Condividi tramite

Configurare controlli aggiuntivi per soddisfare il livello di impatto FedRAMP High

  • Articolo

L'elenco seguente di controlli (e dei miglioramenti dei controlli) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.

Ogni riga nelle tabelle seguenti fornisce indicazioni prescrittive. Queste indicazioni consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise relative al controllo o al miglioramento dei controlli.

Controllo e responsabilità

Le indicazioni contenute nella tabella seguente riguardano quanto segue:

  • AU-2 Eventi di controllo
  • AU-3 Contenuto del controllo
  • AU-6 Verifica, analisi e report di controllo
ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
AU-2 Eventi di controllo
L’organizzazione:
(a.) Determina che il sistema informatico è in grado di controllare gli eventi seguenti: [Assegnazione FedRAMP: [Eventi di accesso degli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni dei privilegi, rilevamento dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività di amministratore, i controlli di autenticazione, i controlli di autorizzazione, le eliminazioni dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni];
(b.) Coordina la funzione di controllo di sicurezza con altre entità organizzative che richiedono informazioni relative al controllo per migliorare il supporto reciproco e per facilitare la selezione di eventi controllabili;
(c.) Fornisce una spiegazione logica per il motivo per cui gli eventi controllabili sono considerati adeguati a supportare un'analisi degli eventi incidenti di sicurezza dopo che si sono verificati; e
(d.) Determina che gli eventi seguenti devono essere controllati nel sistema informatico: [Assegnazione FedRAMP: sottoinsieme definito dall'organizzazione di eventi controllabili definiti in AU-2 a. da controllare continuamente per ogni evento identificato].

AU-2 Requisiti e indicazioni aggiuntivi di FedRAMP:
Requisito: il coordinamento tra provider di servizi e utente deve essere documentato e accettato da JAB/AO.

AU-3 Contenuto e record di controllo
Il sistema informatico genera i record di controllo contenenti informazioni che stabiliscono che tipo di evento si è verificato, quando e dove si è verificato l'evento, l'origine dell'evento, il risultato dell'evento e l'identità di individui o soggetti associati all'evento.

AU-3(1)
Il sistema informatico genera record di controllo contenenti le informazioni aggiuntive seguenti: [Assegnazione FedRAMP: informazioni aggiuntive più dettagliate definite dall'organizzazione].

AU-3 (1) Requisiti e indicazioni aggiuntivi di FedRAMP:
Requisito: il provider di servizi definisce i tipi di record di controllo [Assegnazione FedRAMP: sessione, connessione, transazione o durata dell'attività; per le transazioni client-server, il numero di byte ricevuti e byte inviati; messaggi informatici aggiuntivi per diagnosticare o identificare l'evento; caratteristiche che descrivono o identificano l'oggetto o la risorsa su cui si esegue l'azione; utenti con identità singole o account di gruppo; test completo dei comandi con privilegi]. I tipi di record di controllo vengono approvati e accettati da JAB/AO.
Indicazioni: per le transazioni client-server, il numero di byte inviati e ricevuti fornisce informazioni di trasferimento bidirezionali che possono essere utili durante un'indagine o una richiesta.

AU-3(2)
Il sistema informatico fornisce la gestione e la configurazione centralizzate del contenuto da acquisire nei record di controllo generati da [Assegnazione FedRAMP: tutti i dispositivi di rete, archiviazione e dati e di elaborazione].		 Verificare che il sistema riesca a controllare gli eventi definiti in AU-2 Parte a. Coordinarsi con altre entità all'interno del sottoinsieme di eventi controllabili dell'organizzazione per supportare le indagini successive al fatto. Implementare la gestione centralizzata dei record di controllo.

Tutte le operazioni del ciclo di vita dell'account (creazione, modifica, abilitazione, disabilitazione e rimozione di azioni) vengono controllate all'interno dei log di controllo di Microsoft Entra. Tutti gli eventi di autenticazione e autorizzazione vengono controllati all'interno dei log di accesso di Microsoft Entra e tutti i rischi rilevati vengono controllati nei log di Microsoft Entra ID Protection. È possibile trasmettere ognuno di questi log direttamente in una soluzione Security Information and Event Management (SIEM), ad esempio Microsoft Sentinel. In alternativa, usare uno spazio dei nomi di Hub eventi di Azure per integrare i logo con soluzioni SIEM di terze parti.

Eventi di controllo

  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra
  • Come analizzare il rischio

    Integrazioni SIEM

  • Microsoft Sentinel: connettere i dati da Microsoft Entra ID
  • Trasmettere all'hub eventi di Azure e ad altri SIEM
    		•
    AU-6 Verifica, analisi e report di controllo
    L’organizzazione:
    (a.) Esamina e analizza i record di controllo del sistema informatico [Assegnazione FedRAMP: almeno ogni settimana] per indicazioni di [Assegnazione: attività inappropriata o insolita definita dall'organizzazione]; e
    (b.) L’organizzazione comunica i risultati a [Assegnazione: personale o ruoli definiti dall’organizzazione].
    AU-6 Requisiti e indicazioni aggiuntivi di FedRAMP:
    Requisito: il coordinamento tra provider di servizi e utente deve essere documentato e accettato dal funzionario di autorizzazione. Negli ambienti multi-tenant, occorre documentare le funzionalità e i mezzi per fornire revisioni, analisi e report agli utenti per i dati relativi agli utenti.

    AU-6(1)
    L'organizzazione usa meccanismi automatizzati per integrare i processi di verifica, analisi e report di controllo per supportare i processi organizzativi per l'indagine e la risposta ad attività sospette.

    AU-6(3)
    L'organizzazione analizza e mette in correlazione i record di controllo tra repository diversi per ottenere una consapevolezza della situazione a livello di organizzazione.

    AU-6(4)
    Il sistema informatico garantisce le funzionalità necessarie per verificare e analizzare in modo centralizzato i record di controllo da più componenti all'interno del sistema.

    AU-6(5)
    L'organizzazione integra l'analisi dei record di controllo con l'analisi di [Selezione FedRAMP (una o più opzioni): informazioni di analisi delle vulnerabilità, dati sulle prestazioni, informazioni di monitoraggio del sistema informatico, dati sui testi di penetrazione; [Assegnazione: dati definiti dall'organizzazione/informazioni raccolte da altre fonti]] per migliorare ulteriormente la capacità di identificare attività inappropriate o insolite.

    AU-6(6)
    L'organizzazione mette in correlazione le informazioni provenienti dai record di controllo con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o pericolose.
    AU-6 Requisiti e indicazioni aggiuntivi di FedRAMP:
    Requisito: il coordinamento tra provider di servizi e utente deve essere documentato e accettato da JAB/AO.

    AU-6(7)
    L'organizzazione specifica le azioni consentite per ogni [Selezione (una o più opzioni): processo del sistema informatico, ruolo, utente] associato alla verifica, all'analisi e al report delle informazioni di controllo.

    AU-6(10)
    L'organizzazione adegua il livello di verifica, analisi e report di controllo nell'ambito del sistema informatico quando il livello di rischio cambia sulla base di informazioni sulle autorità giudiziarie, informazioni di intelligence o altre fonti di informazioni attendibili.    		 Esaminare e analizzare i record di controllo almeno una volta alla settimana per identificare attività inappropriate o insolite e segnalare i risultati al personale appropriato.

    Le indicazioni precedenti fornite per AU-02 e AU-03 consentono la revisione settimanale dei record di controllo e la segnalazione al personale appropriato. Non è possibile soddisfare questi requisiti usando solo Microsoft Entra ID. È anche necessario usare una soluzione SIEM, ad esempio Microsoft Sentinel. Per altre informazioni, consultare Che cos'è Microsoft Sentinel?.

    Risposta agli incidenti

    Le indicazioni contenute nella tabella seguente riguardano quanto segue:

    • IR-4 Gestione degli incidenti

    • IR-5 Monitoraggio degli incidenti

    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    IR-4 Gestione degli incidenti
    L’organizzazione:
    (a.) Implementa una capacità di gestione degli incidenti relativamente agli incidenti di sicurezza che include la preparazione, il rilevamento e l'analisi, il contenimento, l'eliminazione e il recupero;
    (b.) Coordina le attività di gestione degli incidenti con attività di pianificazione di emergenza; e
    (c.) Incorpora le lezioni apprese durante le attività di gestione degli incidenti in corso nelle procedure, nei training e nei test/esercizi sulla risposta agli incidenti e implementa di conseguenza le modifiche che ne derivano.
    IR-4 Requisiti e indicazioni aggiuntivi di FedRAMP:
    Requisito: il provider di servizi garantisce che i singoli utenti che eseguono la gestione degli incidenti soddisfino i requisiti di sicurezza del personale in base alla criticità/importanza delle informazioni elaborate, archiviate e trasmesse dal sistema informatico.

    IR-04(1)
    L'organizzazione usa i meccanismi automatizzati per supportare i processi di gestione degli incidenti.

    IR-04(2)
    L'organizzazione include la riconfigurazione dinamica di [Assegnazione FedRAMP: tutti i dispositivi di rete, archiviazione dati e di elaborazione] come parte della funzionalità di risposta agli incidenti.

    IR-04(3)
    L'organizzazione identifica [Assegnazione: classi di incidenti definite dall'organizzazione] e [Assegnazione: azioni definite dall'organizzazione per rispondere alle classi di incidenti] per garantire la continuità delle operazioni e delle funzioni aziendali.

    IR-04(4)
    L'organizzazione mette in correlazione le informazioni sull'incidente e le singole risposte all’incidente per ottenere una prospettiva a livello di organizzazione sugli incidenti e la relativa risposta.

    IR-04(6)
    L'organizzazione implementa la capacità di gestione degli incidenti per le minacce interne.

    IR-04(8)
    L'organizzazione implementa la capacità di gestione degli incidenti per le minacce interne.
    L'organizzazione si coordina con [Assegnazione FedRAMP: organizzazioni esterne, inclusi le persone che rispondono agli incidenti degli utenti e che difendono la rete e il team appropriato di risposta agli incidenti appropriati (CIRT)/Team di risposta alle emergenze dei computer (CERT) (ad esempio US-CERT, DoD CERT, IC CERT)] per correlare e condividere [Assegnazione: informazioni sugli incidenti definiti dell’organizzazione] per ottenere una prospettiva tra organizzazioni sulla consapevolezza degli incidenti e risposte più efficaci agli incidenti.

    IR-05 Monitoraggio degli incidenti
    L'organizzazione traccia e documenta gli incidenti di sicurezza del sistema informatico.

    IR-05(1)
    L'organizzazione usa meccanismi automatici per supportare il rilevamento degli incidenti di sicurezza, nonché la raccolta e l'analisi delle informazioni sugli incidenti.    		 Implementare funzionalità di gestione e monitoraggio degli incidenti. Ciò include la gestione automatica degli incidenti, la riconfigurazione dinamica, la continuità delle operazioni, la correlazione delle informazioni, le minacce interne, la correlazione con organizzazioni esterne e il monitoraggio degli incidenti e il rilevamento automatizzato.

    I log di controllo registrano tutte le modifiche alla configurazione. Gli eventi di autenticazione e autorizzazione vengono controllati all'interno dei log di accesso e gli eventuali rischi rilevati vengono controllati nei log di Microsoft Entra ID Protection. È possibile trasmettere ognuno di questi log direttamente in una soluzione SIEM, ad esempio Microsoft Sentinel. In alternativa, usare uno spazio dei nomi di Hub eventi di Azure per integrare i logo con soluzioni SIEM di terze parti. Automatizzare la riconfigurazione dinamica in base agli eventi nel SIEM usando Microsoft Graph PowerShell.

    Eventi di controllo

  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra
  • Come analizzare il rischio

    Integrazioni SIEM

  • Microsoft Sentinel: connettere i dati da Microsoft Entra ID
  • Trasmettere all'hub eventi di Azure e ad altri SIEM
    		•

    Sicurezza del personale

    Le indicazioni contenute nella tabella seguente riguardano quanto segue:

    • PS-4 Cessazione dell'incarico
    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    PS-4
    Cessazione dell'incarico
    L'organizzazione, dopo la terminazione dell’impiego individuale:
    (a.) Disabilita l'accesso al sistema informatico entro [Assegnazione FedRAMP: otto (8) ore];
    (b.) Termina/revoca eventuali autenticatori/credenziali associati all’individuo;
    (c.) Effettua colloqui di uscita che includono una discussione su [Assegnazione: argomenti sulla sicurezza delle informazioni definiti dall'organizzazione];
    (d.) Recupera tutte le proprietà correlate al sistema informatico dell'organizzazione legate alla sicurezza;
    (e.) Mantiene l'accesso alle informazioni e ai sistemi informatici dell'organizzazione precedentemente controllati dall’individuo interessato dalla terminazione; e
    (f.) Invia una notifica a [Assegnazione: ruoli o personale definiti dall’organizzazione] entro [Assegnazione: periodo di tempo definito dall’organizzazione].

    PS-4(2)
    L'organizzazione usa meccanismi automatizzati per notificare il [Assegnazione FedRAMP: personale di controllo di accesso responsabile della disabilitazione dell'accesso al sistema] dopo la terminazione di un singolo individuo.    		 Notificare automaticamente il personale responsabile della disabilitazione dell'accesso al sistema.

    Disabilitare gli account e revocare tutti gli autenticatori e le credenziali associati entro 8 ore.

    Configurare il provisioning (inclusa la disabilitazione dopo la terminazione) degli account in Microsoft Entra ID da sistemi HR esterni, Active Directory locale o direttamente nel cloud. Terminare l'accesso a tutto il sistema revocando le sessioni esistenti.

    Provisioning degli account

  • Consultare le indicazioni dettagliate in AC-02.

    Revocare tutti gli autenticatori associati

  • Revocare l'accesso utente in caso di emergenza in Microsoft Entra ID
    		•

    Integrità del sistema e delle informazioni

    Le indicazioni contenute nella tabella seguente riguardano quanto segue:

    • SI-4 Monitoraggio dei sistemi informatici
    ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
    SI-4 Monitoraggio dei sistemi informatici
    L’organizzazione:
    (a.) Monitora il sistema informatico per rilevare:
    (1.) Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione ]; e
    (2.) Connessioni remote, locali e di rete non autorizzate;
    (b.) Rileva l'uso non autorizzato del sistema informatico tramite [Assegnazione: metodi e tecniche definiti dall'organizzazione];
    (c.) Implementa dispositivi di monitoraggio (i) strategicamente all'interno del sistema informatico per raccogliere le informazioni ritenute essenziali dall'organizzazione e (ii) in posizioni ad hoc nel sistema per tenere traccia di tipi specifici di transazioni di particolare interesse per l'organizzazione;
    (d.) Protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni derivanti da eventi di accesso, modifica ed eliminazione non autorizzati;
    (e.) Aumenta il livello delle attività di monitoraggio dei sistemi informatici ogni volta che viene rilevato un maggiore rischio per le operazioni e le risorse dell'organizzazione, per singoli utenti, per altre organizzazioni o per la nazione in base a informazioni sulle autorità giudiziarie, informazioni di intelligence o altre fonti di informazioni attendibili;
    (f.) Ottiene un parere legale in merito alle attività di monitoraggio dei sistemi informatici in conformità con alle leggi federali applicabili, i provvedimenti legislativi, le direttive, i criteri o le normative; e
    (d.) Fornisce [Assegnazione: informazioni di monitoraggio dei sistemi informatici definite dall'organizzazione] a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Selezione (una o più opzioni): se necessario; [Assegnazione: frequenza definita dall'organizzazione]].
    SI-4 Requisiti e indicazioni aggiuntivi per FedRAMP:
    Indicazioni: consultare le linee guida per la segnalazione di risposta agli incidenti US-CERT.

    SI-04(1)
    L'organizzazione collega e configura singoli strumenti di rilevamento delle intrusioni in un sistema di rilevamento intrusioni a livello di sistema informatico.    		 Implementare il sistema informatico e il sistema di rilevamento intrusioni a livello di sistema.

    Includere tutti i log di Microsoft Entra (Controllo, Accesso, Protezione ID) all'interno della soluzione di monitoraggio del sistema informatico.

    Trasmettere i log di Microsoft Entra a una soluzione SIEM (consultare IA-04).                                                                              

    Passaggi successivi

    Configurare i controlli di accesso

    Configurare i controlli di accesso e identificazione

    Configurare altri controlli