Monitorowanie architektur zabezpieczeń Zero Trust (TIC 3.0) za pomocą usługi Microsoft Sentinel

Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:

Jawną weryfikację	Korzystanie z dostępu z najmniejszymi uprawnieniami	Zakładanie naruszeń zabezpieczeń
Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.	Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

W tym artykule opisano sposób korzystania z rozwiązania Microsoft Sentinel Zero Trust (TIC 3.0 ), które pomaga zespołom ds. ładu i zgodności monitorować wymagania zero trustu zgodnie z inicjatywą TRUSTED INTERNET CONNECTIONS (TIC) 3.0 .

Rozwiązania usługi Microsoft Sentinel to zestawy zawartości powiązanej, wstępnie skonfigurowane dla określonego zestawu danych. Rozwiązanie Zero Trust (TIC 3.0) zawiera skoroszyt, reguły analizy i podręcznik, który zapewnia zautomatyzowaną wizualizację zasad zero trust, cross-walked do platformy Trust Internet Połączenie ions, pomagając organizacjom monitorować konfiguracje w czasie.

Rozwiązanie Zero Trust i struktura TIC 3.0

Zero Trust i TIC 3.0 nie są takie same, ale mają wiele wspólnych tematów i razem stanowią wspólną historię. Rozwiązanie Usługi Microsoft Sentinel dla rozwiązania Zero Trust (TIC 3.0) oferuje szczegółowe skrzyżowania między usługą Microsoft Sentinel i modelem Zero Trust z platformą TIC 3.0. Te chodniki ułatwiają użytkownikom lepsze zrozumienie nakładających się między nimi.

Chociaż rozwiązanie usługi Microsoft Sentinel dla rozwiązania Zero Trust (TIC 3.0) zawiera wskazówki dotyczące najlepszych rozwiązań, firma Microsoft nie gwarantuje ani nie sugeruje zgodności. Wszystkie wymagania, walidacje i mechanizmy kontroli zaufanego internetu Połączenie ion (TIC) podlegają agencji bezpieczeństwa cyberbezpieczeństwa i infrastruktury.

Rozwiązanie Zero Trust (TIC 3.0) zapewnia widoczność i świadomość sytuacji wymagań dotyczących kontroli dostarczanych z technologiami firmy Microsoft w głównie środowiskach opartych na chmurze. Środowisko klienta będzie się różnić w zależności od użytkownika, a niektóre okienka mogą wymagać dodatkowych konfiguracji i modyfikacji zapytań dla operacji.

Rekomendacje nie oznaczają pokrycia odpowiednich mechanizmów kontroli, ponieważ często są one jednym z kilku kursów akcji na potrzeby zbliżania się do wymagań, co jest unikatowe dla każdego klienta. Rekomendacje należy uznać za punkt wyjścia do planowania pełnego lub częściowego pokrycia odpowiednich wymagań kontrolnych.

Rozwiązanie Usługi Microsoft Sentinel dla rozwiązania Zero Trust (TIC 3.0) jest przydatne dla każdego z następujących użytkowników i przypadków użycia:

• Specjaliści ds. zapewniania ładu w zakresie zabezpieczeń, ryzyka i zgodności na potrzeby oceny stanu zgodności i raportowania
• Inżynierowie i architekci, którzy muszą zaprojektować obciążenia zero trust i TIC 3.0 dopasowane
• Analitycy zabezpieczeń na potrzeby tworzenia alertów i automatyzacji
• Zarządzani dostawcy usług zabezpieczeń (MSSPs) na potrzeby usług doradczych
• Menedżerowie zabezpieczeń, którzy muszą przeglądać wymagania, analizować raportowanie, oceniać możliwości

Wymagania wstępne

Przed zainstalowaniem rozwiązania Zero Trust (TIC 3.0) upewnij się, że masz następujące wymagania wstępne:

• Dołącz usługi firmy Microsoft: upewnij się, że w subskrypcji platformy Azure włączono zarówno usługę Microsoft Sentinel, jak i Microsoft Defender dla Chmury.

• wymagania Microsoft Defender dla Chmury: w Microsoft Defender dla Chmury:

  • Dodaj wymagane standardy regulacyjne do pulpitu nawigacyjnego. Pamiętaj, aby dodać testy porównawcze zabezpieczeń platformy Azure i oceny NIST SP 800-53 R5 do pulpitu nawigacyjnego Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz dodawanie standardu regulacyjnego do pulpitu nawigacyjnego w dokumentacji Microsoft Defender dla Chmury.

  • Ciągłe eksportowanie Microsoft Defender dla Chmury danych do obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Ciągłe eksportowanie Microsoft Defender dla Chmury danych.

• Wymagane uprawnienia użytkownika. Aby zainstalować rozwiązanie Zero Trust (TIC 3.0), musisz mieć dostęp do obszaru roboczego usługi Microsoft Sentinel z uprawnieniami czytelnika zabezpieczeń.

Rozwiązanie Zero Trust (TIC 3.0) zostało również ulepszone przez integrację z innymi usługami firmy Microsoft, takimi jak:

• Microsoft Defender XDR
• Microsoft Information Protection
• Tożsamość Microsoft Entra
• Microsoft Defender dla Chmury
• Ochrona punktu końcowego w usłudze Microsoft Defender
• Microsoft Defender for Identity
• aplikacje Microsoft Defender dla Chmury
• Ochrona usługi Office 365 w usłudze Microsoft Defender

Instalowanie rozwiązania Zero Trust (TIC 3.0)

Aby wdrożyć rozwiązanie Zero Trust (TIC 3.0) z witryny Azure Portal:

1. W usłudze Microsoft Sentinel wybierz pozycję Centrum zawartości i znajdź rozwiązanie Zero Trust (TIC 3.0).

2. W prawym dolnym rogu wybierz pozycję Wyświetl szczegóły, a następnie pozycję Utwórz. Wybierz subskrypcję, grupę zasobów i obszar roboczy, w którym chcesz zainstalować rozwiązanie, a następnie przejrzyj powiązaną zawartość zabezpieczeń, która zostanie wdrożona.

   Po zakończeniu wybierz pozycję Przejrzyj i utwórz , aby zainstalować rozwiązanie.

Aby uzyskać więcej informacji, zobacz Wdrażanie gotowej zawartości i rozwiązań.

Przykładowy scenariusz użycia

W poniższych sekcjach pokazano, jak analityk operacji zabezpieczeń może używać zasobów wdrożonych z rozwiązaniem Zero Trust (TIC 3.0), aby przejrzeć wymagania, eksplorować zapytania, konfigurować alerty i implementować automatyzację.

Po zainstalowaniurozwiązania Zero Trust (TIC 3.0) użyj skoroszytu, reguł analizy i podręcznika wdrożonego w obszarze roboczym usługi Microsoft Sentinel, aby zarządzać usługą Zero Trust w sieci.

Wizualizowanie danych zero zaufania

1. Przejdź do skoroszytu Microsoft Sentinel Zero>Trust (TIC 3.0) i wybierz pozycję Wyświetl zapisany skoroszyt.

   Na stronie skoroszytu Zero Trust (TIC 3.0) wybierz możliwości TIC 3.0, które chcesz wyświetlić. W tej procedurze wybierz pozycję Wykrywanie nieautoryzowanego dostępu.

   Napiwek

   Użyj przełącznika Przewodnik w górnej części strony, aby wyświetlić lub ukryć zalecenia i okienka przewodnika. Upewnij się, że w opcjach Subskrypcja, Obszar roboczy i TimeRange wybrano odpowiednie szczegóły, aby wyświetlić określone dane, które chcesz znaleźć.

2. Przejrzyj wyświetlone karty sterujące. Na przykład przewiń w dół, aby wyświetlić kartę Adaptacyjna kontrola dostępu:

   

   Napiwek

   Użyj przełącznika Prowadnice w lewym górnym rogu, aby wyświetlić lub ukryć zalecenia i okienka przewodnika. Na przykład mogą one być przydatne podczas pierwszego uzyskiwania dostępu do skoroszytu, ale niepotrzebne po zrozumieniu odpowiednich pojęć.

3. Eksplorowanie zapytań. Na przykład w prawym górnym rogu karty Adaptacyjna kontrola dostępu wybierz przycisk :Więcej, a następnie wybierz opcję Otwórz ostatnie uruchomienie zapytania w widoku Dzienniki.

   Zapytanie jest otwierane na stronie Dzienniki usługi Microsoft Sentinel:

   

Konfigurowanie alertów związanych z zerowym zaufaniem

W usłudze Microsoft Sentinel przejdź do obszaru Analiza . Zapoznaj się z wbudowanymi regułami analizy wdrożonym przy użyciu rozwiązania Zero Trust (TIC 3.0), wyszukując TIC3.0.

Domyślnie rozwiązanie Zero Trust (TIC 3.0) instaluje zestaw reguł analizy skonfigurowanych do monitorowania stanu Zero Trust (TIC3.0) przez rodzinę kontroli i można dostosować progi alertów dla zespołów zgodności w celu zmiany stanu.

Jeśli na przykład stan odporności obciążenia spadnie poniżej określonej wartości procentowej w ciągu tygodnia, usługa Microsoft Sentinel wygeneruje alert, aby szczegółowo określić odpowiedni stan zasad (pass/fail), zidentyfikowane zasoby, czas ostatniej oceny i podają szczegółowe linki do Microsoft Defender dla Chmury dla akcji korygowania.

Zaktualizuj reguły zgodnie z potrzebami lub skonfiguruj nową:

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.

Odpowiadanie przy użyciu funkcji SOAR

W usłudze Microsoft Sentinel przejdź do karty Aktywnych podręczników usługi Automation>i znajdź podręcznik Notify-GovernanceComplianceTeam.

Użyj tego podręcznika, aby automatycznie monitorować alerty CMMC i powiadamiać zespół ds. zgodności ładu z odpowiednimi szczegółami za pośrednictwem poczty e-mail i wiadomości usługi Microsoft Teams. Zmodyfikuj podręcznik zgodnie z potrzebami:

Aby uzyskać więcej informacji, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Często zadawane pytania

Czy są obsługiwane widoki niestandardowe i raporty?

Tak. Możesz dostosować skoroszyt Zero Trust (TIC 3.0), aby wyświetlić dane według subskrypcji, obszaru roboczego, czasu, kontroli rodziny lub parametrów poziomu dojrzałości, a także wyeksportować i wydrukować skoroszyt.

Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów usługi Azure Monitor.

Czy wymagane są dodatkowe produkty?

Wymagane są zarówno usługi Microsoft Sentinel, jak i Microsoft Defender dla Chmury.

Oprócz tych usług każda karta kontrolna jest oparta na danych z wielu usług, w zależności od typów danych i wizualizacji wyświetlanych na karcie. Ponad 25 usługi firmy Microsoft zapewnia wzbogacanie rozwiązania Zero Trust (TIC 3.0).

Co należy zrobić z panelami bez danych?

Panele bez danych stanowią punkt wyjścia do spełnienia wymagań kontroli zero trust i TIC 3.0, w tym zaleceń dotyczących odpowiednich mechanizmów kontroli.

Czy jest obsługiwanych wiele subskrypcji, chmur i dzierżaw?

Tak. Parametry skoroszytu, usługa Azure Lighthouse i usługa Azure Arc umożliwiają korzystanie z rozwiązania Zero Trust (TIC 3.0) we wszystkich subskrypcjach, chmurach i dzierżawach.

Aby uzyskać więcej informacji, zobacz Używanie skoroszytów usługi Azure Monitor do wizualizowania i monitorowania danych oraz Zarządzanie wieloma dzierżawami w usłudze Microsoft Sentinel jako dostawcą usług w chmurze.

Czy integracja partnerów jest obsługiwana?

Tak. Zarówno skoroszyty, jak i reguły analizy można dostosowywać do integracji z usługami partnerskimi.

Aby uzyskać więcej informacji, zobacz Używanie skoroszytów usługi Azure Monitor do wizualizowania i monitorowania danych oraz niestandardowych szczegółów zdarzenia urządzenia Surface w alertach.

Czy jest to dostępne w regionach rządowych?

Tak. Rozwiązanie Zero Trust (TIC 3.0) jest dostępne w publicznej wersji zapoznawczej i można je wdrożyć w regionach komercyjnych/rządowych. Aby uzyskać więcej informacji, zobacz Dostępność funkcji w chmurze dla klientów komercyjnych i amerykańskich instytucji rządowych.

Jakie uprawnienia są wymagane do korzystania z tej zawartości?

• Użytkownicy współautora usługi Microsoft Sentinel mogą tworzyć i edytować skoroszyty, reguły analizy i inne zasoby usługi Microsoft Sentinel.

• Użytkownicy czytelnika usługi Microsoft Sentinel mogą wyświetlać dane, zdarzenia, skoroszyty i inne zasoby usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Wprowadzenie do usługi Microsoft Sentinel
• Wizualizowanie i monitorowanie danych za pomocą skoroszytów
• Model zerowego zaufania firmy Microsoft
• Centrum wdrażania zerowego zaufania

Obejrzyj nasze filmy wideo:

• Pokaz: Rozwiązanie Zero Trust usługi Microsoft Sentinel (TIC 3.0)
• Microsoft Sentinel: pokaz skoroszytu zero trust (TIC 3.0)

Przeczytaj nasze blogi!

• Ogłoszenie rozwiązania Microsoft Sentinel: Zero Trust (TIC3.0)
• Tworzenie i monitorowanie obciążeń Zero Trust (TIC 3.0) dla federalnych systemów informacyjnych za pomocą usługi Microsoft Sentinel
• Zero Trust: 7 strategii wdrażania od liderów zabezpieczeń
• Implementowanie relacji Zero Trust za pomocą platformy Microsoft Azure: zarządzanie tożsamościami i dostępem (seria 6 części)