Configurar controles adicionais para atender ao nível de alto impacto do FedRAMP
A lista de controles a seguir (e aprimoramentos de controle) pode exigir configuração em seu locatário do Microsoft Entra.
Cada linha nas tabelas a seguir fornece orientação prescritiva. Esta orientação ajuda-o a desenvolver a resposta da sua organização a quaisquer responsabilidades partilhadas relativamente ao controlo ou melhoria do controlo.
Auditoria e responsabilidade
As orientações do quadro seguinte referem-se a:
- Eventos de auditoria AU-2
- AU-3 Conteúdo da auditoria
- AU-6 Revisão de auditoria, análise e relatórios
| ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
|---|---|
| Eventos de auditoria AU-2 A organização: a) Determina que o sistema de informações é capaz de auditar os seguintes eventos: [Atribuição FedRAMP: [Eventos de logon de conta bem-sucedidos e malsucedidos, eventos de gerenciamento de conta, acesso a objetos, alteração de política, funções de privilégio, rastreamento de processos e eventos do sistema. Para aplicativos Web: todas as atividades do administrador, verificações de autenticação, verificações de autorização, exclusões de dados, acesso a dados, alterações de dados e alterações de permissão]; b) Coordena a função de auditoria de segurança com outras entidades organizacionais que necessitem de informações relacionadas com auditoria para melhorar o apoio mútuo e ajudar a orientar a seleção de eventos auditáveis; c) Fornece uma justificação para a razão pela qual os eventos auditáveis são considerados adequados para apoiar investigações posteriores de incidentes de segurança; e ainda d) Determina que os seguintes eventos devem ser auditados no sistema de informação: [Atribuição FedRAMP: subconjunto definido pela organização dos eventos auditáveis definidos em AU-2 a. a serem auditados continuamente para cada evento identificado]. AU-2 Requisitos e orientações adicionais do FedRAMP: Requisito: A coordenação entre o prestador de serviços e o consumidor deve ser documentada e aceite pelo JAB/AO. AU-3 Conteúdo e Registos de Auditoria O sistema de informação gera registos de auditoria contendo informação que estabelece que tipo de evento ocorreu, quando ocorreu, onde ocorreu, a origem do evento, o resultado do evento e a identidade de quaisquer indivíduos ou sujeitos associados ao evento. AU-3(1) O sistema de informação gera registos de auditoria contendo as seguintes informações adicionais: [FedRAMP Assignment: organization-defined additional, more detailed information]. AU-3 (1) Requisitos e orientações adicionais do FedRAMP: Requisito: O provedor de serviços define tipos de registro de auditoria [Atribuição FedRAMP: duração da sessão, conexão, transação ou atividade; para transações cliente-servidor, o número de bytes recebidos e bytes enviados; mensagens informativas adicionais para diagnosticar ou identificar o evento; características que descrevem ou identificam o objeto ou recurso que está sendo acionado; identidades individuais de usuários de contas de grupo; texto completo de comandos privilegiados]. Os tipos de registro de auditoria são aprovados e aceitos pelo JAB/AO. Orientação: Para transações cliente-servidor, o número de bytes enviados e recebidos fornece informações de transferência bidirecional que podem ser úteis durante uma investigação ou consulta. AU-3(2) O sistema de informação fornece gerenciamento centralizado e configuração do conteúdo a ser capturado em registros de auditoria gerados por [FedRAMP Assignment: todos os dispositivos de rede, armazenamento de dados e computação]. |
Certifique-se de que o sistema é capaz de auditar eventos definidos na AU-2 Parte a. Coordenar com outras entidades dentro do subconjunto de eventos auditáveis da organização para apoiar investigações posteriores. Implementar o gerenciamento centralizado de registros de auditoria. Todas as operações do ciclo de vida da conta (ações de criação, modificação, habilitação, desativação e remoção de contas) são auditadas nos logs de auditoria do Microsoft Entra. Todos os eventos de autenticação e autorização são auditados nos logs de entrada do Microsoft Entra e todos os riscos detetados são auditados nos logs da Proteção de Identidade. Você pode transmitir cada um desses logs diretamente para uma solução de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. Como alternativa, use os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros. Eventos de auditoria Integrações SIEM |
| Análise, análise e relatórios de auditoria AU-6 A organização: a) Revisa e analisa registros de auditoria do sistema de informação [Atribuição FedRAMP: pelo menos semanalmente] para indicações de [Atribuição: atividade inadequada ou incomum definida pela organização]; b) Relata as descobertas para [Atribuição: pessoal ou funções definidas pela organização]. AU-6 Requisitos e orientações adicionais do FedRAMP: Requisito: A coordenação entre o prestador de serviços e o consumidor deve ser documentada e aceite pelo gestor orçamental. Em ambientes multilocatário, devem ser documentados a capacidade e os meios para fornecer análise, análise e relatórios ao consumidor em relação aos dados relativos ao consumidor. AU-6(1) A organização emprega mecanismos automatizados para integrar processos de revisão, análise e relatórios de auditoria para apoiar os processos organizacionais de investigação e resposta a atividades suspeitas. AU-6(3) A organização analisa e correlaciona registros de auditoria em diferentes repositórios para obter consciência situacional em toda a organização. AU-6(4) O sistema de informações fornece a capacidade de revisar e analisar centralmente os registros de auditoria de vários componentes dentro do sistema. AU-6(5) A organização integra a análise de registros de auditoria com a análise de [FedRAMP Selection (um ou mais): informações de varredura de vulnerabilidade; dados de desempenho; informações de monitoramento do sistema de informação; dados de testes de penetração; [Atribuição: dados/informações definidos pela organização coletados de outras fontes]] para melhorar ainda mais a capacidade de identificar atividades inadequadas ou incomuns. AU-6(6) A organização correlaciona informações de registros de auditoria com informações obtidas do monitoramento do acesso físico para melhorar ainda mais a capacidade de identificar atividades suspeitas, inadequadas, incomuns ou malévolas. AU-6 Requisitos e orientações adicionais do FedRAMP: Requisito: A coordenação entre o prestador de serviços e o consumidor deve ser documentada e aceite pelo JAB/AO. AU-6(7) A organização especifica as ações permitidas para cada [FedRAMP Selection (uma ou mais): processo do sistema de informação; função; usuário] associadas à revisão, análise e relatório de informações de auditoria. AU-6(10) A organização ajusta o nível de revisão, análise e relatórios de auditoria dentro do sistema de informação quando há uma mudança no risco com base em informações de aplicação da lei, informações de inteligência ou outras fontes confiáveis de informação. |
Revise e analise os registros de auditoria pelo menos uma vez por semana para identificar atividades inadequadas ou incomuns e relate as descobertas ao pessoal apropriado. A orientação anterior fornecida para AU-02 e AU-03 permite a revisão semanal dos registros de auditoria e relatórios para o pessoal apropriado. Você não pode atender a esses requisitos usando apenas o Microsoft Entra ID. Você também deve usar uma solução SIEM, como o Microsoft Sentinel. Para obter mais informações, consulte O que é o Microsoft Sentinel?. |
resposta a incidentes
As orientações do quadro seguinte referem-se a:
IR-4 Tratamento de incidentes
IR-5 Monitoramento de incidentes
| ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
|---|---|
| Tratamento de incidentes IR-4 A organização: a) Implementa uma capacidade de tratamento de incidentes para incidentes de segurança que inclui preparação, deteção e análise, contenção, erradicação e recuperação; b) Coordena as atividades de tratamento de incidentes com atividades de planejamento de contingência; e ainda c) Incorpora lições aprendidas com atividades contínuas de tratamento de incidentes em procedimentos de resposta a incidentes, treinamento e testes/exercícios, e implementa as mudanças resultantes de acordo. IR-4 Requisitos e orientações adicionais do FedRAMP: Requisito: O prestador de serviços garante que as pessoas que conduzem o tratamento de incidentes cumprem os requisitos de segurança do pessoal proporcionais à criticidade/sensibilidade das informações que estão a ser processadas, armazenadas e transmitidas pelo sistema de informação. IR-04(1) A organização emprega mecanismos automatizados para apoiar o processo de tratamento de incidentes. IR-04(2) A organização inclui a reconfiguração dinâmica de [FedRAMP Assignment: todos os dispositivos de rede, armazenamento de dados e computação] como parte da capacidade de resposta a incidentes. IR-04(3) A organização identifica [Atribuição: classes de incidentes definidas pela organização] e [Atribuição: ações definidas pela organização a serem tomadas em resposta a classes de incidentes] para garantir a continuidade das missões organizacionais e funções de negócios. IR-04(4) A organização correlaciona informações de incidentes e respostas individuais a incidentes para alcançar uma perspetiva de toda a organização sobre a consciência e resposta a incidentes. IR-04(6) A organização implementa a capacidade de tratamento de incidentes para ameaças internas. IR-04(8) A organização implementa a capacidade de tratamento de incidentes para ameaças internas. A organização coordena com [FedRAMP Assignment: organizações externas, incluindo socorristas de incidentes de consumidores e defensores de rede e a equipe apropriada de resposta a incidentes do consumidor (CIRT)/ Computer Emergency Response Team (CERT) (como US-CERT, DoD CERT, IC CERT)] para correlacionar e compartilhar [Atribuição: informações de incidentes definidas pela organização] para alcançar uma perspetiva entre organizações sobre a consciência de incidentes e respostas a incidentes mais eficazes. IR-05 Monitoramento de Incidentes A organização rastreia e documenta incidentes de segurança do sistema de informação. IR-05(1) A organização emprega mecanismos automatizados para auxiliar no rastreamento de incidentes de segurança e na coleta e análise de informações de incidentes. |
Implementar recursos de tratamento e monitoramento de incidentes. Isso inclui tratamento automatizado de incidentes, reconfiguração dinâmica, continuidade de operações, correlação de informações, ameaças internas, correlação com organizações externas e monitoramento de incidentes e rastreamento automatizado. Os logs de auditoria registram todas as alterações de configuração. Os eventos de autenticação e autorização são auditados nos logs de entrada e todos os riscos detetados são auditados nos logs da Proteção de Identidade. Você pode transmitir cada um desses logs diretamente para uma solução SIEM, como o Microsoft Sentinel. Como alternativa, use os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros. Automatize a reconfiguração dinâmica com base em eventos no SIEM usando o Microsoft Graph PowerShell. Eventos de auditoria Integrações SIEM |
Segurança do pessoal
As orientações do quadro seguinte referem-se a:
- PS-4 Rescisão de pessoal
| ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
|---|---|
| PS-4 Rescisão de Pessoal A organização, aquando da cessação do contrato de trabalho individual: a) Desabilita o acesso ao sistema de informação dentro de [Atribuição FedRAMP: oito (8) horas]; b) Encerra/revoga quaisquer autenticadores/credenciais associados ao indivíduo; c) Conduz entrevistas de saída que incluem uma discussão de [Atribuição: tópicos de segurança da informação definidos pela organização]; d) Recupera todas as propriedades relacionadas ao sistema de informações organizacionais relacionadas à segurança; e) Retém o acesso à informação organizacional e aos sistemas de informação anteriormente controlados por pessoa singularizada; e ainda f) Notifica [Atribuição: pessoal ou funções definidas pela organização] dentro de [Atribuição: período de tempo definido pela organização]. PS-4(2) A organização emprega mecanismos automatizados para notificar [FedRAMP Assignment: pessoal de controle de acesso responsável por desabilitar o acesso ao sistema] após a rescisão de um indivíduo. |
Notificar automaticamente o pessoal responsável pela desativação do acesso ao sistema. Desative contas e revogue todos os autenticadores e credenciais associados dentro de 8 horas. Configure o provisionamento (incluindo a desativação após o encerramento) de contas no Microsoft Entra ID de sistemas de RH externos, Ative Directory local ou diretamente na nuvem. Encerre todo o acesso ao sistema revogando sessões existentes. Aprovisionamento de contas Revogar todos os autenticadores associados |
Integridade do sistema e das informações
As orientações do quadro seguinte referem-se a:
- SI-4 Monitorização do sistema de informação
| ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
|---|---|
| SI-4 Monitorização do Sistema de Informação A organização: a) Monitoriza o sistema de informação para detetar: (1.) Ataques e indicadores de ataques potenciais de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; (2.) Ligações locais, de rede e remotas não autorizadas; b) Identifica a utilização não autorizada do sistema de informação através de [Atribuição: técnicas e métodos definidos pela organização]; c) Implanta dispositivos de monitoramento (i) estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e (ii) em locais ad hoc dentro do sistema para rastrear tipos específicos de transações de interesse para a organização; d) Protege as informações obtidas a partir de ferramentas de monitoramento de intrusão contra acesso, modificação e exclusão não autorizados; e) Aumenta o nível de atividade de monitorização do sistema de informação sempre que há indicação de risco acrescido para operações e ativos organizacionais, indivíduos, outras organizações ou a Nação com base em informações policiais, informações de inteligência ou outras fontes de informação credíveis; f) Obtém parecer jurídico no que diz respeito às atividades de monitoramento do sistema de informação de acordo com as leis federais, ordens executivas, diretrizes, políticas ou regulamentos aplicáveis; e ainda d) Fornece [Atribuição: informações de monitoramento do sistema de informações definidas pela organização] para [Atribuição: pessoal ou funções definidas pela organização] [Seleção (uma ou mais): conforme necessário; [Atribuição: frequência definida pela organização]]. SI-4 Requisitos e orientações adicionais do FedRAMP: Orientação: Consulte as Diretrizes de Relatório de Resposta a Incidentes US-CERT. SI-04(1) A organização conecta e configura ferramentas individuais de deteção de intrusão em um sistema de deteção de intrusão em todo o sistema de informação. |
Implementar a monitorização de todo o sistema de informação e o sistema de deteção de intrusão. Inclua todos os logs do Microsoft Entra (Auditoria, Entrada, Proteção de Identidade) na solução de monitoramento do sistema de informações. O Stream Microsoft Entra faz login em uma solução SIEM (consulte IA-04). |
Próximos passos
Configurar controles de acesso