Condividi tramite


Requisito 10 di Microsoft Entra ID e PCI-DSS

Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai requisiti di approccio definiti dai titolari di
carte

10.1 I processi e i meccanismi per la registrazione e il monitoraggio di tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte sono definiti e documentati.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 10 sono:
Documentati
mantenuti aggiornati
In uso
noto a tutte le parti interessate
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente.
10.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 10 sono documentati, assegnati e riconosciuti. Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente.

10.2 I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.2.1 I log di controllo sono abilitati e attivi per tutti i componenti di sistema e i dati dei titolari di carte. Archiviare i log di controllo di Microsoft Entra per ottenere modifiche ai criteri di sicurezza e alla configurazione del tenant di Microsoft Entra.
Archiviare i log attività di Microsoft Entra in un sistema siem (Security Information and Event Management) per informazioni sull'utilizzo. Log attività di Microsoft Entra in Monitoraggio di Azure
10.2.1.1 Log di controllo acquisisce l'accesso di tutti i singoli utenti ai dati dei titolari di carte. Non applicabile all'ID Microsoft Entra.
10.2.1.2 I log di controllo acquisisce tutte le azioni eseguite da qualsiasi utente con accesso amministrativo, incluso qualsiasi uso interattivo di account di sistema o applicazioni. Non applicabile all'ID Microsoft Entra.
10.2.1.3 I log di controllo acquisisce tutti gli accessi ai log di controllo. In Microsoft Entra ID non è possibile cancellare o modificare i log. Gli utenti con privilegi possono eseguire query sui log da Microsoft Entra ID. Ruoli con privilegi minimi per attività in Microsoft Entra ID
Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso.
10.2.1.4 I log di controllo acquisisce tutti i tentativi di accesso logico non validi. Microsoft Entra ID genera i log attività quando un utente tenta di accedere con credenziali non valide. Genera i log attività quando l'accesso viene negato a causa dei criteri di accesso condizionale.
10.2.1.5 I log di controllo acquisisce tutte le modifiche apportate alle credenziali di identificazione e autenticazione, tra cui:
Creazione di nuovi account
Elevazione dei privilegi
Tutte le modifiche, aggiunte o eliminazioni agli account con accesso amministrativo
Microsoft Entra ID genera log di controllo per gli eventi in questo requisito.
10.2.1.6 I log di controllo acquisisce quanto segue:
tutte le inizializzazione dei nuovi log di controllo e
Tutti gli elementi di avvio, arresto o sospensione dei log di controllo esistenti.
Non applicabile all'ID Microsoft Entra.
10.2.1.7 I log di controllo acquisisce tutte le operazioni di creazione ed eliminazione di oggetti a livello di sistema. Microsoft Entra ID genera log di controllo per gli eventi in questo requisito.
10.2.2 I log di controllo registrano i dettagli seguenti per ogni evento controllabile:
Identificazione utente.
Tipo di evento.
Data e ora.
Indicazione di esito positivo e negativo.
Origine dell'evento.
Identità o nome dei dati interessati, del componente di sistema, della risorsa o del servizio (ad esempio, nome e protocollo).
Vedere Log di controllo in Microsoft Entra ID

10.3 I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.3.1 L'accesso in lettura ai file dei log di controllo è limitato a quelli con esigenze correlate al processo. Gli utenti con privilegi possono eseguire query sui log da Microsoft Entra ID. Ruoli con privilegi minimi per attività in Microsoft Entra ID
10.3.2 I file di log di controllo sono protetti per impedire modifiche da parte degli utenti. In Microsoft Entra ID non è possibile cancellare o modificare i log.
Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso.
10.3.3 I file di log di controllo, inclusi quelli per le tecnologie esterne, vengono sottoposti a backup tempestivo in un server di log interno sicuro, centrale o interno o in altri supporti difficili da modificare. In Microsoft Entra ID non è possibile cancellare o modificare i log.
Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso.
10.3.4 Il monitoraggio dell'integrità dei file o i meccanismi di rilevamento delle modifiche viene usato nei log di controllo per assicurarsi che i dati di log esistenti non possano essere modificati senza generare avvisi. In Microsoft Entra ID non è possibile cancellare o modificare i log.
Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso.

10.4 I log di controllo vengono esaminati per identificare anomalie o attività sospette.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.4.1 I log di controllo seguenti vengono esaminati almeno una volta al giorno:
Tutti gli eventi di sicurezza.
Log di tutti i componenti di sistema che archiviano, elaborano o trasmettono dati di titolari di carte (CHD) e/o dati di autenticazione sensibili (SAD). Log di tutti i componenti di sistema critici.
Log di tutti i server e i componenti di sistema che eseguono funzioni di sicurezza (ad esempio, controlli di sicurezza di rete, sistemi di rilevamento intrusioni/sistemi di prevenzione delle intrusioni (IDS/IPS), server di autenticazione.
Includere i log di Microsoft Entra in questo processo.
10.4.1.1 I meccanismi automatizzati vengono usati per eseguire revisioni dei log di controllo. Includere i log di Microsoft Entra in questo processo. Configurare azioni automatizzate e avvisi quando i log di Microsoft Entra sono integrati con Monitoraggio di Azure. Distribuire Monitoraggio di Azure: avvisi e azioni automatizzate
10.4.2 I log di tutti gli altri componenti di sistema (quelli non specificati nel requisito 10.4.1) vengono esaminati periodicamente. Non applicabile all'ID Microsoft Entra.
10.4.2.1 La frequenza delle verifiche periodiche dei log per tutti gli altri componenti di sistema (non definiti nel requisito 10.4.1) viene definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1 Non applicabile all'ID Microsoft Entra.
10.4.3 Vengono risolte eccezioni e anomalie identificate durante il processo di revisione. Non applicabile all'ID Microsoft Entra.

La cronologia dei log di controllo 10.5 viene mantenuta e disponibile per l'analisi.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.5.1 Conservare la cronologia dei log di controllo per almeno 12 mesi, con almeno i tre mesi più recenti immediatamente disponibili per l'analisi. Eseguire l'integrazione con Monitoraggio di Azure ed esportare i log per l'archiviazione a lungo termine. Integrare i log di Microsoft Entra con i log
di Monitoraggio di Azure Informazioni sui criteri di conservazione dei dati dei log di Microsoft Entra. Conservazione dei dati di Microsoft Entra

10.6 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti in tutti i sistemi.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.6.1 Gli orologi e l'ora di sistema vengono sincronizzati con la tecnologia di sincronizzazione dell'ora. Informazioni sul meccanismo di sincronizzazione dell'ora nei servizi di Azure. Sincronizzazione dell'ora per i servizi finanziari in Azure
10.6.2 I sistemi sono configurati in base al tempo corretto e coerente nel modo seguente:
uno o più server ora designati sono in uso.
Solo i server ora centrali designati ricevono il tempo dalle origini esterne.
L'ora ricevuta da origini esterne si basa sull'ora atomica internazionale o sull'ora UTC (Coordinated Universal Time).
I server ora designati accettano gli aggiornamenti temporali solo da origini esterne specifiche accettate dal settore.
In cui sono presenti più server ora designati, i server time eseguono il peering uno con l'altro per mantenere l'ora accurata.
I sistemi interni ricevono informazioni sull'ora solo dai server ora centrali designati.
Informazioni sul meccanismo di sincronizzazione dell'ora nei servizi di Azure. Sincronizzazione dell'ora per i servizi finanziari in Azure
10.6.3 Le impostazioni e i dati di sincronizzazione dell'ora sono protetti come segue:
l'accesso ai dati temporali è limitato solo al personale con esigenze aziendali.
Tutte le modifiche apportate alle impostazioni temporali nei sistemi critici vengono registrate, monitorate ed esaminate.
Microsoft Entra ID si basa sui meccanismi di sincronizzazione dell'ora in Azure.
Le procedure di Azure sincronizzano i server e i dispositivi di rete con server NTP Stratum 1-time sincronizzati con satelliti GPS (Global Positioning System). La sincronizzazione viene eseguita ogni cinque minuti. Azure garantisce l'ora di sincronizzazione degli host del servizio. Sincronizzazione dell'ora per i servizi finanziari nei componenti ibridi di Azure
in Microsoft Entra ID, ad esempio i server Microsoft Entra Connect, interagiscono con l'infrastruttura locale. Il cliente possiede la sincronizzazione dell'ora dei server locali.

10.7 Gli errori dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risposte tempestivamente.

Requisiti di approccio definiti da PCI-DSS Indicazioni e consigli per Microsoft Entra
10.7.2 Requisito aggiuntivo solo per i provider di servizi: gli errori dei sistemi di controllo di sicurezza critici vengono rilevati, avvisati e risolti tempestivamente, tra cui, ad esempio, gli errori dei sistemi di controllo di sicurezza critici seguenti:
controlli
di sicurezza di rete IDS/MONITORAGGIO dell'integrità dei file IPS
(FIM)
Soluzioni
antimalware I controlli di accesso fisico controllano
il
meccanismo
di registrazione degli accessi logici (se usato)
Microsoft Entra ID si basa sui meccanismi di sincronizzazione dell'ora in Azure.
supporto tecnico di Azure l'analisi degli eventi in tempo reale nel proprio ambiente operativo. I sistemi interni dell'infrastruttura di Azure generano avvisi di eventi quasi in tempo reale relativi alla potenziale compromissione.
10.7.2 Gli errori dei sistemi di controllo di sicurezza critici vengono rilevati, avvisati e risolti tempestivamente, inclusi i problemi dei sistemi di controllo di sicurezza critici seguenti:
i controlli
di sicurezza di rete IDS/I meccanismi di rilevamento delle modifiche IP
Le soluzioni
antimalware Controlli di accesso logico controllano
i meccanismi
di registrazione dei controlli
di controllo (se usati) Meccanismi di verifica dei log di controllo (se usati)
Meccanismi

di verifica del log di controllo Strumenti di test della sicurezza automatizzati (se usati)
Vedere la guida alle operazioni di sicurezza di Microsoft Entra
10.7.3 Gli errori di tutti i sistemi di controlli di sicurezza critici vengono risposte tempestivamente, tra cui, ad esempio,
il ripristino delle funzioni di sicurezza.
Identificazione e documentazione della durata (data e ora dall'inizio alla fine) dell'errore di sicurezza.
Identificazione e documentazione delle cause dell'errore e della documentazione della correzione richiesta.
Identificazione e risoluzione di eventuali problemi di sicurezza che si sono riscontrati durante l'errore.
Determinare se sono necessarie ulteriori azioni a causa dell'errore di sicurezza.
Implementazione dei controlli per impedire la causa dell'errore di ripetizione.
Ripresa del monitoraggio dei controlli di sicurezza.
Vedere la guida alle operazioni di sicurezza di Microsoft Entra

Passaggi successivi

I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.

Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.