Udostępnij za pośrednictwem

Konfigurowanie dodatkowych kontrolek w celu spełnienia poziomu wysokiego wpływu fedRAMP

  • Artykuł

Poniższa lista kontrolek (i ulepszeń kontroli) może wymagać konfiguracji w dzierżawie firmy Microsoft Entra.

Każdy wiersz w poniższych tabelach zawiera normatywne wskazówki. Te wskazówki ułatwiają opracowanie odpowiedzi organizacji na wszelkie wspólne obowiązki dotyczące ulepszenia kontroli lub kontroli.

Inspekcja i odpowiedzialność

Wskazówki zawarte w poniższej tabeli dotyczą:

  • Zdarzenia inspekcji AU-2
  • AU-3 Zawartość inspekcji
  • Przegląd inspekcji, analiza i raportowanie jednostek AU-6
Identyfikator i opis kontrolki FedRAMP Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
Zdarzenia inspekcji AU-2
Organizacja:
(a.) Określa, że system informacyjny może przeprowadzać inspekcję następujących zdarzeń: [Przypisanie FedRAMP: [Pomyślne i nieudane zdarzenia logowania kont, zdarzenia zarządzania kontami, dostęp do obiektów, zmiana zasad, funkcje uprawnień, śledzenie procesów i zdarzenia systemowe. W przypadku aplikacji internetowych: wszystkie działania administratora, kontrole uwierzytelniania, kontrole autoryzacji, usunięcia danych, dostęp do danych, zmiany danych i zmiany uprawnień];
(b.) Koordynuje funkcję inspekcji zabezpieczeń z innymi jednostkami organizacyjnymi, które wymagają informacji związanych z inspekcją, aby zwiększyć wzajemne wsparcie i ułatwić wybór zdarzeń podlegających inspekcji;
(c.) Przedstawia uzasadnienie, dla których zdarzenia podlegające inspekcji są uważane za odpowiednie do wspierania dochodzeń po zdarzeniu bezpieczeństwa; I
(d.) Określa, że w systemie informacyjnym mają być poddawane inspekcji następujące zdarzenia: [Przypisanie FedRAMP: zdefiniowany przez organizację podzestaw zdarzeń podlegających inspekcji zdefiniowanych w AU-2 a. do ciągłego przeprowadzania inspekcji dla każdego zidentyfikowanego zdarzenia].

AU-2 Dodatkowe wymagania i wskazówki fedRAMP:
Wymaganie: Koordynacja między usługodawcą a konsumentem jest udokumentowana i zaakceptowana przez JAB/AO.

AU-3 — Zawartość i rekordy inspekcji
System informacyjny generuje rekordy inspekcji zawierające informacje, które określają typ zdarzenia, kiedy wystąpiło zdarzenie, gdzie wystąpiło zdarzenie, źródło zdarzenia, wynik zdarzenia oraz tożsamość wszystkich osób lub podmiotów skojarzonych ze zdarzeniem.

AU-3(1)
System informacyjny generuje rekordy inspekcji zawierające następujące dodatkowe informacje: [Przypisanie FedRAMP: zdefiniowane przez organizację dodatkowe, bardziej szczegółowe informacje].

AU-3 (1) Dodatkowe wymagania i wskazówki fedRAMP:
Wymaganie: Dostawca usług definiuje typy rekordów inspekcji [Przypisanie FedRAMP: sesja, połączenie, transakcja lub czas trwania działania; dla transakcji klient-serwer, liczba bajtów odebranych i bajtów wysłanych; dodatkowe komunikaty informacyjne do diagnozowania lub identyfikowania zdarzenia; cechy opisujące lub identyfikujące obiekt lub zasób, na których działa; poszczególne tożsamości użytkowników konta grupy; pełny tekst uprzywilejowanych poleceń]. Typy rekordów inspekcji są zatwierdzane i akceptowane przez jaB/AO.
Wskazówki: w przypadku transakcji klient-serwer liczba wysłanych i odebranych bajtów udostępnia dwukierunkowe informacje o transferze, które mogą być przydatne podczas badania lub zapytania.

AU-3(2)
System informacyjny zapewnia scentralizowane zarządzanie i konfigurację zawartości do przechwycenia w rekordach inspekcji generowanych przez [Przypisanie FedRAMP: wszystkie urządzenia sieciowe, magazyn danych i obliczeniowe].		 Upewnij się, że system może przeprowadzać inspekcję zdarzeń zdefiniowanych w części AU-2. Koordynuj z innymi jednostkami w podzestawie zdarzeń podlegających inspekcji, aby obsługiwać badania po faktach. Zaimplementuj scentralizowane zarządzanie rekordami inspekcji.

Wszystkie operacje cyklu życia konta (tworzenie konta, modyfikowanie, włączanie, wyłączanie i usuwanie akcji) są poddawane inspekcji w dziennikach inspekcji firmy Microsoft Entra. Wszystkie zdarzenia uwierzytelniania i autoryzacji są poddawane inspekcji w dziennikach logowania firmy Microsoft Entra, a wszelkie wykryte zagrożenia są poddawane inspekcji w dziennikach usługi Identity Protection. Każdy z tych dzienników można przesyłać strumieniowo bezpośrednio do rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takiego jak Microsoft Sentinel. Alternatywnie użyj usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm.

Inspekcja zdarzeń

  • Raporty dotyczące inspekcji w centrum administracyjnym firmy Microsoft Entra
  • Raporty aktywności logowania w centrum administracyjnym usługi Microsoft Entra
  • Instrukcje: Badanie ryzyka

    Integracje rozwiązania SIEM

  • Microsoft Sentinel: Połączenie dane z identyfikatora Entra firmy Microsoft
  • Przesyłanie strumieniowe do centrum zdarzeń platformy Azure i innych modułów SIEM
    		•
    Przegląd inspekcji, analiza i raportowanie jednostek AU-6
    Organizacja:
    (a.) Przegląda i analizuje rekordy inspekcji systemu informacyjnego [Przypisanie FedRAMP: co najmniej co tydzień] pod kątem wskazówek [Przypisanie: nieodpowiednie lub nietypowe działanie zdefiniowane przez organizację]; i
    (b.) Raporty dotyczące wyników [Przypisanie: personel lub role zdefiniowane przez organizację].
    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP aU-6:
    Wymaganie: Koordynacja między usługodawcą a konsumentem jest udokumentowana i zaakceptowana przez urzędnika autoryzowania. W środowiskach wielodostępnych udokumentowane są możliwości i środki zapewniające przegląd, analizę i raportowanie konsumentom danych odnoszących się do konsumenta.

    AU-6(1)
    Organizacja wykorzystuje zautomatyzowane mechanizmy integrowania procesów przeglądu inspekcji, analizy i raportowania w celu obsługi procesów organizacyjnych na potrzeby badania i reagowania na podejrzane działania.

    AU-6(3)
    Organizacja analizuje i koreluje rekordy inspekcji między różnymi repozytoriami, aby uzyskać świadomość sytuacji w całej organizacji.

    AU-6(4)
    System informacyjny zapewnia możliwość centralnego przeglądania i analizowania rekordów inspekcji z wielu składników systemu.

    AU-6(5)
    Organizacja integruje analizę rekordów inspekcji z analizą wyboru [FedRAMP Selection (co najmniej jeden): informacje dotyczące skanowania luk w zabezpieczeniach; dane dotyczące wydajności; informacje dotyczące monitorowania systemu informacyjnego; dane testu penetracyjnego; [Przypisanie: dane/informacje zdefiniowane przez organizację zebrane z innych źródeł]] w celu dalszego zwiększenia możliwości identyfikowania nieodpowiednich lub nietypowych działań.

    AU-6(6)
    Organizacja koreluje informacje z rekordów inspekcji z informacjami uzyskanymi z monitorowania dostępu fizycznego, aby dodatkowo zwiększyć możliwość identyfikowania podejrzanych, nieodpowiednich, nietypowych lub złośliwych działań.
    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP aU-6:
    Wymaganie: Koordynacja między usługodawcą a konsumentem jest udokumentowana i zaakceptowana przez JAB/AO.

    AU-6(7)
    Organizacja określa dozwolone akcje dla każdego wyboru FedRAMP (co najmniej jeden): proces systemu informacyjnego; rola; użytkownik] skojarzony z przeglądem, analizą i raportowaniem informacji inspekcji.

    AU-6(10)
    Organizacja dostosowuje poziom przeglądu inspekcji, analizy i raportowania w systemie informacyjnym, gdy nastąpiła zmiana ryzyka na podstawie informacji organów ścigania, informacji wywiadowczych lub innych wiarygodnych źródeł informacji.    		 Przejrzyj i przeanalizuj rekordy inspekcji co najmniej raz w tygodniu, aby zidentyfikować niewłaściwe lub nietypowe działania oraz zgłosić wyniki odpowiedniemu personelowi.

    Powyższe wskazówki przewidziane dla jednostek AU-02 i AU-03 umożliwiają tygodniowy przegląd rekordów inspekcji i raportowanie odpowiednich pracowników. Nie można spełnić tych wymagań przy użyciu tylko identyfikatora Entra firmy Microsoft. Należy również użyć rozwiązania SIEM, takiego jak Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Sentinel?.

    Reagowanie na zdarzenia

    Wskazówki zawarte w poniższej tabeli dotyczą:

    • Obsługa zdarzeń ir-4

    • Monitorowanie zdarzeń środowiska IR-5

    Identyfikator i opis kontrolki FedRAMP Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
    Obsługa zdarzeń ir-4
    Organizacja:
    (a.) Implementuje funkcję obsługi zdarzeń zabezpieczeń, która obejmuje przygotowywanie, wykrywanie i analizę, zawieranie, eliminowanie i odzyskiwanie;
    (b.) Koordynuje działania związane z obsługą zdarzeń z działaniami planowania awaryjnego; I
    (c.) Uwzględnia wnioski wyciągnięte z bieżących działań związanych z obsługą zdarzeń w procedurach reagowania na zdarzenia, szkoleniach i testach/ćwiczeniach oraz implementuje odpowiednie zmiany.
    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP ir-4:
    Wymaganie: Dostawca usług zapewnia, że osoby przeprowadzające zdarzenia spełniają wymagania dotyczące zabezpieczeń personelu proporcjonalnie do krytycznej/wrażliwej informacji przetwarzanych, przechowywanych i przesyłanych przez system informacyjny.

    IR-04(1)
    Organizacja wykorzystuje zautomatyzowane mechanizmy do obsługi procesu obsługi zdarzeń.

    IR-04(2)
    Organizacja obejmuje dynamiczną ponowną konfigurację [Przydział FedRAMP: wszystkie sieci, magazyn danych i urządzenia obliczeniowe] w ramach możliwości reagowania na zdarzenia.

    IR-04(3)
    Organizacja identyfikuje [Przypisanie: klasy zdarzeń zdefiniowanych przez organizację] i [Przypisanie: akcje zdefiniowane przez organizację do podjęcia w odpowiedzi na klasy zdarzeń] w celu zapewnienia kontynuacji misji organizacyjnych i funkcji biznesowych.

    IR-04(4)
    Organizacja koreluje informacje o zdarzeniu i indywidualne reagowanie na zdarzenia, aby uzyskać perspektywę dla całej organizacji na temat świadomości i reagowania na zdarzenia.

    IR-04(6)
    Organizacja implementuje możliwość obsługi zdarzeń dla zagrożeń wewnętrznych.

    IR-04(8)
    Organizacja implementuje możliwość obsługi zdarzeń dla zagrożeń wewnętrznych.
    Organizacja koordynuje z [FedRAMP Assignment: external organizations including consumer incident responders and network defenders and the appropriate consumer incident response team (CIRT)/ Computer Emergency Response Team (CERT) (np. US-CERT, DoD CERT, IC CERT)] w celu skorelowania i udostępniania [Przypisanie: informacje o zdarzeniach zdefiniowanych przez organizację] w celu osiągnięcia perspektywy między organizacjami na temat świadomości zdarzeń i bardziej skutecznych reakcji na zdarzenia.

    Monitorowanie zdarzeń ir-05
    Organizacja śledzi i dokumentuje zdarzenia zabezpieczeń systemu informacyjnego.

    IR-05(1)
    Organizacja korzysta z zautomatyzowanych mechanizmów ułatwiania śledzenia zdarzeń zabezpieczeń oraz zbierania i analizowania informacji o zdarzeniach.    		 Implementowanie możliwości obsługi i monitorowania zdarzeń. Obejmuje to automatyczną obsługę zdarzeń, dynamiczną rekonfigurację, ciągłość operacji, korelację informacji, zagrożenia niejawne, korelację z organizacjami zewnętrznymi oraz monitorowanie zdarzeń i zautomatyzowane śledzenie.

    Dzienniki inspekcji rejestrują wszystkie zmiany konfiguracji. Zdarzenia uwierzytelniania i autoryzacji są poddawane inspekcji w dziennikach logowania, a wszelkie wykryte zagrożenia są poddawane inspekcji w dziennikach usługi Identity Protection. Każdy z tych dzienników można przesyłać strumieniowo bezpośrednio do rozwiązania SIEM, takiego jak Microsoft Sentinel. Alternatywnie użyj usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm. Automatyzuj dynamiczną ponowną konfigurację na podstawie zdarzeń w rozwiązaniu SIEM przy użyciu programu Microsoft Graph PowerShell.

    Inspekcja zdarzeń

  • Raporty dotyczące inspekcji w centrum administracyjnym firmy Microsoft Entra
  • Raporty aktywności logowania w centrum administracyjnym usługi Microsoft Entra
  • Instrukcje: Badanie ryzyka

    Integracje rozwiązania SIEM

  • Microsoft Sentinel: Połączenie dane z identyfikatora Entra firmy Microsoft
  • Przesyłanie strumieniowe do centrum zdarzeń platformy Azure i innych modułów SIEM
    		•

    Bezpieczeństwo personelu

    Wskazówki zawarte w poniższej tabeli dotyczą:

    • Zakończenie pracy personelu PS-4
    Identyfikator i opis kontrolki FedRAMP Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
    PS-4
    Zakończenie pracy personelu
    Organizacja, po zakończeniu indywidualnego zatrudnienia:
    (a.) Wyłącza dostęp systemu informacyjnego w ciągu [Przypisanie FedRAMP: osiem (8) godzin];
    (b.) Kończy/odwołuje wszelkie uwierzytelniacze/poświadczenia skojarzone z jednostką;
    (c.) Przeprowadza rozmowy kwalifikacyjne, które obejmują dyskusję na temat [Przypisanie: tematy zabezpieczeń informacji zdefiniowanych przez organizację];
    (d.) Pobiera wszystkie właściwości związane z systemem informacji organizacyjnych związane z zabezpieczeniami;
    (e.) Zachowuje dostęp do informacji organizacyjnych i systemów informacyjnych, które były wcześniej kontrolowane przez zakończoną osobę; I
    (f.) Powiadamia [Przypisanie: personel lub role zdefiniowane przez organizację] w ramach [Przydział: okres zdefiniowany przez organizację].

    PS-4(2)
    Organizacja stosuje zautomatyzowane mechanizmy powiadamiania [FedRAMP Assignment: personel kontroli dostępu odpowiedzialny za wyłączenie dostępu do systemu] po zakończeniu działania osoby fizycznej.    		 Automatycznie powiadamiaj personel odpowiedzialny za wyłączenie dostępu do systemu.

    Wyłącz konta i odwołaj wszystkie skojarzone uwierzytelnianie i poświadczenia w ciągu 8 godzin.

    Skonfiguruj aprowizację (w tym wyłączenie po zakończeniu) kont w usłudze Microsoft Entra ID z zewnętrznych systemów hr, lokalna usługa Active Directory lub bezpośrednio w chmurze. Zakończ cały dostęp do systemu, odwołując istniejące sesje.

    Aprowizacja kont

  • Zobacz szczegółowe wskazówki w artykule AC-02.

    Odwoływanie wszystkich skojarzonych wystawców uwierzytelnień

  • Odwoływanie dostępu użytkowników w nagłych wypadkach w identyfikatorze Entra firmy Microsoft
    		•

    Integralność systemów i informacji

    Wskazówki zawarte w poniższej tabeli dotyczą:

    • Monitorowanie systemu informacyjnego SI-4
    Identyfikator i opis kontrolki FedRAMP Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
    Monitorowanie systemu informacyjnego SI-4
    Organizacja:
    (a.) Monitoruje system informacji do wykrywania:
    (1.) Ataki i wskaźniki potencjalnych ataków zgodnie z [Przypisanie: cele monitorowania zdefiniowane przez organizację]; i
    (2.) Nieautoryzowane połączenia lokalne, sieciowe i zdalne;
    (b.) Identyfikuje nieautoryzowane użycie systemu informacyjnego za pośrednictwem [Przypisania: techniki i metody zdefiniowane przez organizację];
    (c.) Wdraża urządzenia monitorowania (i) strategicznie w systemie informacyjnym w celu zbierania niezbędnych informacji określonych przez organizację; i (ii) w lokalizacjach ad hoc w systemie w celu śledzenia określonych typów transakcji interesujących organizację;
    (d.) Chroni informacje uzyskane od narzędzi do monitorowania nieautoryzowanego dostępu, modyfikacji i usuwania;
    (e.) Zwiększa poziom aktywności monitorowania systemu informacji za każdym razem, gdy istnieje wskazanie zwiększonego ryzyka dla operacji organizacyjnych i zasobów, osób fizycznych, innych organizacji lub narodu na podstawie informacji organów ścigania, informacji wywiadowczych lub innych wiarygodnych źródeł informacji;
    (f.) Uzyskuje opinię prawną w odniesieniu do działań monitorowania systemu informacji zgodnie z obowiązującymi przepisami federalnymi, zarządzeniem wykonawczym, dyrektywami, zasadami lub przepisami; I
    (d.) Zawiera [Przypisanie: informacje monitorowania systemu informacji zdefiniowane przez organizację] do [Przydział: personel lub role zdefiniowane przez organizację] [Wybór (co najmniej jeden): w razie potrzeby; [Przypisanie: częstotliwość zdefiniowana przez organizację]].
    Si-4 Dodatkowe wymagania i wskazówki fedRAMP:
    Wskazówki: zobacz Wytyczne dotyczące raportowania reagowania na zdarzenia w usłudze US-CERT.

    SI-04(1)
    Organizacja łączy się i konfiguruje poszczególne narzędzia wykrywania nieautoryzowanego dostępu do systemu wykrywania włamań w całym systemie informacji.    		 Zaimplementuj monitorowanie w całym systemie informacji i system wykrywania nieautoryzowanego dostępu.

    Uwzględnij wszystkie dzienniki firmy Microsoft (inspekcja, logowanie, usługa Identity Protection) w rozwiązaniu do monitorowania systemu informacyjnego.

    Stream Microsoft Entra loguje się do rozwiązania SIEM (zobacz IA-04).                                                                              

    Następne kroki

    Konfigurowanie kontroli dostępu

    Konfigurowanie kontrolek identyfikacji i uwierzytelniania

    Konfigurowanie innych kontrolek