Övervaka säkerhetsarkitekturer för Nolltillit (TIC 3.0) med Microsoft Sentinel

Artikel
10/18/2023

Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:

Verifiera explicit	Använd åtkomst med minst behörighet	Anta intrång
Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter.	Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.	Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

Den här artikeln beskriver hur du använder lösningen Microsoft Sentinel Nolltillit (TIC 3.0), som hjälper styrnings- och efterlevnadsteam att övervaka och svara på Nolltillit krav enligt initiativet TRUSTED INTERNET CONNECTIONS (TIC) 3.0.

Microsoft Sentinel-lösningar är uppsättningar paketerat innehåll som är förkonfigurerat för en specifik uppsättning data. Lösningen Nolltillit (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok, som ger en automatiserad visualisering av Nolltillit principer, som går över till ramverket Trust Internet Anslut ions som hjälper organisationer att övervaka konfigurationer över tid.

Nolltillit-lösningen och TIC 3.0-ramverket

Nolltillit och TIC 3.0 är inte samma sak, men de delar många vanliga teman och ger tillsammans en gemensam historia. Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) erbjuder detaljerade övergångsställen mellan Microsoft Sentinel och Nolltillit-modellen med TIC 3.0-ramverket. Dessa övergångsställen hjälper användarna att bättre förstå överlappningarna mellan de två.

Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) ger vägledning om bästa praxis, men Microsoft garanterar inte eller antyder inte efterlevnad. Alla TIC-krav (Trusted Internet Anslut ion), valideringar och kontroller styrs av Byrån för cybersäkerhet och infrastruktursäkerhet.

Lösningen Nolltillit (TIC 3.0) ger synlighet och situationsmedvetenhet för kontrollkrav som levereras med Microsoft-tekniker i övervägande molnbaserade miljöer. Kundupplevelsen varierar beroende på användare, och vissa fönster kan kräva ytterligare konfigurationer och frågeändring för åtgärd.

Rekommendationer innebär inte täckning av respektive kontroller, eftersom de ofta är ett av flera åtgärdssätt för att närma sig krav, vilket är unikt för varje kund. Rekommendationer bör betraktas som en utgångspunkt för att planera fullständig eller partiell täckning av respektive kontrollkrav.

Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) är användbar för någon av följande användare och användningsfall:

Säkerhetsstyrning, risk- och efterlevnadspersonal för utvärdering och rapportering av efterlevnadsstatus
Tekniker och arkitekter som behöver utforma Nolltillit- och TIC 3.0-anpassade arbetsbelastningar
Säkerhetsanalytiker för aviserings- och automatiseringsskapande
Leverantörer av hanterade säkerhetstjänster (MSSP) för konsulttjänster
Säkerhetschefer som behöver granska krav, analysera rapportering, utvärdera funktioner

Förutsättningar

Kontrollera att du har följande förutsättningar innan du installerar lösningen Nolltillit (TIC 3.0):

Registrera Microsoft-tjänster: Kontrollera att både Microsoft Sentinel och Microsoft Defender för molnet är aktiverade i din Azure-prenumeration.
Microsoft Defender för molnet krav: I Microsoft Defender för molnet:
- Lägg till nödvändiga regelstandarder på instrumentpanelen. Lägg till både Azure Security Benchmark och NIST SP 800-53 R5-utvärderingar på din Microsoft Defender för molnet instrumentpanel. Mer information finns i lägga till en regelstandard på instrumentpanelen i Microsoft Defender för molnet dokumentationen.
- Exportera kontinuerligt Microsoft Defender för molnet data till din Log Analytics-arbetsyta. Mer information finns i Exportera kontinuerligt Microsoft Defender för molnet data.
Nödvändiga användarbehörigheter. Om du vill installera lösningen Nolltillit (TIC 3.0) måste du ha åtkomst till din Microsoft Sentinel-arbetsyta med behörigheter för säkerhetsläsare.

Lösningen Nolltillit (TIC 3.0) förbättras också av integreringar med andra Microsoft-tjänster, till exempel:

Installera lösningen Nolltillit (TIC 3.0)

Så här distribuerar du lösningen Nolltillit (TIC 3.0) från Azure-portalen:

I Microsoft Sentinel väljer du Innehållshubb och letar upp lösningen Nolltillit (TIC 3.0).
Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.

När du är klar väljer du Granska + Skapa för att installera lösningen.

Mer information finns i Distribuera out-of-the-box-innehåll och lösningar.

Exempel på användningsscenario

Följande avsnitt visar hur en säkerhetsåtgärdsanalytiker kan använda de resurser som distribueras med lösningen Nolltillit (TIC 3.0) för att granska kraven, utforska frågor, konfigurera aviseringar och implementera automatisering.

När du har installerat lösningen Nolltillit (TIC 3.0) använder du arbetsboken, analysregler och spelboken som distribuerats till din Microsoft Sentinel-arbetsyta för att hantera Nolltillit i nätverket.

Visualisera Nolltillit data

Gå till arbetsboken Microsoft Sentinel-arbetsböcker Nolltillit (TIC 3.0) och välj Visa sparad arbetsbok.>

På arbetsbokssidan Nolltillit (TIC 3.0) väljer du de TIC 3.0-funktioner som du vill visa. För den här proceduren väljer du Intrångsidentifiering.

Dricks

Använd växlingsknappen Guide överst på sidan för att visa eller dölja rekommendationer och guidefönster. Kontrollera att rätt information har valts i alternativen Prenumeration, Arbetsyta och Tidsintervall så att du kan visa specifika data som du vill hitta.
Granska de kontrollkort som visas. Rulla till exempel nedåt för att visa kortet Anpassningsbar åtkomstkontroll :

Dricks

Använd guiderna längst upp till vänster för att visa eller dölja rekommendationer och guidefönster. Dessa kan till exempel vara användbara när du först kommer åt arbetsboken, men onödiga när du har förstått relevanta begrepp.
Utforska frågor. Längst upp till höger på kortet Anpassningsbar åtkomstkontroll väljer du till exempel knappen :Mer och väljer sedan alternativet Öppna den senaste körningsfrågan i loggvyn.

Frågan öppnas på sidan Microsoft Sentinel-loggar:

I Microsoft Sentinel navigerar du till området Analys . Visa färdiga analysregler som distribuerats med lösningen Nolltillit (TIC 3.0) genom att söka efter TIC3.0.

Som standard installerar Nolltillit-lösningen (TIC 3.0) en uppsättning analysregler som är konfigurerade för att övervaka Nolltillit (TIC3.0) hållning efter kontrollfamilj, och du kan anpassa tröskelvärden för att varna efterlevnadsteam om ändringar i hållningen.

Om din arbetsbelastnings återhämtningsstatus till exempel understiger en angiven procentsats under en vecka genererar Microsoft Sentinel en avisering för att beskriva respektive principstatus (pass/fail), de tillgångar som identifierades, den senaste utvärderingstiden och ger djupa länkar till Microsoft Defender för molnet för reparationsåtgärder.

Uppdatera reglerna efter behov eller konfigurera en ny:

Skärmbild av guiden Analysregel.

Mer information finns i Skapa anpassade analysregler för att identifiera hot.

Svara med SOAR

I Microsoft Sentinel går du till fliken Automation>Active-spelböcker och letar upp spelboken Notify-GovernanceComplianceTeam .

Använd den här spelboken för att automatiskt övervaka CMMC-aviseringar och meddela teamet för styrningsefterlevnad relevant information via både e-post och Microsoft Teams-meddelanden. Ändra spelboken efter behov:

Skärmbild av logikappdesignern som visar en exempelspelbok.

Mer information finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

Vanliga frågor och svar

Stöds anpassade vyer och rapporter?

Ja. Du kan anpassa din Nolltillit-arbetsbok (TIC 3.0) för att visa data efter prenumeration, arbetsyta, tid, kontrollfamilj eller mognadsnivåparametrar, och du kan exportera och skriva ut arbetsboken.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data.

Krävs det ytterligare produkter?

Både Microsoft Sentinel och Microsoft Defender för molnet krävs.

Förutom dessa tjänster baseras varje kontrollkort på data från flera tjänster, beroende på vilka typer av data och visualiseringar som visas på kortet. Över 25 Microsoft-tjänster ger berikande för lösningen Nolltillit (TIC 3.0).

Vad ska jag göra med paneler utan data?

Paneler utan data ger en startpunkt för att hantera Nolltillit och TIC 3.0-kontrollkrav, inklusive rekommendationer för att hantera respektive kontroller.

Stöds flera prenumerationer, moln och klienter?

Ja. Du kan använda arbetsboksparametrar, Azure Lighthouse och Azure Arc för att utnyttja lösningen Nolltillit (TIC 3.0) i alla dina prenumerationer, moln och klientorganisationer.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och hantera flera klienter i Microsoft Sentinel som en MSSP.

Stöds partnerintegrering?

Ja. Både arbetsböcker och analysregler är anpassningsbara för integreringar med partnertjänster.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och anpassad händelseinformation för Surface i aviseringar.

Är detta tillgängligt i myndighetsregioner?

Ja. Lösningen Nolltillit (TIC 3.0) finns i offentlig förhandsversion och kan distribueras till kommersiella/myndighetsregioner. Mer information finns i Tillgänglighet för molnfunktioner för kommersiella och amerikanska myndighetskunder.

Vilka behörigheter krävs för att använda det här innehållet?

Användare av Microsoft Sentinel-deltagare kan skapa och redigera arbetsböcker, analysregler och andra Microsoft Sentinel-resurser.
Microsoft Sentinel-läsare kan visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser.

Mer information finns i Behörigheter i Microsoft Sentinel.

Nästa steg

Mer information finns i:

Titta på våra videor:

Läs våra bloggar!