Мониторинг архитектур безопасности TIC 3.0 с помощью Microsoft Sentinel

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Прямая проверка	Использование наименьших привилегий для доступа	Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.	Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных.	Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

В этой статье описывается, как использовать решение Microsoft Sentinel Zero Trust (TIC 3.0), которое помогает группам управления и соответствия требованиям отслеживать и реагировать на требования нулевого доверия в соответствии с инициативой TRUSTED INTERNET CONNECTIONS (TIC) 3.0.

Решения Microsoft Sentinel — это наборы пакетного содержимого, предварительно настроенные для определенного набора данных. Решение "Нулевое доверие" (TIC 3.0) включает книгу, правила аналитики и сборник схем, которые обеспечивают автоматическую визуализацию принципов нулевого доверия, перекрестно перейдя в платформу Подключение ions в Интернете доверия, помогая организациям отслеживать конфигурации с течением времени.

Решение "Нулевое доверие" и платформа TIC 3.0

Нулевое доверие и TIC 3.0 не совпадают, но они разделяют множество общих тем и вместе предоставляют общую историю. Решение Microsoft Sentinel для нулевого доверия (TIC 3.0) предлагает подробные переходы между Microsoft Sentinel и моделью "Нулевое доверие" с платформой TIC 3.0. Эти переходы помогают пользователям лучше понять перекрытия между двумя.

Хотя решение Microsoft Sentinel для нулевого доверия (TIC 3.0) предоставляет рекомендации, корпорация Майкрософт не гарантирует и не подразумевает соответствие требованиям. Все требования, проверки и элементы управления доверенными интернет-Подключение (TIC) управляются агентством кибербезопасности и инфраструктуры безопасности.

Решение "Нулевое доверие" (TIC 3.0) обеспечивает видимость и ситуацию для требований к контролю, предоставляемых технологиями Майкрософт в преимущественно облачных средах. Взаимодействие с клиентами зависит от пользователя, а для некоторых областей может потребоваться дополнительная конфигурация и изменение запроса для операции.

Рекомендации не подразумевают охват соответствующих элементов управления, так как они часто являются одним из нескольких курсов действий для подхода к требованиям, которые уникальны для каждого клиента. Рекомендации следует рассматривать как отправную точку для планирования полного или частичного охвата соответствующих требований к контролю.

Решение Microsoft Sentinel для нулевого доверия (TIC 3.0) полезно для любого из следующих пользователей и вариантов использования:

• Управление безопасностью, риск и соответствие специалистов по соответствию требованиям для оценки и отчетности о соответствии
• Инженеры и архитекторы, которые должны разрабатывать рабочие нагрузки нулевого доверия и TIC 3.0.
• Аналитики безопасности для создания оповещений и автоматизации
• Поставщики управляемых служб безопасности (MSSPs) для консультационных услуг
• Руководители по безопасности, которые должны проверять требования, анализировать отчеты, оценивать возможности

Необходимые компоненты

Перед установкой решения TIC 3.0 убедитесь, что у вас есть следующие предварительные требования:

• Подключение службы Майкрософт. Убедитесь, что в подписке Azure включены как Microsoft Sentinel, так и Microsoft Defender для облака.

• требования Microsoft Defender для облака. В Microsoft Defender для облака:

  • Добавьте необходимые нормативные стандарты на панель мониторинга. Обязательно добавьте оценки Azure Security Benchmark и NIST SP 800-53 R5 на панель мониторинга Microsoft Defender для облака. Дополнительные сведения см. в Microsoft Defender для облака документации по добавлению стандарта нормативных требований к панели мониторинга.

  • Непрерывно экспортируйте данные Microsoft Defender для облака в рабочую область Log Analytics. Дополнительные сведения см. в разделе "Непрерывный экспорт Microsoft Defender для облака данных".

• Необходимые разрешения пользователя. Чтобы установить решение TIC 3.0, необходимо иметь доступ к рабочей области Microsoft Sentinel с разрешениями средства чтения безопасности.

Решение TIC 3.0 также улучшено интеграцией с другими службами Майкрософт, например:

• Microsoft Defender XDR
• Microsoft Information Protection
• Microsoft Entra ID
• Microsoft Defender для облака
• Microsoft Defender для конечной точки
• Microsoft Defender для удостоверений
• Microsoft Defender for Cloud Apps
• Microsoft Defender для Office 365

Установка решения TIC 3.0

Чтобы развернуть решение TIC 3.0 из портал Azure:

1. В Microsoft Sentinel выберите центр контента и найдите решение TIC 3.0.

2. В правом нижнем углу выберите "Просмотреть сведения" и " Создать". Выберите подписку, группу ресурсов и рабочую область, в которой необходимо установить решение, а затем просмотрите связанное содержимое системы безопасности, которое будет развернуто.

   Когда все будет готово, выберите Просмотр и создание, чтобы установить решение.

Дополнительные сведения см. в статье "Развертывание содержимого и решений вне поля".

Пример сценария использования

В следующих разделах показано, как аналитик по операциям безопасности может использовать ресурсы, развернутые с решением TIC 3.0, для проверки требований, изучения запросов, настройки оповещений и реализации автоматизации.

После установкирешения TIC 3.0 используйте книгу, правила аналитики и сборник схем, развернутые в рабочей области Microsoft Sentinel для управления нулевым доверием в сети.

Визуализация данных нулевого доверия

1. Перейдите к книге Microsoft Sentinel >Zero Trust (TIC 3.0) и выберите "Просмотреть сохраненную книгу".

   На странице книги TIC 3.0 выберите возможности TIC 3.0, которые вы хотите просмотреть. Для этой процедуры выберите "Обнаружение вторжений".

   Совет

   Используйте переключатель "Руководство" в верхней части страницы для отображения или скрытия рекомендаций и панелей руководства. Убедитесь, что правильные сведения выбраны в параметрах Subscription, Workspace и TimeRange , чтобы просмотреть нужные данные.

2. Просмотрите отображаемые карта элемента управления. Например, прокрутите вниз, чтобы просмотреть карта адаптивных контроль доступа:

   

   Совет

   Используйте переключатель "Направляющие " в левом верхнем углу для просмотра или скрытия рекомендаций и панелей руководства. Например, они могут оказаться полезными при первом доступе к книге, но ненужным после понимания соответствующих понятий.

3. Изучите запросы. Например, в правом верхнем углу адаптивной контроль доступа карта нажмите кнопку :More, а затем нажмите кнопку "Открыть последний запрос запуска" в представлении журналов.

   Запрос открывается на странице журналов Microsoft Sentinel:

   

Настройка оповещений, связанных с нулевой доверием

В Microsoft Sentinel перейдите в область Аналитики . Просмотрите встроенные правила аналитики, развернутые с помощью решения TIC 3.0, выполнив поиск TIC3.0.

По умолчанию решение "Нулевое доверие" (TIC 3.0) устанавливает набор правил аналитики, настроенных для отслеживания состояния "Нулевое доверие" (TIC3.0) по семейству элементов управления, и вы можете настроить пороговые значения для оповещений групп соответствия требованиям для изменения положения.

Например, если состояние устойчивости рабочей нагрузки ниже указанного процента за неделю, Microsoft Sentinel создаст оповещение для детализации соответствующего состояния политики (прохода или сбоя), определенных ресурсов, последнего времени оценки и предоставления глубоких ссылок на Microsoft Defender для облака для действий по исправлению.

Обновите правила по мере необходимости или настройте новый:

Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.

Ответ с помощью SOAR

В Microsoft Sentinel перейдите на вкладку "Активные сборники схем автоматизации>" и найдите сборник схем Notify-GovernanceComplianceTeam.

Используйте этот сборник схем для автоматического отслеживания оповещений CMMC и уведомления группы по соответствию требованиям управления соответствующими сведениями с помощью сообщений электронной почты и Microsoft Teams. Измените сборник схем по мере необходимости:

Дополнительные сведения см. в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel.

Часто задаваемые вопросы

Поддерживаются ли пользовательские представления и отчеты?

Да. Вы можете настроить книгу нулевого доверия (TIC 3.0), чтобы просмотреть данные по подписке, рабочей области, времени, семейству элементов управления или параметрам уровня зрелости, а также экспортировать и распечатать книгу.

Дополнительные сведения см. в статье "Использование книг Azure Monitor для визуализации и мониторинга данных".

Требуются ли дополнительные продукты?

Требуются как Microsoft Sentinel, так и Microsoft Defender для облака.

Помимо этих служб, каждый элемент управления карта основан на данных из нескольких служб в зависимости от типов данных и визуализаций, отображаемых в карта. Более 25 службы Майкрософт обеспечивают обогащение решения TIC 3.0.

Что делать с панелями без данных?

Панели без данных предоставляют отправную точку для решения требований к управлению нулевого доверия и TIC 3.0, включая рекомендации по устранению соответствующих элементов управления.

Поддерживаются ли несколько подписок, облаков и клиентов?

Да. Параметры книги, Azure Lighthouse и Azure Arc можно использовать для использования решения TIC 3.0 во всех подписках, облаках и клиентах.

Дополнительные сведения см. в статье Об использовании книг Azure Monitor для визуализации и мониторинга данных и управления несколькими клиентами в Microsoft Sentinel в качестве MSSP.

Поддерживается ли интеграция партнеров?

Да. Книги и правила аналитики настраиваются для интеграции с партнерскими службами.

Дополнительные сведения см. в статье "Использование книг Azure Monitor для визуализации и мониторинга данных и сведений о пользовательском событии Surface в оповещениях".

Доступно ли это в государственных регионах?

Да. Решение "Нулевое доверие" (TIC 3.0) находится в общедоступной предварительной версии и развертывается в коммерческих или государственных регионах. Дополнительные сведения см. в статье о доступности облачных функций для коммерческих и государственных клиентов США.

Какие разрешения необходимы для использования этого содержимого?

• Пользователи Участника Microsoft Sentinel могут создавать и изменять книги, правила аналитики и другие ресурсы Microsoft Sentinel.

• Пользователи Microsoft Sentinel Reader могут просматривать данные, инциденты, книги и другие ресурсы Microsoft Sentinel.

Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Начало работы с Microsoft Sentinel
• Визуализация и мониторинг данных с помощью книг
• Модель нулевого доверия Майкрософт
• Центр развертывания нулевого доверия

Посмотрите наши видео:

• Демонстрация: решение Microsoft Sentinel Zero Trust (TIC 3.0)
• Microsoft Sentinel: TIC 3.0) Демонстрация книги

Ознакомьтесь с нашими блогами!

• Объявление о решении Microsoft Sentinel: Zero Trust (TIC3.0)
• Создание и мониторинг рабочих нагрузок TIC 3.0 для федеральных информационных систем с помощью Microsoft Sentinel
• Нулевое доверие: 7 стратегий внедрения от лидеров безопасности
• Реализация нулевого доверия с помощью Microsoft Azure: управление удостоверениями и доступом (6 частей серии)