Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zero Trust jest strategią zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:
| Jawne weryfikowanie | Korzystanie z dostępu z najniższymi uprawnieniami | Załóżmy, że naruszenie |
|---|---|---|
| Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę. |
W tym artykule opisano sposób korzystania z rozwiązania Microsoft Sentinel Zero Trust (TIC 3.0), które pomaga zespołom ds. ładu i zgodności monitorować wymagania Zero Trust zgodnie z inicjatywą TRUSTED INTERNET CONNECTIONS (TIC) 3.0 i odpowiadać na nie.
Microsoft Sentinel rozwiązania to zestawy zawartości w pakiecie, wstępnie skonfigurowane dla określonego zestawu danych. Rozwiązanie Zero Trust (TIC 3.0) obejmuje skoroszyt, reguły analizy i podręcznik, które zapewniają zautomatyzowaną wizualizację zasad Zero Trust, które są śmierdzone przez strukturę Zaufane połączenia internetowe, ułatwiając organizacjom monitorowanie konfiguracji w czasie.
Uwaga
Uzyskaj kompleksowy widok stanu Zero Trust organizacji za pomocą inicjatywy Zero Trust w usłudze Microsoft Exposure Management. Aby uzyskać więcej informacji, zobacz Szybka modernizacja stanu zabezpieczeń dla Zero Trust | Microsoft Learn.
Rozwiązanie Zero Trust i platforma TIC 3.0
Zero Trust i TIC 3.0 nie są takie same, ale mają wiele wspólnych tematów i razem zapewniają wspólną historię. Rozwiązanie Microsoft Sentinel dla Zero Trust (TIC 3.0) oferuje szczegółowe przejścia dla pieszych między Microsoft Sentinel a modelem Zero Trust z platformą TIC 3.0. Te przejścia ułatwiają użytkownikom lepsze zrozumienie nakładania się tych dwóch elementów.
Chociaż rozwiązanie Microsoft Sentinel dla Zero Trust (TIC 3.0) zawiera wskazówki dotyczące najlepszych rozwiązań, firma Microsoft nie gwarantuje ani nie oznacza zgodności. Wszystkie wymagania, walidacje i mechanizmy kontroli zaufanego połączenia internetowego (TIC) są regulowane przez Agencję Bezpieczeństwa Infrastruktury & Cyberbezpieczeństwa.
Rozwiązanie Zero Trust (TIC 3.0) zapewnia widoczność i świadomość sytuacyjną w zakresie wymagań dotyczących kontroli dostarczanych za pomocą technologii firmy Microsoft w środowiskach opartych głównie na chmurze. Środowisko klienta będzie się różnić w zależności od użytkownika, a niektóre okienka mogą wymagać dodatkowych konfiguracji i modyfikacji zapytań na potrzeby operacji.
Zalecenia nie oznaczają pokrycia odpowiednich mechanizmów kontroli, ponieważ są one często jednym z kilku sposobów działania w celu spełnienia wymagań, które są unikatowe dla każdego klienta. Zalecenia należy uznać za punkt wyjścia do planowania pełnego lub częściowego pokrycia odpowiednich wymagań dotyczących kontroli.
Rozwiązanie Microsoft Sentinel dla Zero Trust (TIC 3.0) jest przydatne dla każdego z następujących użytkowników i przypadków użycia:
- Specjaliści ds. ładu, ryzyka i zgodności w zakresie zabezpieczeń na potrzeby oceny stanu zgodności i raportowania
- Inżynierowie i architekci, którzy muszą projektować obciążenia z Zero Trust i TIC 3.0
- Analitycy zabezpieczeń na potrzeby tworzenia alertów i automatyzacji
- Dostawcy usług zabezpieczeń zarządzanych (MSSP) na potrzeby usług konsultingowych
- Menedżerowie zabezpieczeń, którzy muszą przeglądać wymagania, analizować raportowanie, oceniać możliwości
Wymagania wstępne
Przed zainstalowaniem rozwiązania Zero Trust (TIC 3.0) upewnij się, że masz następujące wymagania wstępne:
Dołączanie usług firmy Microsoft: upewnij się, że w subskrypcji Azure włączono zarówno Microsoft Sentinel, jak i Microsoft Defender dla chmury.
Microsoft Defender wymagania dotyczące chmury: w Microsoft Defender dla chmury:
Dodaj wymagane standardy regulacyjne do pulpitu nawigacyjnego. Upewnij się, że do pulpitu nawigacyjnego Microsoft Defender for Cloud dodano zarówno test porównawczy zabezpieczeń usługi Microsoft Cloud, jak i ocenę NIST SP 800-53 R5. Aby uzyskać więcej informacji, zobacz dodawanie standardu regulacyjnego do pulpitu nawigacyjnego w dokumentacji Microsoft Defender for Cloud.
Ciągłe eksportowanie Microsoft Defender danych w chmurze do obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Ciągłe eksportowanie Microsoft Defender danych w chmurze.
Wymagane uprawnienia użytkownika. Aby zainstalować rozwiązanie Zero Trust (TIC 3.0), musisz mieć dostęp do obszaru roboczego Microsoft Sentinel z uprawnieniami czytelnika zabezpieczeń.
Rozwiązanie Zero Trust (TIC 3.0) jest również rozszerzane przez integrację z innymi usługami firmy Microsoft, takimi jak:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Microsoft Defender for Cloud
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Ochrona usługi Office 365 w usłudze Microsoft Defender
Instalowanie rozwiązania Zero Trust (TIC 3.0)
Aby wdrożyć rozwiązanie Zero Trust (TIC 3.0) z Azure Portal:
W Microsoft Sentinel wybierz pozycję Centrum zawartości i znajdź rozwiązanie Zero Trust (TIC 3.0).
W prawym dolnym rogu wybierz pozycję Wyświetl szczegóły, a następnie pozycję Utwórz. Wybierz subskrypcję, grupę zasobów i obszar roboczy, w którym chcesz zainstalować rozwiązanie, a następnie przejrzyj powiązaną zawartość zabezpieczeń, która zostanie wdrożona.
Po zakończeniu wybierz pozycję Przejrzyj i utwórz , aby zainstalować rozwiązanie.
Aby uzyskać więcej informacji, zobacz Deploy out-of-the-box content and solutions (Wdrażanie wbudowanej zawartości i rozwiązań).
Przykładowy scenariusz użycia
W poniższych sekcjach pokazano, jak analityk operacji zabezpieczeń może używać zasobów wdrożonych za pomocą rozwiązania Zero Trust (TIC 3.0) do przeglądania wymagań, eksplorowania zapytań, konfigurowania alertów i implementowania automatyzacji.
Po zainstalowaniu rozwiązania Zero Trust (TIC 3.0) użyj skoroszytu, reguł analizy i podręcznika wdrożonego w obszarze roboczym Microsoft Sentinel, aby zarządzać Zero Trust w sieci.
Wizualizowanie danych Zero Trust
Przejdź do skoroszytu Microsoft Sentinel WorkbooksZero Trust (TIC 3.0), a następnie wybierz pozycję Wyświetl zapisany skoroszyt>.
Na stronie skoroszytu Zero Trust (TIC 3.0) wybierz możliwości TIC 3.0, które chcesz wyświetlić. W tej procedurze wybierz pozycję Wykrywanie włamań.
Porada
Użyj przełącznika Przewodnik w górnej części strony, aby wyświetlić lub ukryć zalecenia i okienka przewodnika. Upewnij się, że w opcjach Subskrypcja, Obszar roboczy i TimeRange wybrano poprawne szczegóły, aby można było wyświetlić określone dane, które chcesz znaleźć.
Wybierz karty sterujące, które chcesz wyświetlić. W tej procedurze wybierz pozycję Adaptacyjne Access Control, a następnie kontynuuj przewijanie, aby wyświetlić wyświetloną kartę.
Porada
Użyj przełącznika Prowadnice w lewym górnym rogu, aby wyświetlić lub ukryć zalecenia i okienka przewodnika. Mogą one być przydatne na przykład podczas pierwszego uzyskiwania dostępu do skoroszytu, ale niepotrzebne po zrozumieniu odpowiednich pojęć.
Eksplorowanie zapytań. Na przykład w prawym górnym rogu karty Adaptacyjne Access Control wybierz menu Trzy opcje kropki, a następnie wybierz pozycję Otwórz zapytanie ostatniego uruchomienia w widoku Dzienniki.
Zapytanie jest otwierane na stronie dzienników Microsoft Sentinel:
Konfigurowanie alertów związanych z Zero Trust
W Microsoft Sentinel przejdź do obszaru Analiza. Wyświetl wbudowane reguły analizy wdrożone za pomocą rozwiązania Zero Trust (TIC 3.0), wyszukując TIC3.0.
Domyślnie rozwiązanie Zero Trust (TIC 3.0) instaluje zestaw reguł analizy, które są skonfigurowane do monitorowania stanu Zero Trust (TIC3.0) przez rodzinę kontrolną, a także można dostosować progi dla powiadamiania zespołów zgodności o zmianach stanu.
Jeśli na przykład stan odporności obciążenia spadnie poniżej określonej wartości procentowej w ciągu tygodnia, Microsoft Sentinel wygeneruje alert, aby szczegółowo określić stan odpowiednich zasad (pass/fail), zidentyfikowane zasoby, czas ostatniej oceny i podaj szczegółowe linki do Microsoft Defender for Cloud na potrzeby akcji korygowania.
Zaktualizuj reguły zgodnie z potrzebami lub skonfiguruj nowe:
Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.
Odpowiadanie za pomocą programu SOAR
W Microsoft Sentinel przejdź do kartyPodręczniki usługiAutomation> Active i znajdź podręcznik Notify-GovernanceComplianceTeam.
Ten podręcznik służy do automatycznego monitorowania alertów kontrolera CMMC i powiadamiania zespołu ds. zgodności ładu o odpowiednich szczegółach za pośrednictwem wiadomości e-mail i komunikatów usługi Microsoft Teams. Zmodyfikuj podręcznik w razie potrzeby:
Aby uzyskać więcej informacji, zobacz Używanie wyzwalaczy i akcji w Microsoft Sentinel podręcznikach.
Często zadawane pytania
Czy niestandardowe widoki i raporty są obsługiwane?
Tak. Skoroszyt Zero Trust (TIC 3.0) można dostosować, aby wyświetlać dane według subskrypcji, obszaru roboczego, czasu, rodziny kontroli lub parametrów poziomu dojrzałości, a także eksportować i drukować skoroszyt.
Aby uzyskać więcej informacji, zobacz Używanie skoroszytów Azure Monitor do wizualizowania i monitorowania danych.
Czy są wymagane dodatkowe produkty?
Wymagane są zarówno Microsoft Sentinel, jak i Microsoft Defender dla chmury.
Oprócz tych usług każda karta sterowania jest oparta na danych z wielu usług, w zależności od typów danych i wizualizacji wyświetlanych na karcie. Ponad 25 usług firmy Microsoft zapewnia wzbogacenie rozwiązania Zero Trust (TIC 3.0).
Co należy zrobić z panelami bez danych?
Panele bez danych stanowią punkt wyjścia do spełnienia wymagań dotyczących kontroli Zero Trust i TIC 3.0, w tym zaleceń dotyczących odpowiednich mechanizmów kontroli.
Czy wiele subskrypcji, chmur i dzierżaw jest obsługiwanych?
Tak. Parametry skoroszytu, Azure Lighthouse i Azure Arc umożliwiają korzystanie z rozwiązania Zero Trust (TIC 3.0) we wszystkich subskrypcjach, chmurach i dzierżawach.
Aby uzyskać więcej informacji, zobacz Używanie skoroszytów Azure Monitor do wizualizowania i monitorowania danych oraz Zarządzanie wieloma dzierżawami w Microsoft Sentinel jako mssp.
Czy integracja partnerów jest obsługiwana?
Tak. Zarówno skoroszyty, jak i reguły analizy można dostosowywać do integracji z usługami partnerskimi.
Aby uzyskać więcej informacji, zobacz Używanie skoroszytów Azure Monitor do wizualizowania i monitorowania danych oraz szczegółów zdarzeń niestandardowych urządzenia Surface w alertach.
Czy jest to dostępne w regionach rządowych?
Tak. Rozwiązanie Zero Trust (TIC 3.0) jest dostępne w publicznej wersji zapoznawczej i można je wdrożyć w regionach komercyjnych/rządowych. Aby uzyskać więcej informacji, zobacz Dostępność funkcji w chmurze dla klientów komercyjnych i rządowych USA.
Które uprawnienia są wymagane do korzystania z tej zawartości?
Microsoft Sentinel Użytkownicy współautorów mogą tworzyć i edytować skoroszyty, reguły analizy i inne zasoby Microsoft Sentinel.
Microsoft Sentinel użytkownicy czytnika mogą wyświetlać dane, zdarzenia, skoroszyty i inne zasoby Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Uprawnienia w Microsoft Sentinel.
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Wprowadzenie do Microsoft Sentinel
- Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
- Microsoft Zero Trust Model
- centrum wdrażania Zero Trust
Obejrzyj nasze filmy wideo:
- Pokaz: rozwiązanie Microsoft Sentinel Zero Trust (TIC 3.0)
- Microsoft Sentinel: pokaz skoroszytu Zero Trust (TIC 3.0)
Przeczytaj nasze blogi!
- Ogłoszenie rozwiązania Microsoft Sentinel: Zero Trust (TIC3.0)
- Tworzenie i monitorowanie obciążeń Zero Trust (TIC 3.0) dla federalnych systemów informacyjnych z Microsoft Sentinel
- Zero Trust: 7 strategii wdrażania od liderów zabezpieczeń
- Implementowanie Zero Trust za pomocą usługi Microsoft Azure: Zarządzanie tożsamościami i dostępem (6 serii części)