Microsoft Entra ID en PCI-DSS-vereiste 10
Vereiste 10: Alle toegang tot systeemonderdelen en vereisten voor door kaartaanduiding
gedefinieerde gegevens vastleggen en bewaken
10.1 Processen en mechanismen voor logboekregistratie en bewaking van alle toegang tot systeemonderdelen en kaartaanduidingsgegevens worden gedefinieerd en gedocumenteerd.
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 10 zijn: Gedocumenteerd up-to-date in gebruik bekend bij alle betrokken partijen |
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
10.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in vereiste 10 worden gedocumenteerd, toegewezen en begrepen. | Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
10.2 Auditlogboeken worden geïmplementeerd ter ondersteuning van de detectie van afwijkingen en verdachte activiteiten, en de forensische analyse van gebeurtenissen.
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.2.1 Auditlogboeken zijn ingeschakeld en actief voor alle systeemonderdelen en gegevens van de kaarthouder. | Archiveer auditlogboeken van Microsoft Entra om wijzigingen in beveiligingsbeleid en configuratie van Microsoft Entra-tenants te verkrijgen. ArchiveEr Microsoft Entra-activiteitenlogboeken in een SIEM-systeem (Security Information and Event Management) voor meer informatie over het gebruik. Microsoft Entra-activiteitenlogboeken in Azure Monitor |
10.2.1.1 Auditlogboeken leggen alle individuele gebruikerstoegang tot kaartaanduidingsgegevens vast. | Niet van toepassing op Microsoft Entra-id. |
10.2.1.2 Auditlogboeken leggen alle acties vast die elke persoon met beheerderstoegang heeft, inclusief interactief gebruik van toepassings- of systeemaccounts. | Niet van toepassing op Microsoft Entra-id. |
10.2.1.3 Auditlogboeken leggen alle toegang tot auditlogboeken vast. | In Microsoft Entra-id kunt u logboeken niet wissen of wijzigen. Bevoegde gebruikers kunnen query's uitvoeren op logboeken van Microsoft Entra-id. Minst bevoorrechte rollen per taak in Microsoft Entra-id Wanneer auditlogboeken worden geëxporteerd naar systemen zoals Azure Log Analytics-werkruimte, opslagaccounts of SIEM-systemen van derden, controleert u deze voor toegang. |
10.2.1.4 Auditlogboeken vastleggen alle ongeldige logische toegangspogingen. | Microsoft Entra ID genereert activiteitenlogboeken wanneer een gebruiker zich probeert aan te melden met ongeldige referenties. Er worden activiteitenlogboeken gegenereerd wanneer de toegang wordt geweigerd vanwege beleid voor voorwaardelijke toegang. |
10.2.1.5 Auditlogboeken leggen alle wijzigingen in identificatie- en verificatiereferenties vast, waaronder, maar niet beperkt tot: Het maken van nieuwe accounts Uitbreiding van bevoegdheden Alle wijzigingen, toevoegingen of verwijderingen aan accounts met beheerderstoegang |
Microsoft Entra ID genereert auditlogboeken voor de gebeurtenissen in deze vereiste. |
10.2.1.6 Auditlogboeken leggen het volgende vast: Alle initialisatie van nieuwe auditlogboeken en Alle starten, stoppen of onderbreken van de bestaande auditlogboeken. |
Niet van toepassing op Microsoft Entra-id. |
10.2.1.7 Auditlogboeken leggen het maken en verwijderen van objecten op systeemniveau vast. | Microsoft Entra ID genereert auditlogboeken voor gebeurtenissen in deze vereiste. |
10.2.2 Auditlogboeken registreren de volgende details voor elke controlebare gebeurtenis: Gebruikersidentificatie. Type gebeurtenis. Datum en tijd. Succes- en foutindicatie. Oorsprong van gebeurtenis. Identiteit of naam van betrokken gegevens, systeemonderdeel, resource of service (bijvoorbeeld naam en protocol). |
Zie, auditlogboeken in Microsoft Entra-id |
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.3.1 Leestoegang tot auditlogboekbestanden is beperkt tot bestanden met betrekking tot taken. | Bevoegde gebruikers kunnen query's uitvoeren op logboeken van Microsoft Entra-id. Rollen met minimale bevoegdheden per taak in Microsoft Entra ID |
10.3.2 Auditlogboekbestanden zijn beveiligd om wijzigingen door personen te voorkomen. | In Microsoft Entra-id kunt u logboeken niet wissen of wijzigen. Wanneer auditlogboeken worden geëxporteerd naar systemen zoals Azure Log Analytics-werkruimte, opslagaccounts of SIEM-systemen van derden, controleert u deze voor toegang. |
10.3.3 Auditlogboekbestanden, waaronder die voor externe technologieën, worden onmiddellijk een back-up gemaakt van een beveiligde, centrale, interne logboekserver(s) of andere media die moeilijk te wijzigen zijn. | In Microsoft Entra-id kunt u logboeken niet wissen of wijzigen. Wanneer auditlogboeken worden geëxporteerd naar systemen zoals Azure Log Analytics-werkruimte, opslagaccounts of SIEM-systemen van derden, controleert u deze voor toegang. |
10.3.4 Bewaking van bestandsintegriteit of mechanismen voor wijzigingsdetectie wordt gebruikt in auditlogboeken om ervoor te zorgen dat bestaande logboekgegevens niet kunnen worden gewijzigd zonder waarschuwingen te genereren. | In Microsoft Entra-id kunt u logboeken niet wissen of wijzigen. Wanneer auditlogboeken worden geëxporteerd naar systemen zoals Azure Log Analytics-werkruimte, opslagaccounts of SIEM-systemen van derden, controleert u deze voor toegang. |
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.4.1 De volgende auditlogboeken worden minstens één keer per dag gecontroleerd: Alle beveiligingsgebeurtenissen. Logboeken van alle systeemonderdelen die gegevens van kaarthouders (CHD) en/of gevoelige verificatiegegevens (SAD) opslaan, verwerken of verzenden. Logboeken van alle kritieke systeemonderdelen. Logboeken van alle servers en systeemonderdelen die beveiligingsfuncties uitvoeren (bijvoorbeeld netwerkbeveiligingscontroles, inbraakdetectiesystemen/inbraakpreventiesystemen (IDS/IPS), verificatieservers). |
Neem Microsoft Entra-logboeken op in dit proces. |
10.4.1.1 Geautomatiseerde mechanismen worden gebruikt om controlelogboekbeoordelingen uit te voeren. | Neem Microsoft Entra-logboeken op in dit proces. Configureer geautomatiseerde acties en waarschuwingen wanneer Microsoft Entra-logboeken zijn geïntegreerd met Azure Monitor. Azure Monitor implementeren: waarschuwingen en geautomatiseerde acties |
10.4.2 Logboeken van alle andere systeemonderdelen (die niet zijn opgegeven in Vereiste 10.4.1) worden periodiek gecontroleerd. | Niet van toepassing op Microsoft Entra-id. |
10.4.2.1 De frequentie van periodieke logboekbeoordelingen voor alle andere systeemonderdelen (niet gedefinieerd in Vereiste 10.4.1) wordt gedefinieerd in de gerichte risicoanalyse van de entiteit, die wordt uitgevoerd op basis van alle elementen die zijn opgegeven in Vereiste 12.3.1 | Niet van toepassing op Microsoft Entra-id. |
10.4.3 Uitzonderingen en afwijkingen die tijdens het beoordelingsproces zijn geïdentificeerd, worden aangepakt. | Niet van toepassing op Microsoft Entra-id. |
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.5.1 Bewaar de geschiedenis van het auditlogboek gedurende ten minste 12 maanden, met ten minste de meest recente drie maanden onmiddellijk beschikbaar voor analyse. | Integreer met Azure Monitor en exporteer de logboeken voor langetermijnarchivering. Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken Meer informatie over het bewaarbeleid voor gegevensretentie van Microsoft Entra. Microsoft Entra gegevensretentie |
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.6.1 Systeemklokken en -tijd worden gesynchroniseerd met behulp van tijdsynchronisatietechnologie. | Meer informatie over het tijdsynchronisatiemechanisme in Azure-services. Tijdsynchronisatie voor financiële services in Azure |
10.6.2 Systemen zijn als volgt geconfigureerd voor de juiste en consistente tijd: een of meer aangewezen tijdservers worden gebruikt. Alleen de aangewezen centrale tijdserver(s) ontvangt tijd van externe bronnen. De tijd die is ontvangen van externe bronnen is gebaseerd op International Atomic Time of Coordinated Universal Time (UTC). De aangewezen tijdserver(s) accepteren tijdupdates alleen van specifieke door de branche geaccepteerde externe bronnen. Als er meer dan één aangewezen tijdserver is, peeren de tijdservers met elkaar om de tijd nauwkeurig te houden. Interne systemen ontvangen alleen tijdinformatie van aangewezen centrale tijdserver(s). |
Meer informatie over het tijdsynchronisatiemechanisme in Azure-services. Tijdsynchronisatie voor financiële services in Azure |
10.6.3 Tijdsynchronisatie-instellingen en -gegevens worden als volgt beveiligd: toegang tot tijdgegevens is beperkt tot alleen personeel met zakelijke behoeften. Wijzigingen in tijdinstellingen op kritieke systemen worden geregistreerd, bewaakt en gecontroleerd. |
Microsoft Entra-id is afhankelijk van tijdsynchronisatiemechanismen in Azure. Azure-procedures synchroniseren servers en netwerkapparaten met NTP Stratum 1-time servers gesynchroniseerd met GPS-satellieten (Global Positioning System). Synchronisatie vindt elke vijf minuten plaats. Azure zorgt ervoor dat servicehosts synchroniseren. Tijdsynchronisatie voor financiële services in Hybride Azure-onderdelen in Microsoft Entra ID, zoals Microsoft Entra Connect-servers, communiceren met on-premises infrastructuur. De klant is eigenaar van tijdsynchronisatie van on-premises servers. |
10.7 Fouten van kritieke beveiligingsbeheersystemen worden gedetecteerd, gerapporteerd en onmiddellijk gereageerd.
Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
---|---|
10.7.2 Aanvullende vereiste voor serviceproviders alleen: Fouten van kritieke beveiligingsbeheersystemen worden gedetecteerd, gewaarschuwd en onmiddellijk aangepakt, inclusief maar niet beperkt tot het mislukken van de volgende kritieke beveiligingsbeheersystemen: Netwerkbeveiligingsbeheer IDS/IPS File Integrity Monitoring (FIM) Antimalwareoplossingen Fysieke toegangsbeheer Logische toegangsbeheer Controlemechanisme segmentatiemechanismen (indien gebruikt) |
Microsoft Entra-id is afhankelijk van tijdsynchronisatiemechanismen in Azure. ondersteuning voor Azure realtime gebeurtenisanalyse in de operationele omgeving. Interne Azure-infrastructuursystemen genereren bijna realtime gebeurteniswaarschuwingen over mogelijke inbreuk. |
10.7.2 Fouten van kritieke beveiligingsbeheersystemen worden gedetecteerd, gewaarschuwd en geadresseerd, waaronder, maar niet beperkt tot het mislukken van de volgende kritieke beveiligingsbeheersystemen: Netwerkbeveiligingsbeheer-IDS /IP-wijzigingsdetectiemechanismen Antimalwareoplossingen Fysieke toegangsbeheer logische toegangsbeheer Logische toegangsbeheer Controlemechanismen Segmentatiemechanismen (indien gebruikt) Controlelogboekbeoordelingsmechanismen Geautomatiseerde hulpprogramma's voor beveiligingstests (indien gebruikt) |
Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra |
10.7.3 Fouten van kritieke besturingselementen voor beveiligingsmaatregelen worden onmiddellijk gereageerd, met inbegrip van maar niet beperkt tot: Beveiligingsfuncties herstellen. De duur (datum en tijd van begin tot eind) van de beveiligingsfout identificeren en documenteren. Identificeren en documenteren van de oorzaak(en) van de fout en het documenteren van de vereiste herstel. Het identificeren en oplossen van beveiligingsproblemen die zijn ontstaan tijdens de fout. Bepalen of verdere acties vereist zijn als gevolg van de beveiligingsfout. Besturingselementen implementeren om te voorkomen dat de oorzaak van fouten opnieuw optreedt. Hervatting van bewaking van beveiligingscontroles. |
Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra |
PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.
Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.
- Richtlijnen voor Microsoft Entra PCI-DSS
- Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden
- Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen
- Vereiste 5: Alle systemen en netwerken beschermen tegen schadelijke software
- Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden
- Vereiste 7: Toegang tot systeemonderdelen en kaartaanduidingsgegevens beperken door zakelijke noodzaak
- Vereiste 8: Gebruikers identificeren en toegang tot systeemonderdelen verifiëren
- Vereiste 10: Alle toegang tot systeemonderdelen en kaartaanduidingsgegevens registreren en bewaken (u bent hier)
- Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen
- Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication