query per l'operazione.

Consigli non implicano la copertura dei rispettivi controlli, poiché spesso sono uno dei diversi corsi di azione per affrontare i requisiti, che è univoco per ogni cliente. Consigli deve essere considerato un punto di partenza per la pianificazione completa o parziale dei rispettivi requisiti di controllo.

La soluzione Microsoft Sentinel per Zero Trust (TIC 3.0) è utile per uno degli utenti e dei casi d'uso seguenti:

• Governance della sicurezza, rischi e professionisti della conformità, per la valutazione e la creazione di report relativi al comportamento di conformità
• Ingegneri e architetti, che devono progettare carichi di lavoro allineati a Zero Trust e TIC 3.0
• Analisti della sicurezza, per la creazione di avvisi e automazione
• Provider di servizi di sicurezza gestiti (MSSP) per servizi di consulenza
• Responsabili della sicurezza, che devono esaminare i requisiti, analizzare i report, valutare le funzionalità

Prerequisiti

Prima di installare la soluzione Zero Trust (TIC 3.0), assicurarsi di disporre dei prerequisiti seguenti:

• Onboarding servizi Microsoft: assicurarsi di avere sia Microsoft Sentinelche Microsoft Defender per il cloud abilitato nella sottoscrizione di Azure.

• requisiti Microsoft Defender per il cloud: in Microsoft Defender per il cloud:

  • Aggiungere gli standard normativi necessari al dashboard. Assicurarsi di aggiungere le valutazioni di Azure Security Benchmark e NIST SP 800-53 R5 al dashboard di Microsoft Defender per il cloud. Per altre informazioni, vedere Aggiungere uno standard normativo al dashboard nella documentazione di Microsoft Defender per il cloud.

  • Esportare continuamente i dati Microsoft Defender per il cloud nell'area di lavoro Log Analytics. Per altre informazioni, vedere Esportazione continua Microsoft Defender per il cloud dati.

• Autorizzazioni utente necessarie. Per installare la soluzione Zero Trust (TIC 3.0), è necessario avere accesso all'area di lavoro di Microsoft Sentinel con autorizzazioni di lettura per la sicurezza .

La soluzione Zero Trust (TIC 3.0) è migliorata anche dalle integrazioni con altri servizi Microsoft, ad esempio:

• Microsoft Defender XDR
• Microsoft Information Protection
• Microsoft Entra ID
• Microsoft Defender per il cloud
• Microsoft Defender per endpoint
• Microsoft Defender per identità
• Microsoft Defender for Cloud Apps
• Microsoft Defender per Office 365

Installare la soluzione Zero Trust (TIC 3.0)

Per distribuire la soluzione Zero Trust (TIC 3.0) dal portale di Azure:

1. In Microsoft Sentinel selezionare Hub contenuto e individuare la soluzione Zero Trust (TIC 3.0).

2. In basso a destra selezionare Visualizza dettagli e quindi Crea. Selezionare la sottoscrizione, il gruppo di risorse e l'area di lavoro in cui si vuole installare la soluzione e quindi esaminare il contenuto di sicurezza correlato che verrà distribuito.

   Al termine, selezionare Rivedi e crea per installare la soluzione.

Per altre informazioni, vedere Distribuire contenuti e soluzioni predefiniti.

Scenario di utilizzo di esempio

Le sezioni seguenti illustrano come un analista delle operazioni di sicurezza potrebbe usare le risorse distribuite con la soluzione Zero Trust (TIC 3.0) per esaminare i requisiti, esplorare le query, configurare gli avvisi e implementare l'automazione.

Dopo aver installato la soluzione Zero Trust (TIC 3.0), usare la cartella di lavoro, le regole di analisi e il playbook distribuiti nell'area di lavoro di Microsoft Sentinel per gestire Zero Trust nella rete.

Visualizzare i dati zero trust

1. Passare alla cartella di lavoro di Microsoft Sentinel Workbooks>Zero Trust (TIC 3.0) e selezionare Visualizza cartella di lavoro salvata.

   Nella pagina della cartella di lavoro Zero Trust (TIC 3.0) selezionare le funzionalità TIC 3.0 da visualizzare. Per questa procedura, selezionare Rilevamento intrusioni.

   Suggerimento

   Usare l'interruttore Guida nella parte superiore della pagina per visualizzare o nascondere le raccomandazioni e i riquadri delle guide. Assicurarsi che i dettagli corretti siano selezionati nelle opzioni Sottoscrizione, Area di lavoro e Intervallo di tempo in modo che sia possibile visualizzare i dati specifici che si desidera trovare.

2. Selezionare le schede di controllo da visualizzare. Per questa procedura, selezionare Controllo di accesso adattivo e quindi continuare lo scorrimento per visualizzare la scheda visualizzata.

   

   Suggerimento

   Usare l'interruttore Guide in alto a sinistra per visualizzare o nascondere le raccomandazioni e i riquadri delle guide. Ad esempio, questi possono essere utili quando si accede per la prima volta alla cartella di lavoro, ma non è necessario dopo aver compreso i concetti pertinenti.

3. Esplorare le query. Ad esempio, nella parte superiore destra della scheda Adaptive Controllo di accesso selezionare il menu Opzioni a tre punti e quindi selezionare Apri l'ultima query di esecuzione nella visualizzazione Log.

   La query viene aperta nella pagina Log di Microsoft Sentinel:

   

Configurare avvisi correlati a Zero Trust

In Microsoft Sentinel passare all'area Analisi . Visualizzare le regole di analisi predefinite distribuite con la soluzione Zero Trust (TIC 3.0) cercando TIC3.0.

Per impostazione predefinita, la soluzione Zero Trust (TIC 3.0) installa un set di regole di analisi configurate per monitorare il comportamento zero trust (TIC3.0) in base alla famiglia di controlli ed è possibile personalizzare le soglie per avvisare i team di conformità ai cambiamenti di comportamento.

Ad esempio, se il comportamento di resilienza del carico di lavoro scende al di sotto di una percentuale specificata in una settimana, Microsoft Sentinel genererà un avviso per dettagliare il rispettivo stato dei criteri (passaggio/esito negativo), gli asset identificati, l'ora dell'ultima valutazione e fornire collegamenti diretti alle Microsoft Defender per il cloud per le azioni di correzione.

Aggiornare le regole in base alle esigenze o configurare una nuova:

Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.

Rispondere con SOAR

In Microsoft Sentinel passare alla scheda Playbook attivi di Automazione>e individuare il playbook Notify-GovernanceComplianceTeam.

Usare questo playbook per monitorare automaticamente gli avvisi cmmc e notificare al team di conformità della governance i dettagli pertinenti tramite posta elettronica e messaggi di Microsoft Teams. Modificare il playbook in base alle esigenze:

Per altre informazioni, vedere Usare trigger e azioni nei playbook di Microsoft Sentinel.

Domande frequenti

Sono supportate visualizzazioni e report personalizzati?

Sì. È possibile personalizzare la cartella di lavoro zero trust (TIC 3.0) per visualizzare i dati in base a sottoscrizione, area di lavoro, tempo, famiglia di controllo o parametri a livello di maturità ed è possibile esportare e stampare la cartella di lavoro.

Per altre informazioni, vedere Usare le cartelle di lavoro di Monitoraggio di Azure per visualizzare e monitorare i dati.

Sono necessari prodotti aggiuntivi?

Sono necessari sia Microsoft Sentinel che Microsoft Defender per il cloud.

Oltre a questi servizi, ogni scheda di controllo si basa sui dati di più servizi, a seconda dei tipi di dati e visualizzazioni visualizzati nella scheda. Oltre 25 servizi Microsoft fornire arricchimento per la soluzione Zero Trust (TIC 3.0).

Cosa devo fare con i pannelli senza dati?

I pannelli senza dati forniscono un punto di partenza per affrontare i requisiti di controllo Zero Trust e TIC 3.0, inclusi i consigli per affrontare i rispettivi controlli.

Sono supportate più sottoscrizioni, cloud e tenant?

Sì. È possibile usare i parametri della cartella di lavoro, Azure Lighthouse e Azure Arc per sfruttare la soluzione Zero Trust (TIC 3.0) in tutte le sottoscrizioni, i cloud e i tenant.

Per altre informazioni, vedere Usare cartelle di lavoro di Monitoraggio di Azure per visualizzare e monitorare i dati e Gestire più tenant in Microsoft Sentinel come MSSP.

L'integrazione dei partner è supportata?

Sì. Sia le cartelle di lavoro che le regole di analisi sono personalizzabili per le integrazioni con i servizi partner.

Per altre informazioni, vedere Usare le cartelle di lavoro di Monitoraggio di Azure per visualizzare e monitorare i dati e i dettagli degli eventi personalizzati di Surface negli avvisi.

È disponibile nelle aree governative?

Sì. La soluzione Zero Trust (TIC 3.0) è disponibile in anteprima pubblica e distribuibile nelle aree commerciali/governative. Per altre informazioni, vedere Disponibilità delle funzionalità cloud per i clienti commerciali e us government.

Quali autorizzazioni sono necessarie per usare questo contenuto?

• Gli utenti collaboratori di Microsoft Sentinel possono creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel.

• Gli utenti con autorizzazioni di lettura di Microsoft Sentinel possono visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel.

Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.

Passaggi successivi

Per altre informazioni, vedi:

• Introduzione a Microsoft Sentinel
• Visualizzare e monitorare i dati con cartelle di lavoro
• Modello Microsoft Zero Trust
• Centro distribuzione Zero Trust

Guarda i nostri video:

• Demo: Soluzione Microsoft Sentinel Zero Trust (TIC 3.0)
• Demo della cartella di lavoro di Microsoft Sentinel: Zero Trust (TIC 3.0)

Leggi i nostri blog!

• Annuncio della soluzione Microsoft Sentinel: Zero Trust (TIC3.0)
• Compilazione e monitoraggio di carichi di lavoro Zero Trust (TIC 3.0) per i sistemi informativi federali con Microsoft Sentinel
• Zero Trust: 7 strategie di adozione da parte dei leader della sicurezza
• Implementazione di Zero Trust con Microsoft Azure: Gestione delle identità e degli accessi (serie 6 parti)