Aanvullende besturingselementen configureren om te voldoen aan fedRAMP High Impact-niveau
De volgende lijst met besturingselementen (en verbeteringen in besturingselementen) vereist mogelijk configuratie in uw Microsoft Entra-tenant.
Elke rij in de volgende tabellen bevat prescriptieve richtlijnen. Deze richtlijnen helpen u bij het ontwikkelen van de reactie van uw organisatie op eventuele gedeelde verantwoordelijkheden met betrekking tot de verbetering van de controle of controle.
Controle en verantwoordelijkheid
De richtlijnen in de volgende tabel hebben betrekking op:
- AU-2 Auditgebeurtenissen
- AU-3 Inhoud van audit
- AU-6 Controlebeoordeling, analyse en rapportage
| FedRAMP Control ID en beschrijving | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| AU-2 Auditgebeurtenissen De organisatie: (a.) Bepaalt dat het informatiesysteem de volgende gebeurtenissen kan controleren: [FedRAMP-toewijzing: [Geslaagde en mislukte accountaanmeldingsgebeurtenissen, accountbeheergebeurtenissen, objecttoegang, beleidswijziging, bevoegdheden, procestracking en systeemgebeurtenissen. Voor webtoepassingen: alle activiteiten van de beheerder, verificatiecontroles, autorisatiecontroles, gegevensverwijderingen, gegevenstoegang, gegevenswijzigingen en machtigingswijzigingen]; (b.) Coördineert de beveiligingscontrolefunctie met andere organisatie-entiteiten die controlegerelateerde informatie vereisen om wederzijdse ondersteuning te verbeteren en de selectie van controlebare gebeurtenissen te helpen begeleiden; (c.) Geeft een logica waarom de controleerbare gebeurtenissen voldoende worden geacht om na-het-feitenonderzoek van beveiligingsincidenten te ondersteunen; en (d.) Bepaalt dat de volgende gebeurtenissen moeten worden gecontroleerd in het informatiesysteem: [FedRAMP Assignment: door de organisatie gedefinieerde subset van de gecontroleerde gebeurtenissen die zijn gedefinieerd in AU-2 a. om voortdurend te worden gecontroleerd voor elke geïdentificeerde gebeurtenis]. AU-2 Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: coördinatie tussen serviceprovider en consument wordt gedocumenteerd en geaccepteerd door de JAB/AO. AU-3-inhouds- en controlerecords Het informatiesysteem genereert controlerecords met informatie die bepaalt welk type gebeurtenis heeft plaatsgevonden, wanneer de gebeurtenis heeft plaatsgevonden, waar de gebeurtenis heeft plaatsgevonden, de bron van de gebeurtenis, het resultaat van de gebeurtenis en de identiteit van personen of onderwerpen die aan de gebeurtenis zijn gekoppeld. AU-3(1) Het informatiesysteem genereert controlerecords met de volgende aanvullende informatie: [FedRAMP Assignment: door de organisatie gedefinieerde aanvullende, meer gedetailleerde informatie]. AU-3 (1) Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: De serviceprovider definieert auditrecordtypen [FedRAMP-toewijzing: sessie, verbinding, transactie of activiteitsduur; voor client-servertransacties, het aantal ontvangen bytes en bytes; aanvullende informatieve berichten om de gebeurtenis vast te stellen of te identificeren; kenmerken die het object of de resource beschrijven of identificeren waarop wordt gereageerd; afzonderlijke identiteiten van groepsaccountgebruikers; volledige tekst van bevoegde opdrachten]. De controlerecordtypen worden goedgekeurd en geaccepteerd door de JAB/AO. Richtlijnen: Voor client-servertransacties geeft het aantal verzonden en ontvangen bytes bidirectionele overdrachtsgegevens die nuttig kunnen zijn tijdens een onderzoek of onderzoek. AU-3(2) Het informatiesysteem biedt gecentraliseerd beheer en configuratie van de inhoud die moet worden vastgelegd in controlerecords die worden gegenereerd door [FedRAMP Assignment: alle netwerk-, gegevensopslag- en computingapparaten]. |
Zorg ervoor dat het systeem in staat is om controlegebeurtenissen te controleren die zijn gedefinieerd in AU-2 Deel a. Coördineer met andere entiteiten binnen de subset van controleerbare gebeurtenissen van de organisatie om onderzoek na het feit te ondersteunen. Gecentraliseerd beheer van controlerecords implementeren. Alle levenscyclusbewerkingen van accounts (account maken, wijzigen, inschakelen, uitschakelen en verwijderen) worden gecontroleerd in de Microsoft Entra-auditlogboeken. Alle verificatie- en autorisatiegebeurtenissen worden gecontroleerd in aanmeldingslogboeken van Microsoft Entra en eventuele gedetecteerde risico's worden gecontroleerd in de Microsoft Entra ID Protection-logboeken. U kunt elk van deze logboeken rechtstreeks streamen naar een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden. Controlegebeurtenissen SIEM-integraties |
| AU-6 Audit Review, Analysis en Reporting De organisatie: (a.) Controleert en analyseert controlerecords van informatiesysteem [FedRAMP Assignment: ten minste wekelijks] voor indicaties van [Toewijzing: door de organisatie gedefinieerde ongepaste of ongebruikelijke activiteit]; en (b.) Rapporteert bevindingen aan [Toewijzing: door de organisatie gedefinieerd personeel of rollen]. AU-6 Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: coördinatie tussen serviceprovider en consument wordt gedocumenteerd en geaccepteerd door de autoriserende ambtenaar. In omgevingen met meerdere tenants, mogelijkheden en middelen voor het verstrekken van beoordeling, analyse en rapportage aan de consument voor gegevens die betrekking hebben op de consument, worden gedocumenteerd. AU-6(1) De organisatie maakt gebruik van geautomatiseerde mechanismen voor het integreren van controlebeoordelings-, analyse- en rapportageprocessen ter ondersteuning van organisatieprocessen voor onderzoek en reactie op verdachte activiteiten. AU-6(3) De organisatie analyseert en correleert auditrecords in verschillende opslagplaatsen om inzicht te krijgen in de situatie in de hele organisatie. AU-6(4) Het informatiesysteem biedt de mogelijkheid om auditrecords van meerdere onderdelen in het systeem centraal te controleren en te analyseren. AU-6(5) De organisatie integreert analyse van controlerecords met analyse van [FedRAMP Selection (een of meer): informatie over het scannen van beveiligingsproblemen; prestatiegegevens; informatie over informatiesysteembewaking; penetratietestgegevens; [Toewijzing: door de organisatie gedefinieerde gegevens/gegevens die zijn verzameld uit andere bronnen]] om de mogelijkheid om ongepaste of ongebruikelijke activiteiten te identificeren verder te verbeteren. AU-6(6) De organisatie correleert informatie uit auditrecords met informatie die is verkregen uit het bewaken van fysieke toegang om verdachte, ongepaste, ongebruikelijke of kwaadwillende activiteiten verder te identificeren. AU-6 Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: coördinatie tussen serviceprovider en consument wordt gedocumenteerd en geaccepteerd door de JAB/AO. AU-6(7) De organisatie geeft de toegestane acties op voor elke [FedRAMP Selection (een of meer): informatiesysteemproces; rol; gebruiker] die is gekoppeld aan de beoordeling, analyse en rapportage van controlegegevens. AU-6(10) De organisatie past het niveau van controlebeoordeling, analyse en rapportage binnen het informatiesysteem aan wanneer er sprake is van een verandering in risico's op basis van informatie over rechtshandhaving, informatie over intelligentie of andere geloofwaardige informatiebronnen. |
Controleer en analyseer auditrecords ten minste één keer per week om ongepaste of ongebruikelijke activiteiten te identificeren en bevindingen aan het juiste personeel te rapporteren. De voorgaande richtlijnen voor AU-02 en AU-03 bieden wekelijkse controlerecords en rapportage aan het juiste personeel. U kunt niet aan deze vereisten voldoen door alleen Microsoft Entra-id te gebruiken. U moet ook een SIEM-oplossing gebruiken, zoals Microsoft Sentinel. Zie Wat is Microsoft Sentinel? voor meer informatie. |
Reactie op incidenten
De richtlijnen in de volgende tabel hebben betrekking op:
IR-4 Incidentafhandeling
IR-5 Incidentbewaking
| FedRAMP Control ID en beschrijving | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| Ir-4 incidentafhandeling De organisatie: (a.) Implementeert een incidentafhandelingsmogelijkheid voor beveiligingsincidenten met voorbereiding, detectie en analyse, insluiting, uitroeiing en herstel; (b.) Coördineert incidentafhandelingsactiviteiten met onvoorziene planningsactiviteiten; en (c.) Bevat lessen die zijn geleerd van lopende incidentafhandelingsactiviteiten in procedures voor incidentrespons, training en testen/oefeningen, en implementeert de resulterende wijzigingen dienovereenkomstig. IR-4 Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: De serviceprovider zorgt ervoor dat personen die incidentafhandeling uitvoeren voldoen aan de beveiligingsvereisten voor personeel, in overeenstemming met de kritiek/gevoeligheid van de informatie die door het informatiesysteem wordt verwerkt, opgeslagen en verzonden. IR-04(1) De organisatie maakt gebruik van geautomatiseerde mechanismen ter ondersteuning van het incidentafhandelingsproces. IR-04(2) De organisatie bevat dynamische herconfiguratie van [FedRAMP Assignment: alle netwerk-, gegevensopslag- en computingapparaten] als onderdeel van de mogelijkheid om incidenten te reageren. IR-04(3) De organisatie identificeert [Toewijzing: door de organisatie gedefinieerde klassen van incidenten] en [Toewijzing: door de organisatie gedefinieerde acties die moeten worden uitgevoerd als reactie op klassen van incidenten] om de voortzetting van organisatiemissies en bedrijfsfuncties te garanderen. IR-04(4) De organisatie correleert incidentinformatie en afzonderlijke incidentreacties om een organisatiebreed perspectief op incidentbewustzijn en -respons te bereiken. IR-04(6) De organisatie implementeert de mogelijkheid voor het afhandelen van incidenten voor interne bedreigingen. IR-04(8) De organisatie implementeert de mogelijkheid voor het afhandelen van incidenten voor interne bedreigingen. De organisatie coördineert met [FedRAMP Assignment: externe organisaties, waaronder gebruikersincidenten en netwerkverdeders en het juiste reactieteam voor consumentenincidenten (CIRT)/ Computer Emergency Response Team (CERT) (zoals US-CERT, DoD CERT, IC CERT)] om [Toewijzing: door de organisatie gedefinieerde incidentinformatie] te correleren en te delen om een perspectief tussen de organisatie te bereiken op incidentenbewustzijn en effectievere incidentreacties. IR-05 Incident Monitoring De organisatie houdt beveiligingsincidenten van informatiesystemen bij en documentert deze. IR-05(1) De organisatie maakt gebruik van geautomatiseerde mechanismen om te helpen bij het bijhouden van beveiligingsincidenten en bij het verzamelen en analyseren van incidentgegevens. |
Implementeer de mogelijkheden voor het afhandelen en bewaken van incidenten. Dit omvat geautomatiseerde incidentafhandeling, dynamische herconfiguratie, continuïteit van bewerkingen, informatiecorrelatie, insiderbedreigingen, correlatie met externe organisaties en incidentbewaking en geautomatiseerde tracering. In de auditlogboeken worden alle configuratiewijzigingen vastgelegd. Verificatie- en autorisatiegebeurtenissen worden gecontroleerd in de aanmeldingslogboeken en eventuele gedetecteerde risico's worden gecontroleerd in de Microsoft Entra ID Protection-logboeken. U kunt elk van deze logboeken rechtstreeks streamen naar een SIEM-oplossing, zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden. Automatiseer dynamische herconfiguratie op basis van gebeurtenissen in de SIEM met behulp van Microsoft Graph PowerShell. Controlegebeurtenissen SIEM-integraties |
Personeelsbeveiliging
De richtlijnen in de volgende tabel hebben betrekking op:
- PS-4 Personeelsbeëindiging
| FedRAMP Control ID en beschrijving | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| PS-4 Beëindiging van personeel De organisatie, na beëindiging van individuele werkgelegenheid: (a.) Schakelt toegang tot het informatiesysteem uit binnen [FedRAMP Assignment: acht (8) uur]; (b.) Beëindigt/intrekt alle verificators/referenties die aan de persoon zijn gekoppeld; (c.) Voert exit-interviews uit met een bespreking van [Toewijzing: door de organisatie gedefinieerde onderwerpen over informatiebeveiliging]; (d.) Haalt alle beveiligingsgerelateerde organisatiegegevenssysteemeigenschap op; (e.) Behoudt de toegang tot organisatorische informatie en informatiesystemen die voorheen worden beheerd door een beëindigd individu; en (f.) Notificeert [Toewijzing: door de organisatie gedefinieerd personeel of rollen] binnen [Toewijzing: door de organisatie gedefinieerde tijdsperiode]. PS-4(2) De organisatie maakt gebruik van geautomatiseerde mechanismen om [FedRAMP Assignment: toegangsbeheerpersoneel dat verantwoordelijk is voor het uitschakelen van de toegang tot het systeem] op de hoogte te stellen na beëindiging van een persoon. |
Informeer personeel dat verantwoordelijk is voor het uitschakelen van de toegang tot het systeem automatisch. Schakel accounts uit en trek alle bijbehorende verificators en referenties binnen 8 uur in. Configureer inrichting (inclusief uitschakelen bij beëindiging) van accounts in Microsoft Entra ID van externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud. Beëindig alle systeemtoegang door bestaande sessies in te roepen. Accountinrichting Alle bijbehorende authenticators intrekken |
Systeem- en informatieintegriteit
De richtlijnen in de volgende tabel hebben betrekking op:
- SI-4 Informatiesysteembewaking
| FedRAMP Control ID en beschrijving | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| SI-4 Information System Monitoring De organisatie: (a.) Controleert het informatiesysteem om het volgende te detecteren: (1.) Aanvallen en indicatoren van mogelijke aanvallen overeenkomstig [Toewijzing: door de organisatie gedefinieerde bewakingsdoelstellingen]; en (2.) Niet-geautoriseerde lokale, netwerk- en externe verbindingen; (b.) Identificeert onbevoegd gebruik van het informatiesysteem via [Toewijzing: door de organisatie gedefinieerde technieken en methoden]; (c.) Implementeert bewakingsapparaten (i) strategisch binnen het informatiesysteem om door de organisatie bepaalde essentiële informatie te verzamelen; en ii) op ad-hoclocaties binnen het systeem om specifieke soorten transacties van belang voor de organisatie bij te houden; (d.) Beschermt informatie die afkomstig is van inbraakbewakingstools tegen onbevoegde toegang, wijziging en verwijdering; (e.) Vergroot het niveau van de activiteiten in het informatiesysteembewaking wanneer er een indicatie is van een verhoogd risico voor organisatieactiviteiten en activa, individuen, andere organisaties of de natie op basis van informatie over de rechtshandhaving, inlichtingeninformatie of andere geloofwaardige informatiebronnen; (f.) Krijgt een juridisch advies met betrekking tot informatiesysteembewakingsactiviteiten in overeenstemming met toepasselijke federale wetten, executive orders, richtlijnen, beleidsregels of voorschriften; en (d.) Biedt [Toewijzing: door de organisatie gedefinieerde informatie over het bewakingssysteem] aan [Toewijzing: door de organisatie gedefinieerd personeel of rollen] [Selectie (een of meer): indien nodig; [Toewijzing: door de organisatie gedefinieerde frequentie]]. SI-4 Aanvullende FedRAMP-vereisten en richtlijnen: Richtlijnen: Raadpleeg de richtlijnen voor het melden van incidenten van US-CERT. SI-04(1) De organisatie verbindt en configureert afzonderlijke hulpprogramma's voor inbraakdetectie in een inbraakdetectiesysteem voor het hele informatiesysteem. |
Implementeer informatiesysteembrede bewaking en het inbraakdetectiesysteem. Neem alle Microsoft Entra-logboeken (audit, aanmelding, id-beveiliging) op in de bewakingsoplossing van het informatiesysteem. Stream Microsoft Entra meldt zich aan bij een SIEM-oplossing (zie IA-04). |