Microsoft Entra ID och PCI-DSS Krav 5
Krav 5: Skydda alla system och nätverk mot krav för definierad skadlig programvara
5.1 Processer och mekanismer för att skydda alla system och nätverk från skadlig programvara definieras och förstås.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 5.1.1 Alla säkerhetsprinciper och operativa procedurer som identifieras i krav 5 är: Dokumenterad hållas uppdaterad i användning Känd för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 5.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 5 dokumenteras, tilldelas och förstås. | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
5.2 Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 5.2.1 En lösning eller lösningar mot skadlig kod distribueras på alla systemkomponenter, förutom de systemkomponenter som identifieras i periodiska utvärderingar enligt krav 5.2.3 som drar slutsatsen att systemkomponenterna inte riskerar att drabbas av skadlig kod. | Distribuera principer för villkorsstyrd åtkomst som kräver enhetsefterlevnad. Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune Integrera enhetsefterlevnadstillstånd med lösningar mot skadlig kod. Framtvinga efterlevnad för Microsoft Defender för Endpoint med villkorlig åtkomst i Intune Mobile Threat Defense-integrering med Intune |
| 5.2.2 Den distribuerade lösningen eller lösningarna för skadlig kod: Identifierar alla kända typer av skadlig kod. Tar bort, blockerar eller innehåller alla kända typer av skadlig kod. |
Gäller inte för Microsoft Entra-ID. |
| 5.2.3 Alla systemkomponenter som inte är i riskzonen för skadlig kod utvärderas regelbundet för att inkludera följande: En dokumenterad lista över alla systemkomponenter som inte är i riskzonen för skadlig kod. Identifiering och utvärdering av nya hot mot skadlig kod för dessa systemkomponenter. Bekräfta om sådana systemkomponenter fortsätter att inte kräva skydd mot skadlig kod. |
Gäller inte för Microsoft Entra-ID. |
| 5.2.3.1 Frekvensen för periodiska utvärderingar av systemkomponenter som identifierats som riskfyllda för skadlig kod definieras i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1. | Gäller inte för Microsoft Entra-ID. |
5.3 Mekanismer och processer mot skadlig kod är aktiva, underhålls och övervakas.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 5.3.1 Lösningen/lösningarna för skadlig kod hålls aktuella via automatiska uppdateringar. | Gäller inte för Microsoft Entra-ID. |
| 5.3.2 Lösningen eller lösningarna för skadlig kod: Utför periodiska genomsökningar och aktiva genomsökningar eller realtidsgenomsökningar. OR Utför kontinuerlig beteendeanalys av system eller processer. |
Gäller inte för Microsoft Entra-ID. |
| 5.3.2.1 Om periodiska genomsökningar av skadlig kod utförs för att uppfylla krav 5.3.2 definieras frekvensen för genomsökningar i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1. | Gäller inte för Microsoft Entra-ID. |
| 5.3.3 För flyttbara elektroniska medier utför lösningen/ lösningarna mot skadlig kod automatiska genomsökningar av när mediet sätts in, ansluts eller logiskt monteras, ELLER utför kontinuerlig beteendeanalys av system eller processer när mediet sätts in, ansluts eller monteras logiskt. |
Gäller inte för Microsoft Entra-ID. |
| 5.3.4 Granskningsloggar för lösningar mot skadlig kod aktiveras och bevaras i enlighet med krav 10.5.1. | Gäller inte för Microsoft Entra-ID. |
| 5.3.5 Mekanismer för skydd mot skadlig kod kan inte inaktiveras eller ändras av användare, såvida de inte uttryckligen dokumenteras och godkänns av ledningen från fall till fall under en begränsad tidsperiod. | Gäller inte för Microsoft Entra-ID. |
5.4 Mekanismer för skydd mot nätfiske skyddar användarna mot nätfiskeattacker.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 5.4.1 Processer och automatiserade mekanismer finns för att identifiera och skydda personal mot nätfiskeattacker. | Konfigurera Microsoft Entra-ID så att det använder nätfiskeresistenta autentiseringsuppgifter. Implementeringsöverväganden för nätfiskeresistent MFA Använd kontroller i villkorlig åtkomst för att kräva autentisering med nätfiskeresistenta autentiseringsuppgifter. Vägledning för autentisering med villkorsstyrd åtkomst häri gäller konfiguration av identitets- och åtkomsthantering. För att minska nätfiskeattacker distribuerar du arbetsbelastningsfunktioner, till exempel i Microsoft 365. Skydd mot nätfiske i Microsoft 365 |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk från skadlig programvara (du är här)
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication