Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
"Никому не доверяй" — это стратегия безопасности для разработки и реализации следующих наборов принципов безопасности:
| Выполняйте проверку явным образом. | Руководствуйтесь принципом минимальных прав. | Предполагайте наличие бреши в системе безопасности |
|---|---|---|
| Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. | Минимизируйте радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту. |
В этой статье описывается, как использовать решение Microsoft Sentinel "Никому не доверяй" (TIC 3.0), которое помогает группам управления и соответствия требованиям отслеживать требования "Никому не доверяй" и реагировать на них в соответствии с инициативой TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Microsoft Sentinel решения — это наборы объединенного содержимого, предварительно настроенные для определенного набора данных. Решение "Никому не доверяй" (TIC 3.0) включает в себя книгу, правила аналитики и сборник схем, которые предоставляют автоматическую визуализацию принципов "Никому не доверяй", перекрестно переходя к платформе Trust Internet Connections, помогая организациям отслеживать конфигурации с течением времени.
Примечание.
Получите полное представление о состоянии "Никому не доверяй" вашей организации с помощью инициативы "Никому не доверяй" в Microsoft Exposure Management. Дополнительные сведения см. в статье Быстрая модернизация состояния безопасности для "Никому не доверяй" | Microsoft Learn.
Решение "Никому не доверяй" и платформа TIC 3.0
Zero Trust и TIC 3.0 не совпадают, но они имеют много общих тем и вместе предоставляют общую историю. Решение Microsoft Sentinel для "Никому не доверяй" (TIC 3.0) предлагает подробные переходы между Microsoft Sentinel и моделью "Никому не доверяй" с платформой TIC 3.0. Эти переходы помогают пользователям лучше понять перекрытия между ними.
Хотя Microsoft Sentinel решение для "Никому не доверяй" (TIC 3.0) предоставляет рекомендации, корпорация Майкрософт не гарантирует и не подразумевает соответствие требованиям. Все требования к доверенному интернет-подключению (TIC), проверки и элементы управления регулируются Агентством по кибербезопасности & инфраструктуры.
Решение "Никому не доверяй" (TIC 3.0) обеспечивает видимость и ситуационный уровень осведомленности о требованиях к управлению, предоставляемых с помощью технологий Майкрософт в преимущественно облачных средах. Взаимодействие с клиентами зависит от пользователя, и для некоторых областей могут потребоваться дополнительные конфигурации и изменения запросов для работы.
Рекомендации не подразумевают охват соответствующих элементов управления, так как они часто являются одним из нескольких курсов действий по выполнению требований, которые уникальны для каждого клиента. Рекомендации следует рассматривать как отправную точку для планирования полного или частичного охвата соответствующих требований к управлению.
Решение Microsoft Sentinel для "Никому не доверяй" (TIC 3.0) полезно для любого из следующих пользователей и вариантов использования:
- Специалисты по управлению безопасностью, рискам и соответствию требованиям для оценки состояния соответствия требованиям и отчетности
- Инженеры и архитекторы, которым необходимо разработать рабочие нагрузки с поддержкой "Никому не доверяй" и TIC 3.0
- Аналитики безопасности для создания оповещений и автоматизации
- Поставщики управляемых служб безопасности (MSSP) для консультационных услуг
- Диспетчеры безопасности, которым необходимо проверить требования, проанализировать отчеты, оценить возможности
Предварительные условия
Перед установкой решения "Никому не доверяй" (TIC 3.0) убедитесь, что у вас есть следующие предварительные требования:
Подключение служб Майкрософт. Убедитесь, что в подписке на Azure включены как Microsoft Sentinel, так и Microsoft Defender для облака.
Microsoft Defender для требований к облаку. В Microsoft Defender для облака:
Добавьте необходимые нормативные стандарты на панель мониторинга. Убедитесь, что на панель мониторинга Microsoft Defender для облака добавьте тест производительности безопасности Microsoft Cloud и оценки NIST SP 800-53 R5. Дополнительные сведения см. в статье Добавление нормативного стандарта на панель мониторинга в документации по Microsoft Defender для облака.
Непрерывно экспортируйте Microsoft Defender для облачных данных в рабочую область Log Analytics. Дополнительные сведения см. в статье Непрерывный экспорт Microsoft Defender для облачных данных.
Необходимые разрешения пользователя. Чтобы установить решение "Никому не доверяй" (TIC 3.0), необходимо иметь доступ к рабочей области Microsoft Sentinel с разрешениями средства чтения безопасности.
Решение "Никому не доверяй" (TIC 3.0) также улучшается за счет интеграции с другими службами Майкрософт, такими как:
- Microsoft Defender XDR
- Защита информации (Майкрософт)
- Microsoft Entra ID
- Microsoft Defender для облака
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Microsoft Defender для Office 365
Установка решения "Никому не доверяй" (TIC 3.0)
Чтобы развернуть решение "Никому не доверяй" (TIC 3.0) из портал Azure:
В Microsoft Sentinel выберите Центр содержимого и найдите решение "Никому не доверяй" (TIC 3.0).
В правом нижнем углу выберите Просмотреть сведения, а затем — Создать. Выберите подписку, группу ресурсов и рабочую область, в которой требуется установить решение, а затем просмотрите соответствующее содержимое системы безопасности, которое будет развернуто.
По завершении выберите Проверить и создать , чтобы установить решение.
Дополнительные сведения см. в статье Развертывание готового содержимого и решений.
Пример сценария использования
В следующих разделах показано, как аналитик операций безопасности может использовать ресурсы, развернутые с решением "Никому не доверяй" (TIC 3.0), для проверки требований, изучения запросов, настройки оповещений и реализации автоматизации.
После установки решения "Никому не доверяй" (TIC 3.0) используйте книгу, правила аналитики и сборник схем, развернутые в рабочей области Microsoft Sentinel, для управления "Никому не доверяй" в сети.
Визуализация данных "Никому не доверяй"
Перейдите к книге Microsoft Sentinel Книги>без доверия (TIC 3.0) и выберите Просмотреть сохраненную книгу.
На странице книги Никому не доверяй (TIC 3.0) выберите возможности TIC 3.0, которые нужно просмотреть. Для этой процедуры выберите Обнаружение вторжений.
Совет
Используйте переключатель Руководство в верхней части страницы, чтобы отобразить или скрыть рекомендации и панели направляющих. Убедитесь, что в параметрах Подписка, Рабочая область и TimeRange выбраны правильные сведения, чтобы можно было просмотреть нужные данные.
Выберите карточки элементов управления, которые нужно отобразить. Для этой процедуры выберите Адаптивный контроль доступа, а затем продолжайте прокрутку, чтобы просмотреть отображаемые карта.
Совет
Используйте переключатель Направляющие в левом верхнем углу, чтобы просмотреть или скрыть рекомендации и области направляющих. Например, они могут быть полезны при первом доступе к книге, но ненужные, когда вы понимаете соответствующие понятия.
Изучите запросы. Например, в правом верхнем углу контроль доступа карта выберите меню Параметры с тремя точками, а затем выберите Открыть последний выполняемый запрос в представлении Журналы.
Запрос открывается на странице журналов Microsoft Sentinel:
Настройка оповещений, связанных с "Никому не доверяй"
В Microsoft Sentinel перейдите в область Аналитика. Просмотрите встроенные правила аналитики, развернутые с помощью решения "Никому не доверяй" (TIC 3.0), выполнив поиск по запросу TIC3.0.
По умолчанию решение "Никому не доверяй" (TIC 3.0) устанавливает набор правил аналитики, настроенных для мониторинга состояния "Никому не доверяй" (TIC3.0) по семейству элементов управления, и вы можете настроить пороговые значения для оповещения групп соответствия требованиям об изменениях в состоянии.
Например, если уровень устойчивости рабочей нагрузки за неделю опускается ниже указанного процента, Microsoft Sentinel создаст оповещение с подробными сведениями о состоянии соответствующей политики (пройден или сбое), обнаруженных ресурсах, времени последней оценки и предоставит подробные ссылки на Microsoft Defender для облака для действий по исправлению.
При необходимости обновите правила или настройте новое:
Дополнительные сведения см. в статье Создание пользовательских правил аналитики для обнаружения угроз.
Ответ с помощью SOAR
В Microsoft Sentinel перейдите на вкладку Автоматизация>активных сборников схем и найдите сборник схем Notify-GovernanceComplianceTeam.
Используйте этот сборник схем для автоматического мониторинга оповещений CMMC и уведомления команды по соответствию требованиям системы управления с помощью электронной почты и сообщений Microsoft Teams. Измените сборник схем при необходимости:
Дополнительные сведения см. в разделе Использование триггеров и действий в сборниках схем Microsoft Sentinel.
Вопросы и ответы
Поддерживаются ли пользовательские представления и отчеты?
Да. Вы можете настроить книгу "Никому не доверяй" (TIC 3.0) для просмотра данных по подписке, рабочей области, времени, семейству элементов управления или уровню зрелости, а также экспортировать и распечатать книгу.
Дополнительные сведения см. в статье Использование книг Azure Monitor для визуализации и мониторинга данных.
Требуются ли дополнительные продукты?
Требуются как Microsoft Sentinel, так и Microsoft Defender для облака.
Помимо этих служб, каждый элемент управления карта основан на данных из нескольких служб в зависимости от типов данных и визуализаций, отображаемых в карта. Более 25 служб Майкрософт обеспечивают обогащение решения "Никому не доверяй" (TIC 3.0).
Что делать с панелями без данных?
Панели без данных предоставляют отправную точку для решения требований к элементам управления "Никому не доверяй" и TIC 3.0, включая рекомендации по устранению соответствующих элементов управления.
Поддерживаются ли несколько подписок, облаков и клиентов?
Да. Параметры книги, Azure Lighthouse и Azure Arc можно использовать для использования решения "Никому не доверяй" (TIC 3.0) во всех подписках, облаках и клиентах.
Дополнительные сведения см. в разделах Использование книг Azure Monitor для визуализации и мониторинга данных и Управление несколькими клиентами в Microsoft Sentinel в качестве MSSP.
Поддерживается ли интеграция партнеров?
Да. Книги и правила аналитики настраиваются для интеграции со службами партнеров.
Дополнительные сведения см. в разделе Использование книг Azure Monitor для визуализации и мониторинга данных и сведения о пользовательских событиях Surface в оповещениях.
Доступно ли это в государственных регионах?
Да. Решение "Никому не доверяй" (TIC 3.0) доступно в общедоступной предварительной версии и может быть развернуто в коммерческих и государственных регионах. Дополнительные сведения см. в статье Доступность облачных функций для коммерческих и государственных организаций США.
Какие разрешения необходимы для использования этого содержимого?
пользователи Microsoft Sentinel участник могут создавать и изменять книги, правила аналитики и другие Microsoft Sentinel ресурсы.
пользователи Microsoft Sentinel Reader могут просматривать данные, инциденты, книги и другие Microsoft Sentinel ресурсы.
Дополнительные сведения см. в разделе Разрешения в Microsoft Sentinel.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.
- Начало работы с Microsoft Sentinel
- Визуализация и мониторинг данных с помощью книг
- Модель "Никому не доверяй" (Майкрософт)
- Центр развертывания "Никому не доверяй"
Посмотрите наши видео:
- Демонстрация: решение Microsoft Sentinel "Никому не доверяй" (TIC 3.0)
- Microsoft Sentinel: Демонстрация книги "Никому не доверяй" (TIC 3.0)
Читайте наши блоги!
- Объявление о Microsoft Sentinel: решение "Никому не доверяй" (TIC3.0)
- Создание и мониторинг рабочих нагрузок "Никому не доверяй" (TIC 3.0) для федеральных информационных систем с Microsoft Sentinel
- Никому не доверяй: 7 стратегий внедрения от лидеров безопасности
- Реализация "Никому не доверяй" с помощью Microsoft Azure: управление удостоверениями и доступом (серия 6 частей)