Requisito 10 di Microsoft Entra ID e PCI-DSS
Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai requisiti di approccio definiti dai titolari di
carte
10.1 I processi e i meccanismi per la registrazione e il monitoraggio di tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte sono definiti e documentati.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 10 sono: Documentati mantenuti aggiornati In uso noto a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
10.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 10 sono documentati, assegnati e riconosciuti. | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
10.2 I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.2.1 I log di controllo sono abilitati e attivi per tutti i componenti di sistema e i dati dei titolari di carte. | Archiviare i log di controllo di Microsoft Entra per ottenere modifiche ai criteri di sicurezza e alla configurazione del tenant di Microsoft Entra. Archiviare i log attività di Microsoft Entra in un sistema siem (Security Information and Event Management) per informazioni sull'utilizzo. Log attività di Microsoft Entra in Monitoraggio di Azure |
10.2.1.1 Log di controllo acquisisce l'accesso di tutti i singoli utenti ai dati dei titolari di carte. | Non applicabile all'ID Microsoft Entra. |
10.2.1.2 I log di controllo acquisisce tutte le azioni eseguite da qualsiasi utente con accesso amministrativo, incluso qualsiasi uso interattivo di account di sistema o applicazioni. | Non applicabile all'ID Microsoft Entra. |
10.2.1.3 I log di controllo acquisisce tutti gli accessi ai log di controllo. | In Microsoft Entra ID non è possibile cancellare o modificare i log. Gli utenti con privilegi possono eseguire query sui log da Microsoft Entra ID. Ruoli con privilegi minimi per attività in Microsoft Entra ID Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso. |
10.2.1.4 I log di controllo acquisisce tutti i tentativi di accesso logico non validi. | Microsoft Entra ID genera i log attività quando un utente tenta di accedere con credenziali non valide. Genera i log attività quando l'accesso viene negato a causa dei criteri di accesso condizionale. |
10.2.1.5 I log di controllo acquisisce tutte le modifiche apportate alle credenziali di identificazione e autenticazione, tra cui: Creazione di nuovi account Elevazione dei privilegi Tutte le modifiche, aggiunte o eliminazioni agli account con accesso amministrativo |
Microsoft Entra ID genera log di controllo per gli eventi in questo requisito. |
10.2.1.6 I log di controllo acquisisce quanto segue: tutte le inizializzazione dei nuovi log di controllo e Tutti gli elementi di avvio, arresto o sospensione dei log di controllo esistenti. |
Non applicabile all'ID Microsoft Entra. |
10.2.1.7 I log di controllo acquisisce tutte le operazioni di creazione ed eliminazione di oggetti a livello di sistema. | Microsoft Entra ID genera log di controllo per gli eventi in questo requisito. |
10.2.2 I log di controllo registrano i dettagli seguenti per ogni evento controllabile: Identificazione utente. Tipo di evento. Data e ora. Indicazione di esito positivo e negativo. Origine dell'evento. Identità o nome dei dati interessati, del componente di sistema, della risorsa o del servizio (ad esempio, nome e protocollo). |
Vedere Log di controllo in Microsoft Entra ID |
10.3 I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.3.1 L'accesso in lettura ai file dei log di controllo è limitato a quelli con esigenze correlate al processo. | Gli utenti con privilegi possono eseguire query sui log da Microsoft Entra ID. Ruoli con privilegi minimi per attività in Microsoft Entra ID |
10.3.2 I file di log di controllo sono protetti per impedire modifiche da parte degli utenti. | In Microsoft Entra ID non è possibile cancellare o modificare i log. Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso. |
10.3.3 I file di log di controllo, inclusi quelli per le tecnologie esterne, vengono sottoposti a backup tempestivo in un server di log interno sicuro, centrale o interno o in altri supporti difficili da modificare. | In Microsoft Entra ID non è possibile cancellare o modificare i log. Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso. |
10.3.4 Il monitoraggio dell'integrità dei file o i meccanismi di rilevamento delle modifiche viene usato nei log di controllo per assicurarsi che i dati di log esistenti non possano essere modificati senza generare avvisi. | In Microsoft Entra ID non è possibile cancellare o modificare i log. Quando i log di controllo vengono esportati in sistemi come Area di lavoro Log Analytics di Azure, account di archiviazione o sistemi SIEM di terze parti, monitorarli per l'accesso. |
10.4 I log di controllo vengono esaminati per identificare anomalie o attività sospette.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.4.1 I log di controllo seguenti vengono esaminati almeno una volta al giorno: Tutti gli eventi di sicurezza. Log di tutti i componenti di sistema che archiviano, elaborano o trasmettono dati di titolari di carte (CHD) e/o dati di autenticazione sensibili (SAD). Log di tutti i componenti di sistema critici. Log di tutti i server e i componenti di sistema che eseguono funzioni di sicurezza (ad esempio, controlli di sicurezza di rete, sistemi di rilevamento intrusioni/sistemi di prevenzione delle intrusioni (IDS/IPS), server di autenticazione. |
Includere i log di Microsoft Entra in questo processo. |
10.4.1.1 I meccanismi automatizzati vengono usati per eseguire revisioni dei log di controllo. | Includere i log di Microsoft Entra in questo processo. Configurare azioni automatizzate e avvisi quando i log di Microsoft Entra sono integrati con Monitoraggio di Azure. Distribuire Monitoraggio di Azure: avvisi e azioni automatizzate |
10.4.2 I log di tutti gli altri componenti di sistema (quelli non specificati nel requisito 10.4.1) vengono esaminati periodicamente. | Non applicabile all'ID Microsoft Entra. |
10.4.2.1 La frequenza delle verifiche periodiche dei log per tutti gli altri componenti di sistema (non definiti nel requisito 10.4.1) viene definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1 | Non applicabile all'ID Microsoft Entra. |
10.4.3 Vengono risolte eccezioni e anomalie identificate durante il processo di revisione. | Non applicabile all'ID Microsoft Entra. |
La cronologia dei log di controllo 10.5 viene mantenuta e disponibile per l'analisi.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.5.1 Conservare la cronologia dei log di controllo per almeno 12 mesi, con almeno i tre mesi più recenti immediatamente disponibili per l'analisi. | Eseguire l'integrazione con Monitoraggio di Azure ed esportare i log per l'archiviazione a lungo termine. Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure Informazioni sui criteri di conservazione dei dati dei log di Microsoft Entra. Conservazione dei dati di Microsoft Entra |
10.6 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti in tutti i sistemi.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.6.1 Gli orologi e l'ora di sistema vengono sincronizzati con la tecnologia di sincronizzazione dell'ora. | Informazioni sul meccanismo di sincronizzazione dell'ora nei servizi di Azure. Sincronizzazione dell'ora per i servizi finanziari in Azure |
10.6.2 I sistemi sono configurati in base al tempo corretto e coerente nel modo seguente: uno o più server ora designati sono in uso. Solo i server ora centrali designati ricevono il tempo dalle origini esterne. L'ora ricevuta da origini esterne si basa sull'ora atomica internazionale o sull'ora UTC (Coordinated Universal Time). I server ora designati accettano gli aggiornamenti temporali solo da origini esterne specifiche accettate dal settore. In cui sono presenti più server ora designati, i server time eseguono il peering uno con l'altro per mantenere l'ora accurata. I sistemi interni ricevono informazioni sull'ora solo dai server ora centrali designati. |
Informazioni sul meccanismo di sincronizzazione dell'ora nei servizi di Azure. Sincronizzazione dell'ora per i servizi finanziari in Azure |
10.6.3 Le impostazioni e i dati di sincronizzazione dell'ora sono protetti come segue: l'accesso ai dati temporali è limitato solo al personale con esigenze aziendali. Tutte le modifiche apportate alle impostazioni temporali nei sistemi critici vengono registrate, monitorate ed esaminate. |
Microsoft Entra ID si basa sui meccanismi di sincronizzazione dell'ora in Azure. Le procedure di Azure sincronizzano i server e i dispositivi di rete con server NTP Stratum 1-time sincronizzati con satelliti GPS (Global Positioning System). La sincronizzazione viene eseguita ogni cinque minuti. Azure garantisce l'ora di sincronizzazione degli host del servizio. Sincronizzazione dell'ora per i servizi finanziari nei componenti ibridi di Azure in Microsoft Entra ID, ad esempio i server Microsoft Entra Connect, interagiscono con l'infrastruttura locale. Il cliente possiede la sincronizzazione dell'ora dei server locali. |
10.7 Gli errori dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risposte tempestivamente.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
10.7.2 Requisito aggiuntivo solo per i provider di servizi: gli errori dei sistemi di controllo di sicurezza critici vengono rilevati, avvisati e risolti tempestivamente, tra cui, ad esempio, gli errori dei sistemi di controllo di sicurezza critici seguenti: controlli di sicurezza di rete IDS/MONITORAGGIO dell'integrità dei file IPS (FIM) Soluzioni antimalware I controlli di accesso fisico controllano il meccanismo di registrazione degli accessi logici (se usato) |
Microsoft Entra ID si basa sui meccanismi di sincronizzazione dell'ora in Azure. supporto tecnico di Azure l'analisi degli eventi in tempo reale nel proprio ambiente operativo. I sistemi interni dell'infrastruttura di Azure generano avvisi di eventi quasi in tempo reale relativi alla potenziale compromissione. |
10.7.2 Gli errori dei sistemi di controllo di sicurezza critici vengono rilevati, avvisati e risolti tempestivamente, inclusi i problemi dei sistemi di controllo di sicurezza critici seguenti: i controlli di sicurezza di rete IDS/I meccanismi di rilevamento delle modifiche IP Le soluzioni antimalware Controlli di accesso logico controllano i meccanismi di registrazione dei controlli di controllo (se usati) Meccanismi di verifica dei log di controllo (se usati) Meccanismi di verifica del log di controllo Strumenti di test della sicurezza automatizzati (se usati) |
Vedere la guida alle operazioni di sicurezza di Microsoft Entra |
10.7.3 Gli errori di tutti i sistemi di controlli di sicurezza critici vengono risposte tempestivamente, tra cui, ad esempio, il ripristino delle funzioni di sicurezza. Identificazione e documentazione della durata (data e ora dall'inizio alla fine) dell'errore di sicurezza. Identificazione e documentazione delle cause dell'errore e della documentazione della correzione richiesta. Identificazione e risoluzione di eventuali problemi di sicurezza che si sono riscontrati durante l'errore. Determinare se sono necessarie ulteriori azioni a causa dell'errore di sicurezza. Implementazione dei controlli per impedire la causa dell'errore di ripetizione. Ripresa del monitoraggio dei controlli di sicurezza. |
Vedere la guida alle operazioni di sicurezza di Microsoft Entra |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte (qui)
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication