Share via

Konfigurera ytterligare kontroller för att uppfylla FedRAMP-nivån med hög påverkan

  • Artikel

Följande lista över kontroller (och kontrollförbättringar) kan kräva konfiguration i din Microsoft Entra-klientorganisation.

Varje rad i följande tabeller innehåller förebyggande vägledning. Den här vägledningen hjälper dig att utveckla organisationens svar på alla delade ansvarsområden när det gäller kontroll- eller kontrollförbättringen.

Granskning och ansvar

Vägledningen i följande tabell avser:

  • AU-2 Granskningshändelser
  • AU-3 Granskningsinnehåll
  • AU-6 Granskning, analys och rapportering
FedRAMP-kontroll-ID och beskrivning Vägledning och rekommendationer för Microsoft Entra
AU-2-granskningshändelser
Organisationen:
(a.) Avgör att informationssystemet kan granska följande händelser: [FedRAMP-tilldelning: [Lyckade och misslyckade kontoinloggningshändelser, kontohanteringshändelser, objektåtkomst, principändring, behörighetsfunktioner, processspårning och systemhändelser. För webbprogram: all administratörsaktivitet, autentiseringskontroller, auktoriseringskontroller, databorttagningar, dataåtkomst, dataändringar och behörighetsändringar];
(b.) Samordnar säkerhetsgranskningsfunktionen med andra organisationsentiteter som kräver granskningsrelaterad information för att förbättra ömsesidigt stöd och för att hjälpa till att vägleda valet av granskningsbara händelser.
(c.) Ger en motivering till varför de granskningsbara händelserna anses vara tillräckliga för att stödja undersökningar av säkerhetsincidenter i efterhand. Och
(d.) Avgör att följande händelser ska granskas i informationssystemet: [FedRAMP-tilldelning: organisationsdefinierad delmängd av de granskningsbara händelser som definieras i AU-2 a. som ska granskas kontinuerligt för varje identifierad händelse].

AU-2 Ytterligare FedRAMP-krav och vägledning:
Krav: Samordningen mellan tjänsteleverantören och konsumenten ska dokumenteras och godkännas av JAB/AO.

AU-3-innehåll och granskningsposter
Informationssystemet genererar granskningsposter som innehåller information som anger vilken typ av händelse som inträffade, när händelsen inträffade, var händelsen inträffade, källan till händelsen, resultatet av händelsen och identiteten för alla personer eller ämnen som är associerade med händelsen.

AU-3(1)
Informationssystemet genererar granskningsposter som innehåller följande ytterligare information: [FedRAMP-tilldelning: organisationsdefinierad ytterligare, mer detaljerad information].

AU-3 (1) Ytterligare FedRAMP-krav och vägledning:
Krav: Tjänstleverantören definierar granskningsposttyper [FedRAMP-tilldelning: session, anslutning, transaktion eller aktivitetsvaraktighet; för klient-server-transaktioner, antalet mottagna byte och skickade byte; ytterligare informationsmeddelanden för att diagnostisera eller identifiera händelsen; egenskaper som beskriver eller identifierar objektet eller resursen som åtgärdas; enskilda identiteter för gruppkontoanvändare; fulltext av privilegierade kommandon]. Granskningsposttyperna godkänns och godkänns av JAB/AO.
Vägledning: För klient-server-transaktioner ger antalet byte som skickas och tas emot dubbelriktad överföringsinformation som kan vara till hjälp under en undersökning eller förfrågan.

AU-3(2)
Informationssystemet tillhandahåller centraliserad hantering och konfiguration av innehållet som ska samlas in i granskningsposter som genereras av [FedRAMP-tilldelning: alla nätverk, datalagring och databehandlingsenheter].		 Se till att systemet kan granska händelser som definierats i AU-2 Del a. Samordna med andra entiteter i organisationens delmängd av granskningsbara händelser för att stödja undersökningar efter fakta. Implementera centraliserad hantering av granskningsposter.

Alla åtgärder för kontolivscykel (kontoskapande, ändring, aktivering, inaktivering och borttagning) granskas i Microsoft Entra-granskningsloggarna. Alla autentiserings- och auktoriseringshändelser granskas i Inloggningsloggarna för Microsoft Entra och eventuella identifierade risker granskas i identitetsskyddsloggarna. Du kan strömma var och en av dessa loggar direkt till en SIEM-lösning (säkerhetsinformation och händelsehantering), till exempel Microsoft Sentinel. Du kan också använda Azure Event Hubs för att integrera loggar med SIEM-lösningar från tredje part.

Granska händelser

  • Granska aktivitetsrapporter i administrationscentret för Microsoft Entra
  • Rapporter om inloggningsaktivitet i Microsoft Entra administrationscenter
  • Anvisningar: Undersöka risk

    SIEM-integreringar

  • Microsoft Sentinel: Anslut data från Microsoft Entra-ID
  • Strömma till Azure-händelsehubben och andra SIEM:er
    		•
    AU-6 Granskningsgranskning, analys och rapportering
    Organisationen:
    (a.) Granskar och analyserar granskningsposter för informationssystem [FedRAMP-tilldelning: minst varje vecka] för indikationer på [Tilldelning: organisationsdefinierad olämplig eller ovanlig aktivitet];
    (b.) Rapporterar resultat till [Tilldelning: organisationsdefinierad personal eller roller].
    AU-6 Ytterligare FedRAMP-krav och vägledning:
    Krav: Samordning mellan tjänsteleverantör och konsument ska dokumenteras och godkännas av den auktoriserande tjänstemannen. I miljöer med flera innehavare ska det dokumenteras funktioner och metoder för att tillhandahålla granskning, analys och rapportering till konsumenten för data som rör konsumenter.

    AU-6(1)
    Organisationen använder automatiserade mekanismer för att integrera gransknings-, analys- och rapporteringsprocesser för att stödja organisationsprocesser för undersökning och svar på misstänkta aktiviteter.

    AU-6(3)
    Organisationen analyserar och korrelerar granskningsposter över olika lagringsplatser för att få organisationsomfattande situationsmedvetenhet.

    AU-6(4)
    Informationssystemet ger möjlighet att centralt granska och analysera granskningsposter från flera komponenter i systemet.

    AU-6(5)
    Organisationen integrerar analys av granskningsposter med analys av [FedRAMP Selection (en eller flera): information om sårbarhetsgenomsökning, prestandadata, informationssystemövervakningsinformation, intrångstestdata; [Tilldelning: organisationsdefinierade data/information som samlats in från andra källor]] för att ytterligare förbättra möjligheten att identifiera olämplig eller ovanlig aktivitet.

    AU-6(6)
    Organisationen korrelerar information från granskningsposter med information från övervakning av fysisk åtkomst för att ytterligare förbättra möjligheten att identifiera misstänkt, olämplig, ovanlig eller illvillig aktivitet.
    AU-6 Ytterligare FedRAMP-krav och vägledning:
    Krav: Samordningen mellan tjänsteleverantören och konsumenten ska dokumenteras och godkännas av JAB/AO.

    AU-6(7)
    Organisationen anger de tillåtna åtgärderna för varje [FedRAMP-val (ett eller flera): informationssystemprocess, roll; användare] som är associerade med granskning, analys och rapportering av granskningsinformation.

    AU-6(10)
    Organisationen justerar nivån för granskning, analys och rapportering i informationssystemet när det sker en riskändring baserat på information om brottsbekämpning, underrättelseinformation eller andra trovärdiga informationskällor.    		 Granska och analysera granskningsposter minst en gång i veckan för att identifiera olämplig eller ovanlig aktivitet och rapportera resultaten till lämplig personal.

    Den föregående vägledningen för AU-02 och AU-03 möjliggör veckovis granskning av granskningsposter och rapportering till lämplig personal. Du kan inte uppfylla dessa krav genom att bara använda Microsoft Entra-ID. Du måste också använda en SIEM-lösning, till exempel Microsoft Sentinel. Mer information finns i Vad är Microsoft Sentinel?.

    Incidenthantering

    Vägledningen i följande tabell avser:

    • IR-4 Incidenthantering

    • Övervakning av IR-5-incidenter

    FedRAMP-kontroll-ID och beskrivning Vägledning och rekommendationer för Microsoft Entra
    Incidenthantering i IR-4
    Organisationen:
    (a.) Implementerar en incidenthanteringsfunktion för säkerhetsincidenter som omfattar förberedelse, identifiering och analys, inneslutning, utrotning och återställning.
    (b.) Samordnar incidenthanteringsaktiviteter med beredskapsplaneringsaktiviteter. Och
    (c.) Innehåller lärdomar från pågående incidenthanteringsaktiviteter i incidenthanteringsprocedurer, utbildning och testning/övningar och implementerar de resulterande ändringarna i enlighet med detta.
    IR-4 Ytterligare FedRAMP-krav och vägledning:
    Krav: Tjänsteleverantören ser till att personer som utför incidenthantering uppfyller personalens säkerhetskrav i förhållande till den kritiska/känsliga informationen som bearbetas, lagras och överförs av informationssystemet.

    IR-04(1)
    Organisationen använder automatiserade mekanismer för att stödja incidenthanteringsprocessen.

    IR-04(2)
    Organisationen innehåller dynamisk omkonfiguration av [FedRAMP-tilldelning: alla nätverk, datalagring och databehandlingsenheter] som en del av incidenthanteringsfunktionen.

    IR-04(3)
    Organisationen identifierar [Tilldelning: organisationsdefinierade klasser av incidenter] och [Tilldelning: organisationsdefinierade åtgärder att vidta som svar på incidentklasser] för att säkerställa fortsättning av organisationsuppdrag och affärsfunktioner.

    IR-04(4)
    Organisationen korrelerar incidentinformation och enskilda incidentsvar för att uppnå ett organisationsomfattande perspektiv på incidentmedvetenhet och incidenthantering.

    IR-04(6)
    Organisationen implementerar incidenthanteringsfunktioner för insiderhot.

    IR-04(8)
    Organisationen implementerar incidenthanteringsfunktioner för insiderhot.
    Organisationen samordnar med [FedRAMP-tilldelning: externa organisationer, inklusive konsumentincidenter och nätverksförsvarare och lämpligt team för konsumentincidenthantering (CIRT)/ CERT (Computer Emergency Response Team) (till exempel US-CERT, DoD CERT, IC CERT)] för att korrelera och dela [Tilldelning: organisationsdefinierad incidentinformation] för att uppnå ett övergripande organisationsperspektiv på incidentmedvetenhet och effektivare incidenthantering.

    Incidentövervakning i IR-05
    Organisationen spårar och dokumenterar säkerhetsincidenter i informationssystemet.

    IR-05(1)
    Organisationen använder automatiserade mekanismer för att hjälpa till med spårning av säkerhetsincidenter och insamling och analys av incidentinformation.    		 Implementera incidenthanterings- och övervakningsfunktioner. Detta inkluderar automatiserad incidenthantering, dynamisk omkonfiguration, kontinuitet i åtgärder, informationskorrelation, insiderhot, korrelation med externa organisationer samt incidentövervakning och automatiserad spårning.

    Granskningsloggarna registrerar alla konfigurationsändringar. Autentiserings- och auktoriseringshändelser granskas i inloggningsloggarna och eventuella identifierade risker granskas i identitetsskyddsloggarna. Du kan strömma var och en av dessa loggar direkt till en SIEM-lösning, till exempel Microsoft Sentinel. Du kan också använda Azure Event Hubs för att integrera loggar med SIEM-lösningar från tredje part. Automatisera dynamisk omkonfiguration baserat på händelser i SIEM med hjälp av Microsoft Graph PowerShell.

    Granska händelser

  • Granska aktivitetsrapporter i administrationscentret för Microsoft Entra
  • Rapporter om inloggningsaktivitet i Microsoft Entra administrationscenter
  • Anvisningar: Undersöka risk

    SIEM-integreringar

  • Microsoft Sentinel: Anslut data från Microsoft Entra-ID
  • Strömma till Azure-händelsehubben och andra SIEM:er
    		•

    Personalsäkerhet

    Vägledningen i följande tabell avser:

    • PS-4 Personalavslutning
    FedRAMP-kontroll-ID och beskrivning Vägledning och rekommendationer för Microsoft Entra
    PS-4
    Personalavslut
    Organisationen, vid uppsägning av individuell anställning:
    (a.) Inaktiverar informationssystemåtkomst inom [FedRAMP-tilldelning: åtta (8) timmar];
    (b.) Avslutar/återkallar alla autentiserare/autentiseringsuppgifter som är associerade med individen;
    (c.) Genomför exitintervjuer som innehåller en diskussion om [Tilldelning: organisationsdefinierade informationssäkerhetsämnen];
    (d.) Hämtar all säkerhetsrelaterad systemrelaterad egenskap för organisationsinformation.
    (e.) Behåller åtkomsten till organisationsinformations- och informationssystem som tidigare kontrollerades av en avslutad individ. Och
    (f.) Meddelar [Tilldelning: organisationsdefinierad personal eller roller] inom [Tilldelning: organisationsdefinierad tidsperiod].

    PS-4(2)
    Organisationen använder automatiserade mekanismer för att meddela [FedRAMP-tilldelning: personal för åtkomstkontroll som ansvarar för att inaktivera åtkomst till systemet] när en individ avslutas.    		 Meddela automatiskt personal som ansvarar för att inaktivera åtkomst till systemet.

    Inaktivera konton och återkalla alla associerade autentiseringsuppgifter inom 8 timmar.

    Konfigurera etablering (inklusive inaktivering vid avslutning) av konton i Microsoft Entra-ID från externa HR-system, lokal Active Directory eller direkt i molnet. Avsluta all systemåtkomst genom att återkalla befintliga sessioner.

    Kontoetablering

  • Se detaljerad vägledning i AC-02.

    Återkalla alla associerade autentiserare

  • Återkalla användaråtkomst i en nödsituation i Microsoft Entra-ID
    		•

    System och informationsintegritet

    Vägledningen i följande tabell avser:

    • SI-4 Övervakning av informationssystem
    FedRAMP-kontroll-ID och beskrivning Vägledning och rekommendationer för Microsoft Entra
    SI-4 Övervakning av informationssystem
    Organisationen:
    (a.) Övervakar informationssystemet för att identifiera:
    (1.) Attacker och indikatorer för potentiella attacker i enlighet med [Tilldelning: organisationsdefinierade övervakningsmål]; och
    (2.) Obehöriga lokala anslutningar, nätverk och fjärranslutningar.
    (b.) Identifierar obehörig användning av informationssystemet via [Tilldelning: organisationsdefinierade tekniker och metoder];
    (c.) Distribuerar övervakningsenheter (i) strategiskt inom informationssystemet för att samla in organisationsbestämd viktig information. och ii) på ad hoc-platser inom systemet för att spåra specifika typer av transaktioner av intresse för organisationen,
    (d.) Skyddar information som hämtas från verktyg för intrångsövervakning från obehörig åtkomst, ändring och borttagning.
    (e.) Ökar nivån på informationssystemets övervakningsaktivitet när det finns en indikation på ökad risk för organisationens verksamhet och tillgångar, individer, andra organisationer eller nationen baserat på information om brottsbekämpning, underrättelseinformation eller andra trovärdiga informationskällor;
    (f.) Erhåller juridiska utlåtanden om informationssystemövervakningsaktiviteter i enlighet med tillämpliga federala lagar, verkställande order, direktiv, policyer eller förordningar; Och
    (d.) Tillhandahåller [Tilldelning: organisationsdefinierad informationssystemövervakningsinformation] till [Tilldelning: organisationsdefinierad personal eller roller] [Val (en eller flera): efter behov; [Tilldelning: organisationsdefinierad frekvens]].
    SI-4 Ytterligare FedRAMP-krav och vägledning:
    Vägledning: Se rapporteringsriktlinjerna för US-CERT-incidenthantering.

    SI-04(1)
    Organisationen ansluter och konfigurerar enskilda verktyg för intrångsidentifiering till ett system för identifiering av intrång i hela informationssystemet.    		 Implementera systemomfattande informationsövervakning och intrångsidentifieringssystemet.

    Inkludera alla Microsoft Entra-loggar (granskning, inloggning, identitetsskydd) i informationssystemets övervakningslösning.

    Strömma Microsoft Entra-loggar till en SIEM-lösning (se IA-04).                                                                              

    Nästa steg

    Konfigurera åtkomstkontroller

    Konfigurera identifierings- och autentiseringskontroller

    Konfigurera andra kontroller