Inne obszary zero trustu skierowane w memorandum 22-09

Inne artykuły w tych wskazówkach dotyczą filaru tożsamości zasad Zero Trust, zgodnie z opisem w Us Office of Management and Budget (OMB) M 22-09 Memorandum dla dyrektorów departamentów wykonawczych i agencji. W tym artykule opisano obszary modelu dojrzałości Zero Trust wykraczające poza filar tożsamości i dotyczą następujących tematów:

• Widoczność
• Analizy
• Automatyzacja i aranżacja
• Ład korporacyjny

Widoczność

Ważne jest, aby monitorować dzierżawę firmy Microsoft Entra. Przyjmij sposób myślenia o naruszeniu i spełniaj standardy zgodności w memorandum 22-09 i Memorandum 21-31. Do analizy zabezpieczeń i pozyskiwania są używane trzy podstawowe typy dzienników:

• Dzienniki inspekcji platformy Azure do monitorowania działań operacyjnych katalogu, takich jak tworzenie, usuwanie, aktualizowanie obiektów, takich jak użytkownicy lub grupy
  • Służy również do wprowadzania zmian w konfiguracjach firmy Microsoft Entra, takich jak modyfikacje zasad dostępu warunkowego
  • Zobacz Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft
• Dzienniki aprowizacji zawierają informacje o obiektach synchronizowanych z identyfikatorem Entra firmy Microsoft z aplikacjami, takimi jak Usługa teraz z programem Microsoft Identity Manager
  • Zobacz, Provisioning logs in Microsoft Entra ID ( Dzienniki aprowizacji w identyfikatorze Entra firmy Microsoft)
• Dzienniki logowania w usłudze Microsoft Entra służą do monitorowania działań logowania skojarzonych z użytkownikami, aplikacjami i jednostkami usługi.
  • Dzienniki logowania mają kategorie różnic
  • Logowania interakcyjne pokazują pomyślne i nieudane logowania, zastosowane zasady i inne metadane
  • Logowania użytkowników nieinterakcyjnych nie pokazują interakcji podczas logowania: klienci logujący się w imieniu użytkownika, tacy jak aplikacje mobilne lub klienci poczty e-mail
  • Logowania jednostki usługi pokazują nazwę główną usługi lub logowanie aplikacji: usługi lub aplikacje, które uzyskują dostęp do usług, aplikacji lub katalogu Microsoft Entra za pośrednictwem interfejsu API REST
  • Tożsamości zarządzane na potrzeby logowania do zasobów platformy Azure: zasoby platformy Azure lub aplikacje korzystające z zasobów platformy Azure, takie jak usługa aplikacji internetowej uwierzytelniająca się w zapleczu usługi Azure SQL.
  • Zobacz Dzienniki logowania w usłudze Microsoft Entra ID (wersja zapoznawcza)

W dzierżawach usługi Microsoft Entra ID Free wpisy dziennika są przechowywane przez siedem dni. Dzierżawy z licencją Microsoft Entra ID P1 lub P2 zachowują wpisy dziennika przez 30 dni.

Upewnij się, że narzędzie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) pozyskuje dzienniki. Zdarzenia logowania i inspekcji umożliwiają skorelowanie z dziennikami aplikacji, infrastruktury, danych, urządzeń i sieci.

Zalecamy zintegrowanie dzienników firmy Microsoft Entra z usługą Microsoft Sentinel. Skonfiguruj łącznik do pozyskiwania dzienników dzierżawy firmy Microsoft Entra.

Więcej informacji:

• Co to jest usługa Microsoft Sentinel?
• Połączenie identyfikator entra firmy Microsoft do usługi Microsoft Sentinel

W przypadku dzierżawy microsoft Entra można skonfigurować ustawienia diagnostyczne, aby wysyłać dane do konta usługi Azure Storage, usługi Azure Event Hubs lub obszaru roboczego usługi Log Analytics. Użyj tych opcji magazynu, aby zintegrować inne narzędzia SIEM do zbierania danych.

Więcej informacji:

• Co to jest monitorowanie firmy Microsoft Entra?
• Zależności wdrażania raportowania i monitorowania firmy Microsoft

Analizy

Analiza w poniższych narzędziach umożliwia agregowanie informacji z identyfikatora Entra firmy Microsoft i pokazywanie trendów w poziomie zabezpieczeń w porównaniu z punktem odniesienia. Możesz również użyć analizy, aby ocenić i wyszukać wzorce lub zagrożenia w identyfikatorze Entra firmy Microsoft.

• Ochrona tożsamości Microsoft Entra analizuje logowania i inne źródła danych telemetrycznych pod kątem ryzykownego zachowania
  • Usługa Identity Protection przypisuje ocenę ryzyka do zdarzeń logowania
  • Zapobieganie logowaniu lub wymuszanie uwierzytelniania krokowego w celu uzyskania dostępu do zasobu lub aplikacji na podstawie oceny ryzyka
  • Zobacz Co to jest usługa Identity Protection?
• Raporty dotyczące użycia i szczegółowych informacji firmy Microsoft zawierają informacje podobne do skoroszytów usługi Azure Sentinel, w tym aplikacji o najwyższym użyciu lub trendach logowania.
  • Używanie raportów do zrozumienia zagregowanych trendów, które mogą wskazywać na atak lub inne zdarzenia
  • Zobacz, Użycie i szczegółowe informacje w identyfikatorze Entra firmy Microsoft
• Usługa Microsoft Sentinel analizuje informacje z identyfikatora Entra firmy Microsoft:
  • Usługa Microsoft Sentinel User and Entity Behavior Analytics (UEBA) zapewnia analizę potencjalnych zagrożeń ze strony użytkowników, hostów, adresów IP i jednostek aplikacji.
  • Użyj szablonów reguł analizy, aby wyszukać zagrożenia i alerty w dziennikach firmy Microsoft Entra. Analityk zabezpieczeń lub operacji może klasyfikować i korygować zagrożenia.
  • Skoroszyty usługi Microsoft Sentinel ułatwiają wizualizowanie źródeł danych firmy Microsoft Entra. Zobacz logowania według kraju/regionu lub aplikacji.
  • Zobacz Często używane skoroszyty usługi Microsoft Sentinel
  • Zobacz Wizualizowanie zebranych danych
  • Zobacz Identyfikowanie zaawansowanych zagrożeń za pomocą analizy UEBA w usłudze Microsoft Sentinel

Automatyzacja i aranżacja

Automatyzacja w usłudze Zero Trust ułatwia korygowanie alertów z powodu zagrożeń lub zmian zabezpieczeń. W usłudze Microsoft Entra ID integracje automatyzacji pomagają wyjaśnić działania w celu poprawy stanu zabezpieczeń. Automatyzacja jest oparta na informacjach otrzymanych z monitorowania i analizy.

Programowe uzyskiwanie dostępu do identyfikatora Entra ID firmy Microsoft za pomocą wywołań REST interfejsu API programu Microsoft Graph. Ten dostęp wymaga tożsamości entra firmy Microsoft z autoryzacjami i zakresem. Za pomocą interfejsu API programu Graph zintegruj inne narzędzia.

Zalecamy skonfigurowanie funkcji platformy Azure lub aplikacji logiki platformy Azure w celu korzystania z tożsamości zarządzanej przypisanej przez system. Aplikacja logiki lub funkcja zawiera kroki lub kod w celu zautomatyzowania akcji. Przypisz uprawnienia do tożsamości zarządzanej, aby udzielić uprawnień katalogu jednostki usługi do wykonywania akcji. Przyznawanie minimalnych praw tożsamości zarządzanych.

Dowiedz się więcej: Co to są tożsamości zarządzane dla zasobów platformy Azure?

Innym punktem integracji automatyzacji są moduły programu Microsoft Graph PowerShell. Program Microsoft Graph PowerShell umożliwia wykonywanie typowych zadań lub konfiguracji w identyfikatorze Entra firmy Microsoft lub dołączanie ich do funkcji platformy Azure lub elementów Runbook usługi Azure Automation.

Ład korporacyjny

Udokumentowanie procesów obsługi środowiska Firmy Microsoft Entra. Funkcje entra firmy Microsoft umożliwiają korzystanie z funkcji ładu stosowanych do zakresów w identyfikatorze Entra firmy Microsoft.

Więcej informacji:

• Przewodnik referencyjny dotyczący operacji Zarządzanie tożsamością Microsoft Entra
• Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra
• Co to jest Zarządzanie tożsamością Microsoft Entra?
• Spełnij wymagania dotyczące autoryzacji protokołu memorandum 22-09.

Następne kroki

• Spełnianie wymagań dotyczących tożsamości protokołu memorandum 22-09 przy użyciu identyfikatora Entra Firmy Microsoft
• System zarządzania tożsamościami w całym przedsiębiorstwie
• Spełnianie wymagań dotyczących uwierzytelniania wieloskładnikowego w memorandum 22-09
• Spełnianie wymagań dotyczących autoryzacji protokołu memorandum 22-09
• Zabezpieczanie tożsamości przy użyciu zera zaufania