Compartilhar via

Configurar controles adicionais para atender ao nível de impacto alto do FedRAMP

  • Artigo

A lista de controles e aprimoramentos de controle a seguir pode exigir a configuração em seu locatário do Microsoft Entra.

Cada linha nas tabelas a seguir fornece diretrizes prescritivas. Essas diretrizes ajudam você a desenvolver a resposta da sua organização às responsabilidades compartilhadas relacionadas ao controle ou à melhoria do controle.

Auditoria e Contabilidade

As diretrizes na seguinte tabela pertencem a:

  • AU-2 Eventos de auditoria
  • AU-3 Conteúdo de auditoria
  • AU-6 Revisão, análise e relatórios de auditoria
ID e descrição do controle FedRAMP Orientações e recomendações do Microsoft Entra
AU-2 Eventos de auditoria
A organização:
(a.) Determina que o sistema de informações é capaz de auditar os seguintes eventos: [Atribuição de FedRAMP: [Eventos de logon de conta bem-sucedidos e malsucedidos, eventos de gerenciamento de conta, acesso a objetos, alteração de política, funções de privilégio, acompanhamento de processo e eventos do sistema. Para aplicativos Web: todas as atividades de administrador, verificações de autenticação, verificações de autorização, exclusões de dados, acesso a dados, alterações de dados e alterações de permissão];
(b.) Coordena a função de auditoria de segurança com outras entidades organizacionais que exigem informações relacionadas à auditoria para aprimorar o suporte mútuo e para ajudar a orientar a seleção de eventos auditáveis;
(c.) Fornece uma razão pela qual os eventos auditáveis são considerados adequados para dar suporte a investigações após o fato de incidentes de segurança; e
(d.) Determina que os seguintes eventos devem ser auditados no sistema de informações: [Atribuição de FedRAMP: subconjunto definido pela organização dos eventos auditáveis definidos na AU-2 a. a serem auditados continuamente para cada evento identificado].

AU-2 Diretrizes e requisitos adicionais do FedRAMP:
Exigência: A coordenação entre o provedor de serviços e o consumidor deve ser documentada e aceita pelo JAB/AO.

AU-3 Conteúdo de registros de auditoria
O sistema de informações gera registros de auditoria que contêm informações que estabelecem qual tipo de evento ocorreu, quando o evento ocorreu, onde o evento ocorreu, a origem do evento, o resultado do evento e a identidade de qualquer pessoa ou entidade associadas ao evento.

AU-3(1)
O sistema de informações gera registros de auditoria que contêm as seguintes informações adicionais: [Atribuição de FedRAMP: informações adicionais mais detalhadas definidas pela organização].

AU-3 (1) Requisitos e diretrizes adicionais do FedRAMP:
Exigência: O provedor de serviços define tipos de registro de auditoria [Atribuição de FedRAMP: sessão, conexão, transação ou duração da atividade; para transações cliente-servidor, o número de bytes recebidos e bytes enviados; mensagens informativas adicionais para diagnosticar ou identificar o evento; características que descrevem ou identificam o objeto ou recurso que está sendo tratado; identidades individuais de usuários de conta de grupo; texto completo de comandos privilegiados]. Os tipos de registro de auditoria são aprovados e aceitos pelo JAB/AO.
Orientação: Para transações cliente-servidor, o número de bytes enviados e recebidos fornece informações de transferência bidirecional que podem ser úteis durante uma investigação ou investigação.

AU-3(2)
O sistema de informações fornece gerenciamento centralizado e configuração do conteúdo a ser capturado em registros de auditoria gerados por [Atribuição de FedRAMP: todos os dispositivos de rede, armazenamento de dados e computação].		 Verifique se o sistema é capaz de auditar eventos definidos em AU-2 Parte a. Coordene com outras entidades dentro do subconjunto de eventos auditáveis da organização para dar suporte a investigações após o fato. Implemente o gerenciamento centralizado de registros de auditoria.

Todas as operações de ciclo de vida da conta (ações de criação, modificação, habilitação, desabilitação e remoção da conta) são auditadas nos logs de auditoria do Microsoft Entra. Todos os eventos de autenticação e autorização são auditados nos logs de entrada do Microsoft Entra e todos os riscos detectados são auditados nos logs do Identity Protection. É possível transmitir esses logs diretamente para uma solução SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Azure Sentinel. Como alternativa, use os Hubs de Eventos do Azure para integrar os logs a soluções de SIEM de terceiros.

Eventos de auditoria

  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • Relatórios de atividades de entrada no Centro de administração do Microsoft Entra
  • Como Investigar o risco

    Integrações de SIEM

  • Microsoft Sentinel: conectar dados do Microsoft Entra ID
  • Transmitir para o Hub de Eventos do Azure e outros SIEMs
    		•
    AU-6 Revisão, Análise e Relatórios de Auditoria
    A organização:
    (a.) Revisa e analisa registros de auditoria do sistema de informações [Atribuição de FedRAMP: pelo menos semanalmente] para obter indicações de [Atribuição: atividade inadequada ou incomum definida pela organização]; E
    (b.) Relata conclusões para [Atribuição: funcionários ou funções definidos pela organização].
    AU-6 Diretrizes e requisitos adicionais do FedRAMP:
    Exigência: A coordenação entre o provedor de serviços e o consumidor deve ser documentada e aceita pelo Funcionário Autorizador. Em ambientes multilocatários, a funcionalidade e os meios para fornecer revisão, análise e relatórios ao consumidor para dados pertencentes ao consumidor devem ser documentados.

    AU-6(1)
    A organização implanta mecanismos automatizados para integrar processos de revisão de auditoria, análise e relatórios para dar suporte a processos organizacionais de investigação e resposta a atividades suspeitas.

    AU-6(3)
    A organização analisa e correlaciona registros de auditoria em diferentes repositórios para obter reconhecimento situacional de toda a organização.

    AU-6(4)
    O sistema de informações fornece a capacidade de revisar e analisar centralmente registros de auditoria de vários componentes no sistema.

    AU-6(5)
    A organização integra a análise dos registros de auditoria com a análise de [Seleção FedRAMP (um ou mais): informações de verificação de vulnerabilidade; dados de desempenho; informações de monitoramento do sistema de informações; dados de teste de penetração; [Atribuição: informações/dados definidos pela organização coletados de outras fontes]] para melhorar ainda mais a capacidade de identificar atividades incomuns ou inadequadas.

    AU-6(6)
    A organização correlaciona informações de registros de auditoria com informações obtidas do monitoramento do acesso físico para melhorar ainda mais a capacidade de identificar atividades suspeitas, inadequadas, incomuns ou maléficas.
    AU-6 Diretrizes e requisitos adicionais do FedRAMP:
    Exigência: A coordenação entre o provedor de serviços e o consumidor deve ser documentada e aceita pelo JAB/AO.

    AU-6(7)
    A organização especifica as ações permitidas para cada [Seleção FedRAMP (um ou mais): processo de sistema de informações; função; usuário] associado com a revisão, análise e relatório de informações de auditoria.

    AU-6(10)
    A organização ajusta o nível de revisão, análise e relatório de auditoria dentro do sistema de informações quando houver uma alteração no risco com base em informações de imposição da lei, informações de inteligência ou outras fontes confiáveis de informações.    		 Examine e analise os registros de auditoria pelo menos uma vez por semana para identificar atividades inadequadas ou incomuns e relatar as conclusões ao pessoal apropriado.

    As diretrizes fornecidas acima para o AU-02 e AU-03 permitem que a equipe apropriada faça a revisão semanal de registros e relatórios de auditoria. Não é possível atender a esses requisitos usando apenas o Microsoft Entra ID. Também é possível usar uma solução SIEM, como o Microsoft Azure Sentinel. Para obter mais informações, consulte O que é o Microsoft Azure Sentinel?.

    Resposta a incidente

    As diretrizes na seguinte tabela pertencem a:

    • IR-4 Tratamento de incidentes

    • IR-5 Monitoramento de incidentes

    ID e descrição do controle FedRAMP Orientações e recomendações do Microsoft Entra
    IR-4 Tratamento de incidentes
    A organização:
    (a.) Implementa uma capacidade de tratamento de incidentes para incidentes de segurança que inclui preparação, detecção e análise, contenção, erradicação e recuperação;
    (b.) Coordena as atividades de tratamento de incidentes com atividades de planejamento de contingência; e
    (c.) Incorpora lições aprendidas com atividades contínuas de tratamento de incidentes em procedimentos de resposta a incidentes, treinamento e testes/exercícios, e implementa as mudanças resultantes em conformidade.
    IR-4 Diretrizes e requisitos adicionais do FedRAMP:
    Exigência: O provedor de serviços garante que os indivíduos que realizam o tratamento de incidentes atendam aos requisitos de segurança de pessoal de forma proporcional à criticalidade/sensibilidade das informações que estão sendo processadas, armazenadas e transmitidas pelo sistema de informações.

    IR-04(1)
    A organização emprega mecanismos automatizados para suportar o processo de tratamento de incidentes.

    IR-04(2)
    A organização inclui a reconfiguração dinâmica de [Atribuição de FedRAMP: todos os dispositivos de rede, armazenamento de dados e computação] como parte da funcionalidade de resposta a incidentes.

    IR-04(3)
    A organização identifica [Atribuição: classes de incidentes definidas pela organização] e [Atribuição: ações definidas pela organização para tomar em resposta a classes de incidentes] para assegurar a continuação de missões organizacionais e funções de negócios.

    IR-04(4)
    A organização correlaciona informações de incidentes e respostas de incidentes individuais para atingir uma perspectiva de nível organizacional sobre reconhecimento e resposta a incidentes.

    IR-04(6)
    A organização implementa capacidade de tratamento de incidentes para ameaças internas.

    IR-04(8)
    A organização implementa capacidade de tratamento de incidentes para ameaças internas.
    A organização coordena com [Atribuição de FedRAMP: organizações externas, incluindo respondentes de incidentes de consumidor e defensores de rede e a equipe de resposta a incidentes do consumidor (CIRT)/ Equipe de Resposta a Emergências de Computador (CERT) (como US-CERT, DoD CERT, IC CERT)] para correlacionar e compartilhar [Atribuição: informações de incidentes definidas pela organização] para alcançar uma perspectiva entre organizações sobre a conscientização de incidentes e respostas a incidentes mais eficazes.

    IR-05 Monitoramento de Incidentes
    A organização rastreia e documenta incidentes de segurança do sistema de informações.

    IR-05(1)
    A organização emprega mecanismos automatizados para auxiliar no acompanhamento de incidente de segurança e na coleta e análise de informações de incidentes.    		 Implementar funcionalidades de monitoramento e tratamento de incidentes. Isso inclui tratamento automatizado de incidentes, reconfiguração dinâmica, continuidade de operações, correlação de informações, ameaças internas, correlação com organizações externas, monitoramento de incidentes e acompanhamento automatizado.

    Os logs de auditoria registram todas as alterações de configuração. Os eventos de autenticação e autorização são auditados nos logs de entrada e todos os riscos detectados são auditados nos logs do Identity Protection. É possível transmitir esses logs diretamente para uma solução SIEM, como o Microsoft Azure Sentinel. Como alternativa, use os Hubs de Eventos do Azure para integrar os logs a soluções de SIEM de terceiros. Automatiza a reconfiguração dinâmica com base em eventos no SIEM usando o PowerShell do Microsoft Graph.

    Eventos de auditoria

  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • Relatórios de atividades de entrada no Centro de administração do Microsoft Entra
  • Como Investigar o risco

    Integrações de SIEM

  • Microsoft Sentinel: conectar dados do Microsoft Entra ID
  • Transmitir para o Hub de Eventos do Azure e outros SIEMs
    		•

    Segurança de Pessoal

    As diretrizes na seguinte tabela pertencem a:

    • Encerramento de pessoal PS-4
    ID e descrição do controle FedRAMP Orientações e recomendações do Microsoft Entra
    PS-4
    Encerramento de equipe
    A organização, após a rescisão do emprego individual:
    (a.) Desabilita o acesso ao sistema de informações dentro de [Atribuição de FedRAMP: oito (8) horas];
    (b.) Encerra/revoga todos os autenticadores/credenciais associados ao indivíduo;
    (c.) Realiza entrevistas de saída que incluem uma discussão sobre [Atribuição: tópicos de segurança de informações definidos pela organização];
    (d.) Recupera todas as propriedades relacionadas ao sistema de informações organizacionais relacionadas à segurança;
    (e.) Retém o acesso a sistemas de informações e informações organizacionais anteriormente controlados por indivíduos encerrados; e
    (f.) Notifica [Atribuição: pessoal ou funções definidos pela organização] dentro de [Atribuição: período de tempo definido pela organização].

    PS-4(2)
    A organização emprega mecanismos automatizados para notificar [Atribuição de FedRAMP: equipe de controle de acesso responsável por desabilitar o acesso ao sistema] após o encerramento de um indivíduo.    		 Notificar automaticamente o pessoal responsável por desabilitar o acesso ao sistema.

    Desabilitar as contas e revogar todos os autenticadores e as credenciais associados em até oito horas.

    Configurar o provisionamento (incluindo a desabilitação após o desligamento) de contas no Microsoft Entra ID de sistemas de RH externos, do Active Directory local ou diretamente na nuvem. Encerrar todo o acesso ao sistema revogando as sessões existentes.

    Provisionamento de conta

  • Confira as diretrizes detalhadas em AC-02.

    Revogar todos os autenticadores associados

  • Revogar o acesso do usuário em uma emergência no Microsoft Entra ID
    		•

    Integridade do Sistema e das Informações

    As diretrizes na seguinte tabela pertencem a:

    • SI-4 Monitoramento do sistema de informações
    ID e descrição do controle FedRAMP Orientações e recomendações do Microsoft Entra
    SI-4 Monitoramento do sistema de informações
    A organização:
    (a.) Monitora o sistema de informações para detectar:
    (1.) Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e
    (2.) Conexões locais, de rede e remotas não autorizadas;
    (b.) Identifica o uso não autorizado de sistema de informações por meio de [Atribuição: técnicas e métodos definidos pela organização];
    (c.) Implanta dispositivos de monitoramento (i) estrategicamente dentro do sistema de informações para coletar informações essenciais determinadas pela organização; e (ii) nos locais ad hoc dentro do sistema para rastrear tipos específicos de transações de interesse para a organização;
    (d.) Protege as informações obtidas de ferramentas de monitoramento de invasão de acesso, modificação e exclusão não autorizados;
    (e.) Aumenta o nível de atividade de monitoramento do sistema de informações sempre que houver uma indicação de maior risco para operações e ativos organizacionais, indivíduos, outras organizações ou o país com base em informações de imposição da lei, informações de inteligência ou outras fontes confiáveis de informações;
    (f.) Obtém opinião legal com relação a atividades de monitoramento do sistema de informações de acordo com as leis federais, pedidos executivos, diretivas, políticas ou regulamentações aplicáveis; e
    (d.) Fornece [Atribuição: informações de monitoramento do sistema de informações definidas pela organização] para [Atribuição: equipe ou funções definidas pela organização] [Seleção (um ou mais): conforme necessário; [Atribuição: frequência definida pela organização]].
    SI-4 Requisitos e diretrizes adicionais do FedRAMP:
    Orientação: Confira Diretrizes de relatório de resposta a incidentes US-CERT.

    SI-04(1)
    A organização conecta e configura as ferramentas de detecção de intrusões individuais em um sistema de detecção de intrusão em todo o sistema de informações.    		 Implementar o monitoramento de todo o sistema de informações e o sistema de detecção de intrusão.

    Incluir todos os logs do Microsoft Entra (Auditoria, Entrada, Identity Protection) na solução de monitoramento do sistema de informações.

    Transmitir os logs do Microsoft Entra a uma solução de SIEM (confira o IA-04).                                                                              

    Próximas etapas

    Configurar controles de acesso

    Configurar os controles de autenticação e identificação

    Configurar outros controles