Condividi tramite

Configurare controlli aggiuntivi per soddisfare il livello di impatto elevato di FedRAMP

  • Articolo

L'elenco seguente di controlli (e miglioramenti del controllo) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.

Ogni riga nelle tabelle seguenti fornisce indicazioni prescrittive. Queste indicazioni consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise relative al controllo o al miglioramento del controllo.

Controllo e responsabilità

Le indicazioni contenute nella tabella seguente riguardano:

  • Eventi di controllo AU-2
  • AU-3 Contenuto del controllo
  • REVISIONE, analisi e creazione di report di controllo AU-6
ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
AU-2 Audit Events
L'organizzazione:
(a.) Determina che il sistema informativo è in grado di controllare gli eventi seguenti: [Assegnazione FedRAMP: [Eventi di accesso degli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni dei privilegi, rilevamento dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività di amministratore, i controlli di autenticazione, i controlli di autorizzazione, le eliminazioni dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni];
(b.) Coordina la funzione di controllo di sicurezza con altre entità organizzative che richiedono informazioni correlate al controllo per migliorare il supporto reciproco e per guidare la selezione di eventi controllabili;
(c.) Fornisce una logica per il motivo per cui gli eventi controllabili sono considerati adeguati per supportare le indagini after-the-fact degli incidenti di sicurezza; E
(d.) Determina che gli eventi seguenti devono essere controllati nel sistema informativo: [Assegnazione FedRAMP: subset definito dall'organizzazione degli eventi controllabili definiti in AU-2 a. da controllare continuamente per ogni evento identificato].

Au-2 Requisiti e linee guida aggiuntivi di FedRAMP:
Requisito: il coordinamento tra provider di servizi e consumer deve essere documentato e accettato dal JAB/AO.

AU-3 Content and Audit Records
Il sistema informativo genera record di controllo contenenti informazioni che stabiliscono il tipo di evento che si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, il risultato dell'evento e l'identità di qualsiasi persona o soggetto associato all'evento.

AU-3(1)
Il sistema informativo genera record di controllo contenenti le informazioni aggiuntive seguenti: [Assegnazione FedRAMP: informazioni aggiuntive e più dettagliate definite dall'organizzazione].

AU-3 (1) Requisiti e indicazioni aggiuntivi di FedRAMP:
Requisito: il provider di servizi definisce i tipi di record di controllo [Assegnazione FedRAMP: sessione, connessione, transazione o durata dell'attività; per le transazioni client-server, il numero di byte ricevuti e byte inviati; messaggi informativi aggiuntivi per diagnosticare o identificare l'evento; caratteristiche che descrivono o identificano l'oggetto o la risorsa su cui viene eseguito l'azione; singole identità degli utenti dell'account del gruppo; full-text dei comandi con privilegi]. I tipi di record di controllo vengono approvati e accettati da JAB/AO.
Indicazioni: per le transazioni client-server, il numero di byte inviati e ricevuti fornisce informazioni di trasferimento bidirezionali che possono essere utili durante un'indagine o una richiesta.

AU-3(2)
Il sistema informativo fornisce gestione centralizzata e configurazione del contenuto da acquisire nei record di controllo generati da [Assegnazione FedRAMP: tutti i dispositivi di rete, archiviazione dei dati e calcolo].		 Verificare che il sistema sia in grado di controllare gli eventi definiti in AU-2 Part a. Coordinarsi con altre entità all'interno del subset di eventi controllabili dell'organizzazione per supportare le indagini successive al fatto. Implementare la gestione centralizzata dei record di controllo.

Tutte le operazioni del ciclo di vita dell'account (creazione, modifica, abilitazione, disabilitazione e rimozione di azioni) vengono controllate all'interno dei log di controllo di Microsoft Entra. Tutti gli eventi di autenticazione e autorizzazione vengono controllati nei log di accesso di Microsoft Entra e tutti i rischi rilevati vengono controllati nei log di Identity Protection. È possibile trasmettere ognuno di questi log direttamente in una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel. In alternativa, usare Hub eventi di Azure per integrare i log con soluzioni SIEM di terze parti.

Eventi di controllo

  • Report sulle attività di controllo nell'interfaccia di amministrazione di Microsoft Entra
  • Report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra
  • Procedura: Analizzare i rischi

    Integrazioni SIEM

  • Microsoft Sentinel: Connessione dati da Microsoft Entra ID
  • Trasmettere all'hub eventi di Azure e ad altri SIEM
    		•
    AU-6 Audit Review, Analysis, and Reporting
    L'organizzazione:
    (a.) Esamina e analizza i record di controllo del sistema informativo [assegnazione FedRAMP: almeno settimanale] per indicazioni di [assegnazione: attività inappropriata o insolita definita dall'organizzazione]; e
    (b.) Segnala i risultati a [assegnazione: personale o ruoli definiti dall'organizzazione].
    AU-6 Requisiti e linee guida aggiuntivi di FedRAMP:
    Requisito: il coordinamento tra provider di servizi e consumer deve essere documentato e accettato dal funzionario di autorizzazione. Negli ambienti multi-tenant, le funzionalità e i mezzi per fornire revisioni, analisi e report ai consumer per i dati relativi ai consumer devono essere documentati.

    AU-6(1)
    L'organizzazione usa meccanismi automatizzati per integrare processi di revisione, analisi e creazione di report di controllo per supportare i processi organizzativi per l'analisi e la risposta ad attività sospette.

    AU-6(3)
    L'organizzazione analizza e mette in correlazione i record di controllo in repository diversi per acquisire consapevolezza della situazione a livello di organizzazione.

    AU-6(4)
    Il sistema informativo offre la possibilità di esaminare e analizzare centralmente i record di controllo da più componenti all'interno del sistema.

    AU-6(5)
    L'organizzazione integra l'analisi dei record di controllo con l'analisi di [FedRAMP Selection (una o più): informazioni di analisi delle vulnerabilità, dati sulle prestazioni; informazioni di monitoraggio del sistema informativo; dati di test di penetrazione; [Assegnazione: dati/informazioni definiti dall'organizzazione raccolti da altre origini]] per migliorare ulteriormente la capacità di identificare attività inappropriate o insolite.

    AU-6(6)
    L'organizzazione correla le informazioni dai record di controllo con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.
    AU-6 Requisiti e linee guida aggiuntivi di FedRAMP:
    Requisito: il coordinamento tra provider di servizi e consumer deve essere documentato e accettato dal JAB/AO.

    AU-6(7)
    L'organizzazione specifica le azioni consentite per ogni [Selezione FedRAMP (una o più): processo del sistema informativo, ruolo; utente] associato alla revisione, all'analisi e alla creazione di report delle informazioni di controllo.

    AU-6(10)
    L'organizzazione regola il livello di revisione, analisi e report di controllo all'interno del sistema informativo quando si verifica un cambiamento del rischio in base alle informazioni sulle forze dell'ordine, sulle informazioni di intelligence o su altre fonti credibili di informazioni.    		 Esaminare e analizzare i record di controllo almeno una volta alla settimana per identificare attività inappropriate o insolite e segnalare i risultati al personale appropriato.

    Le indicazioni precedenti fornite per AU-02 e AU-03 consentono la revisione settimanale dei record di controllo e la segnalazione al personale appropriato. Non è possibile soddisfare questi requisiti usando solo Microsoft Entra ID. È anche necessario usare una soluzione SIEM, ad esempio Microsoft Sentinel. Per altre informazioni, vedere Che cos'è Microsoft Sentinel?.

    Risposta agli eventi imprevisti

    Le indicazioni contenute nella tabella seguente riguardano:

    • Gestione degli eventi imprevisti ir-4

    • Monitoraggio degli eventi imprevisti ir-5

    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    Gestione degli eventi imprevisti ir-4
    L'organizzazione:
    (a.) Implementa una funzionalità di gestione degli eventi imprevisti per gli eventi imprevisti di sicurezza che include preparazione, rilevamento e analisi, contenimento, eliminazione e ripristino;
    (b.) Coordina le attività di gestione degli eventi imprevisti con le attività di pianificazione dell'emergenza; E
    (c.) Incorpora le lezioni apprese dalle attività di gestione degli eventi imprevisti in corso in procedure di risposta agli eventi imprevisti, formazione e test/esercizi e implementa le modifiche risultanti di conseguenza.
    Requisiti e indicazioni aggiuntivi di FedRAMP ir-4:
    Requisito: il provider di servizi garantisce che i singoli utenti che eseguono la gestione degli eventi imprevisti soddisfino i requisiti di sicurezza del personale in base alla criticità o alla riservatezza delle informazioni elaborate, archiviate e trasmesse dal sistema informativo.

    IR-04(1)
    L'organizzazione usa meccanismi automatizzati per supportare il processo di gestione degli eventi imprevisti.

    IR-04(2)
    L'organizzazione include la riconfigurazione dinamica di [Assegnazione FedRAMP: tutti i dispositivi di rete, archiviazione dati e elaborazione] come parte della funzionalità di risposta agli eventi imprevisti.

    IR-04(3)
    L'organizzazione identifica [assegnazione: classi di eventi imprevisti definite dall'organizzazione] e [assegnazione: azioni definite dall'organizzazione da intraprendere in risposta alle classi di eventi imprevisti] per garantire la continuazione delle missioni organizzative e delle funzioni aziendali.

    IR-04(4)
    L'organizzazione correla le informazioni sugli eventi imprevisti e le risposte individuali agli eventi imprevisti per ottenere una prospettiva a livello di organizzazione sulla consapevolezza e sulla risposta agli eventi imprevisti.

    IR-04(6)
    L'organizzazione implementa la funzionalità di gestione degli eventi imprevisti per le minacce interne.

    IR-04(8)
    L'organizzazione implementa la funzionalità di gestione degli eventi imprevisti per le minacce interne.
    L'organizzazione si coordina con [Assegnazione FedRAMP: organizzazioni esterne, inclusi i responsabili degli eventi imprevisti degli utenti e i difensori di rete e il team di risposta agli eventi imprevisti appropriati (CIRT)/ Computer Emergency Response Team (CERT) (ad esempio US-CERT, DoD CERT, IC CERT)] per correlare e condividere [assegnazione: informazioni sugli eventi imprevisti definiti dall'organizzazione] per ottenere una prospettiva tra organizzazioni sulla consapevolezza degli eventi imprevisti e risposte agli eventi imprevisti più efficaci.

    Monitoraggio degli eventi imprevisti ir-05
    L'organizzazione tiene traccia e documenta gli eventi imprevisti di sicurezza del sistema informativo.

    IR-05(1)
    L'organizzazione usa meccanismi automatizzati per facilitare il rilevamento degli eventi imprevisti di sicurezza e nella raccolta e nell'analisi delle informazioni sugli eventi imprevisti.    		 Implementare funzionalità di gestione e monitoraggio degli eventi imprevisti. Sono inclusi la gestione automatica degli eventi imprevisti, la riconfigurazione dinamica, la continuità delle operazioni, la correlazione delle informazioni, le minacce Insider, la correlazione con organizzazioni esterne e il monitoraggio degli eventi imprevisti e il rilevamento automatizzato.

    I log di controllo registrano tutte le modifiche alla configurazione. Gli eventi di autenticazione e autorizzazione vengono controllati nei log di accesso e gli eventuali rischi rilevati vengono controllati nei log di Identity Protection. È possibile trasmettere ognuno di questi log direttamente in una soluzione SIEM, ad esempio Microsoft Sentinel. In alternativa, usare Hub eventi di Azure per integrare i log con soluzioni SIEM di terze parti. Automatizzare la riconfigurazione dinamica in base agli eventi nel sistema SIEM usando Microsoft Graph PowerShell.

    Eventi di controllo

  • Report sulle attività di controllo nell'interfaccia di amministrazione di Microsoft Entra
  • Report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra
  • Procedura: Analizzare i rischi

    Integrazioni SIEM

  • Microsoft Sentinel: Connessione dati da Microsoft Entra ID
  • Trasmettere all'hub eventi di Azure e ad altri SIEM
    		•

    Sicurezza del personale

    Le indicazioni contenute nella tabella seguente riguardano:

    • Terminazione del personale PS-4
    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    PS-4
    Terminazione del personale
    L'organizzazione, al termine del contratto di lavoro individuale:
    (a.) Disabilita l'accesso al sistema informativo entro [assegnazione FedRAMP: otto (8) ore];
    (b.) Termina/revoca eventuali autenticatori/credenziali associati all'utente;
    (c.) Esegue colloqui di uscita che includono una discussione su [assegnazione: argomenti sulla sicurezza delle informazioni definiti dall'organizzazione];
    (d.) Recupera tutte le proprietà correlate al sistema informativo dell'organizzazione correlate alla sicurezza;
    (e.) Mantiene l'accesso alle informazioni e ai sistemi informativi dell'organizzazione precedentemente controllati dall'utente terminato; E
    (f.) Notifica [assegnazione: personale o ruoli definiti dall'organizzazione] entro [assegnazione: periodo di tempo definito dall'organizzazione].

    PS-4(2)
    L'organizzazione usa meccanismi automatizzati per notificare [Assegnazione FedRAMP: personale di controllo di accesso responsabile della disabilitazione dell'accesso al sistema] al termine di un singolo utente.    		 Notifica automaticamente al personale responsabile della disabilitazione dell'accesso al sistema.

    Disabilitare gli account e revocare tutti gli autenticatori e le credenziali associati entro 8 ore.

    Configurare il provisioning (inclusa la disabilitazione al termine) degli account in Microsoft Entra ID da sistemi HR esterni, Active Directory locale o direttamente nel cloud. Terminare l'accesso a tutto il sistema revocando le sessioni esistenti.

    Provisioning degli account

  • Vedere indicazioni dettagliate in AC-02.

    Revocare tutti gli autenticatori associati

  • Revocare l'accesso utente in un'emergenza in Microsoft Entra ID
    		•

    Integrità del sistema e delle informazioni

    Le indicazioni contenute nella tabella seguente riguardano:

    • Monitoraggio del sistema informativo SI-4
    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    Monitoraggio del sistema informativo SI-4
    L'organizzazione:
    (a.) Monitora il sistema informativo per rilevare:
    (1.) Attacchi e indicatori di potenziali attacchi in conformità a [assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e
    (2.) Connessioni locali, di rete e remote non autorizzate;
    (b.) Identifica l'uso non autorizzato del sistema informativo tramite [assegnazione: tecniche e metodi definiti dall'organizzazione];
    (c.) Distribuisce i dispositivi di monitoraggio (i) in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in posizioni ad hoc all'interno del sistema per tenere traccia di tipi specifici di transazioni di interesse per l'organizzazione;
    (d.) Protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche ed eliminazioni non autorizzati;
    (e.) Aumenta il livello di attività di monitoraggio del sistema informativo ogni volta che vi è un'indicazione di un maggiore rischio per le operazioni e le risorse dell'organizzazione, individui, altre organizzazioni o la Nazione in base a informazioni sulle forze dell'ordine, informazioni di intelligence o altre fonti credibili di informazioni;
    (f.) Ottiene un parere legale per quanto riguarda le attività di monitoraggio del sistema informativo in conformità alle leggi federali applicabili, ordini esecutivi, direttive, politiche o normative; E
    (d.) Fornisce [assegnazione: informazioni di monitoraggio del sistema informativo definite dall'organizzazione] a [assegnazione: personale o ruoli definiti dall'organizzazione] [Selezione (una o più): in base alle esigenze; [Assegnazione: frequenza definita dall'organizzazione]].
    SI-4 Requisiti e linee guida aggiuntivi per FedRAMP:
    Indicazioni: vedere Linee guida per la segnalazione di risposta agli eventi imprevisti US-CERT.

    SI-04(1)
    L'organizzazione si connette e configura singoli strumenti di rilevamento delle intrusioni in un sistema di rilevamento delle intrusioni a livello di sistema informativo.    		 Implementare il monitoraggio a livello di sistema informativo e il sistema di rilevamento delle intrusioni.

    Includere tutti i log di Microsoft Entra (Audit, Sign-in, Identity Protection) all'interno della soluzione di monitoraggio del sistema informativo.

    Trasmettere i log di Microsoft Entra a una soluzione SIEM (vedere IA-04).                                                                              

    Passaggi successivi

    Configurare i controlli di accesso

    Configurare i controlli di identificazione e autenticazione

    Configurare altri controlli