Microsoft Entra ID och PCI-DSS Krav 10
Krav 10: Logga och övervaka all åtkomst till systemkomponenter och krav för datadefinierade korthållare
10.1 Processer och mekanismer för loggning och övervakning av all åtkomst till systemkomponenter och korthållardata definieras och dokumenteras.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.1.1 Alla säkerhetsprinciper och operativa procedurer som identifieras i krav 10 är: Dokumenterade hållas uppdaterade i användning Kända för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 10.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 10 dokumenteras, tilldelas och förstås. | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
10.2 Granskningsloggar implementeras för att stödja identifiering av avvikelser och misstänkt aktivitet samt kriminalteknisk analys av händelser.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.2.1 Granskningsloggar är aktiverade och aktiva för alla systemkomponenter och korthållardata. | Arkivera Microsoft Entra-granskningsloggar för att få ändringar i säkerhetsprinciper och Microsoft Entra-klientkonfiguration. Arkivera Microsoft Entra-aktivitetsloggar i ett SIEM-system (säkerhetsinformation och händelsehantering) för att lära dig mer om användning. Microsoft Entra-aktivitetsloggar i Azure Monitor |
| 10.2.1.1 Granskningsloggar samlar in alla enskilda användares åtkomst till korthållardata. | Gäller inte för Microsoft Entra-ID. |
| 10.2.1.2 Granskningsloggar samlar in alla åtgärder som vidtas av en enskild person med administrativ åtkomst, inklusive interaktiv användning av program- eller systemkonton. | Gäller inte för Microsoft Entra-ID. |
| 10.2.1.3 Granskningsloggar samlar in all åtkomst till granskningsloggar. | I Microsoft Entra-ID kan du inte rensa eller ändra loggar. Privilegierade användare kan köra frågor mot loggar från Microsoft Entra-ID. Minst privilegierade roller efter uppgift i Microsoft Entra-ID När granskningsloggar exporteras till system som Azure Log Analytics-arbetsyta, lagringskonton eller SIEM-system från tredje part övervakar du dem för åtkomst. |
| 10.2.1.4 Granskningsloggar samlar in alla ogiltiga logiska åtkomstförsök. | Microsoft Entra-ID genererar aktivitetsloggar när en användare försöker logga in med ogiltiga autentiseringsuppgifter. Den genererar aktivitetsloggar när åtkomst nekas på grund av principer för villkorsstyrd åtkomst. |
| 10.2.1.5 Granskningsloggar samlar in alla ändringar i identifierings- och autentiseringsuppgifter, inklusive, men inte begränsat till: Skapande av nya konton Utökade privilegier Alla ändringar, tillägg eller borttagningar till konton med administrativ åtkomst |
Microsoft Entra-ID genererar granskningsloggar för händelserna i det här kravet. |
| 10.2.1.6 Granskningsloggar samlar in följande: All initiering av nya granskningsloggar och Alla startar, stoppar eller pausar befintliga granskningsloggar. |
Gäller inte för Microsoft Entra-ID. |
| 10.2.1.7 Granskningsloggar samlar in alla skapande och borttagning av objekt på systemnivå. | Microsoft Entra-ID genererar granskningsloggar för händelser i det här kravet. |
| 10.2.2 Granskningsloggar registrerar följande information för varje granskningsbar händelse: Användaridentifiering. Typ av händelse. Datum och tid. Lyckade och misslyckade indikering. Ursprung för händelsen. Identitet eller namn på berörda data, systemkomponent, resurs eller tjänst (till exempel namn och protokoll). |
Se Granska loggar i Microsoft Entra-ID |
10.3 Granskningsloggar skyddas mot förstörelse och obehöriga ändringar.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.3.1 Läsåtkomst till granskningsloggfiler är begränsad till dem som har ett jobbrelaterat behov. | Privilegierade användare kan köra frågor mot loggar från Microsoft Entra-ID. Minst privilegierade roller efter uppgift i Microsoft Entra ID |
| 10.3.2 Granskningsloggfiler skyddas för att förhindra ändringar av enskilda användare. | I Microsoft Entra-ID kan du inte rensa eller ändra loggar. När granskningsloggar exporteras till system som Azure Log Analytics-arbetsyta, lagringskonton eller SIEM-system från tredje part övervakar du dem för åtkomst. |
| 10.3.3 Granskningsloggfiler, inklusive filer för extern teknik, säkerhetskopieras omedelbart till en säker, central, intern loggserver eller andra medier som är svåra att ändra. | I Microsoft Entra-ID kan du inte rensa eller ändra loggar. När granskningsloggar exporteras till system som Azure Log Analytics-arbetsyta, lagringskonton eller SIEM-system från tredje part övervakar du dem för åtkomst. |
| 10.3.4 Mekanismer för övervakning av filintegritet eller ändringsidentifiering används i granskningsloggar för att säkerställa att befintliga loggdata inte kan ändras utan att generera aviseringar. | I Microsoft Entra-ID kan du inte rensa eller ändra loggar. När granskningsloggar exporteras till system som Azure Log Analytics-arbetsyta, lagringskonton eller SIEM-system från tredje part övervakar du dem för åtkomst. |
10.4 Granskningsloggar granskas för att identifiera avvikelser eller misstänkt aktivitet.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.4.1 Följande granskningsloggar granskas minst en gång dagligen: Alla säkerhetshändelser. Loggar för alla systemkomponenter som lagrar, bearbetar eller överför korthållardata (CHD) och/eller känsliga autentiseringsdata (SAD). Loggar för alla kritiska systemkomponenter. Loggar för alla servrar och systemkomponenter som utför säkerhetsfunktioner (till exempel nätverkssäkerhetskontroller, intrångsidentifieringssystem/intrångsskyddssystem (IDS/IPS), autentiseringsservrar). |
Inkludera Microsoft Entra-loggar i den här processen. |
| 10.4.1.1 Automatiserade mekanismer används för att utföra granskningar av granskningsloggar. | Inkludera Microsoft Entra-loggar i den här processen. Konfigurera automatiserade åtgärder och aviseringar när Microsoft Entra-loggar är integrerade med Azure Monitor. Distribuera Azure Monitor: Aviseringar och automatiserade åtgärder |
| 10.4.2 Loggar för alla andra systemkomponenter (de som inte anges i krav 10.4.1) granskas regelbundet. | Gäller inte för Microsoft Entra-ID. |
| 10.4.2.1 Frekvensen för periodiska logggranskningar för alla andra systemkomponenter (definieras inte i krav 10.4.1) definieras i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1 | Gäller inte för Microsoft Entra-ID. |
| 10.4.3 Undantag och avvikelser som identifierats under granskningsprocessen åtgärdas. | Gäller inte för Microsoft Entra-ID. |
10.5 Granskningslogghistorik behålls och är tillgänglig för analys.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.5.1 Behåll granskningslogghistoriken i minst 12 månader, med minst de senaste tre månaderna omedelbart tillgängliga för analys. | Integrera med Azure Monitor och exportera loggarna för långsiktig arkivering. Integrera Microsoft Entra-loggar med Azure Monitor-loggar Läs mer om datakvarhållningsprincipen för Microsoft Entra-loggar. Microsoft Entra-datakvarhållning |
10.6 Mekanismer för tidssynkronisering stöder konsekventa tidsinställningar i alla system.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.6.1 Systemklockor och tid synkroniseras med hjälp av tidssynkroniseringsteknik. | Lär dig mer om mekanismen för tidssynkronisering i Azure-tjänster. Tidssynkronisering för finansiella tjänster i Azure |
| 10.6.2 System är konfigurerade till rätt och konsekvent tid enligt följande: En eller flera avsedda tidsservrar används. Endast de avsedda centrala tidsservrarna tar emot tid från externa källor. Tiden som tas emot från externa källor baseras på internationell atomtid eller samordnad universell tid (UTC). De avsedda tidsservrarna accepterar endast tidsuppdateringar från specifika branschgodkända externa källor. Om det finns mer än en angiven tidsserver, peerar tidsservrarna med varandra för att hålla rätt tid. Interna system tar endast emot tidsinformation från utsedda centrala tidsservrar. |
Lär dig mer om mekanismen för tidssynkronisering i Azure-tjänster. Tidssynkronisering för finansiella tjänster i Azure |
| 10.6.3 Tidssynkroniseringsinställningar och data skyddas på följande sätt: Åtkomst till tidsdata är begränsad till endast personal med affärsbehov. Ändringar i tidsinställningarna för kritiska system loggas, övervakas och granskas. |
Microsoft Entra ID förlitar sig på mekanismer för tidssynkronisering i Azure. Azure-procedurer synkroniserar servrar och nätverksenheter med NTP Stratum 1-tidsservrar synkroniserade med GPS-satelliter (Global Positioning System). Synkronisering sker var femte minut. Azure säkerställer synkroniseringstiden för tjänstvärdar. Tidssynkronisering för finansiella tjänster i Azure Hybrid-komponenter i Microsoft Entra-ID, till exempel Microsoft Entra Anslut-servrar, interagerar med lokal infrastruktur. Kunden äger tidssynkronisering av lokala servrar. |
10.7 Fel i kritiska säkerhetskontrollsystem identifieras, rapporteras och besvaras snabbt.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 10.7.2Ytterligare krav endast för tjänstleverantörer: Fel i kritiska säkerhetskontrollsystem identifieras, varnas och åtgärdas snabbt, inklusive men inte begränsat till fel i följande kritiska säkerhetskontrollsystem: Nätverkssäkerhetskontroller IDS/IPS Filintegritetsövervakning (FIM) Lösningar för skydd mot skadlig kod Fysiska åtkomstkontroller Logiska åtkomstkontroller Granskningsloggningsmekanism Segmenteringskontroller (om det används) |
Microsoft Entra ID förlitar sig på mekanismer för tidssynkronisering i Azure. Azure har stöd för händelseanalys i realtid i driftmiljön. Interna Azure-infrastruktursystem genererar händelseaviseringar i nära realtid om potentiella kompromisser. |
| 10.7.2 Fel i kritiska säkerhetskontrollsystem identifieras, varnas och åtgärdas snabbt, inklusive men inte begränsat till fel i följande kritiska säkerhetskontrollsystem: IDS/IP-mekanismer för identifiering av nätverkssäkerhetskontroller Mekanismer för identifiering av skadlig kod – Fysiska åtkomstkontroller Logiska åtkomstkontroller Granskningsmekanismer Segmenteringskontroller (om den används) Granskningsmekanismer för granskning av granskningsloggar Automatiserade säkerhetstestverktyg (om de används) |
Se guide för Microsoft Entra-säkerhetsåtgärder |
| 10.7.3 Fel i kritiska säkerhetskontrollsystem besvaras snabbt, inklusive men inte begränsat till: Återställa säkerhetsfunktioner. Identifiera och dokumentera varaktigheten (datum och tid från början till slut) för säkerhetsfelet. Identifiera och dokumentera orsaken till felet och dokumentera nödvändig reparation. Identifiera och åtgärda eventuella säkerhetsproblem som uppstod under felet. Avgöra om ytterligare åtgärder krävs till följd av säkerhetsfelet. Implementera kontroller för att förhindra att orsaken till felet upprepas. Återuppta övervakningen av säkerhetskontroller. |
Se guide för Microsoft Entra-säkerhetsåtgärder |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata (du är här)
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication