Övervaka säkerhetsarkitekturer för Nulta pouzdanost (TIC 3.0) med Microsoft Sentinel
Nulta pouzdanost är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:
| Verifiera explicit | Använd åtkomst med minst behörighet | Anta intrång |
|---|---|---|
| Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. |
Den här artikeln beskriver hur du använder lösningen Microsoft Sentinel Nulta pouzdanost (TIC 3.0), som hjälper styrnings- och efterlevnadsteam att övervaka och svara på Nulta pouzdanost krav enligt initiativet TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Microsoft Sentinel-lösningar är uppsättningar paketerat innehåll som är förkonfigurerat för en specifik uppsättning data. Lösningen Nulta pouzdanost (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok som tillhandahåller en automatiserad visualisering av Nulta pouzdanost principer, som går över till ramverket För betrodda Internetanslutningar, vilket hjälper organisationer att övervaka konfigurationer över tid.
Kommentar
Få en omfattande vy över organisationens Nulta pouzdanost status med initiativet Nulta pouzdanost i Microsoft Exposure Management. Mer information finns i Modernisera säkerhetsstatusen snabbt för Nulta pouzdanost | Microsoft Learn.
Nulta pouzdanost-lösningen och TIC 3.0-ramverket
Nulta pouzdanost och TIC 3.0 är inte samma sak, men de delar många vanliga teman och ger tillsammans en gemensam historia. Microsoft Sentinel-lösningen för Nulta pouzdanost (TIC 3.0) erbjuder detaljerade övergångsställen mellan Microsoft Sentinel och Nulta pouzdanost-modellen med TIC 3.0-ramverket. Dessa övergångsställen hjälper användarna att bättre förstå överlappningarna mellan de två.
Microsoft Sentinel-lösningen för Nulta pouzdanost (TIC 3.0) ger vägledning om bästa praxis, men Microsoft garanterar inte eller antyder inte efterlevnad. Alla krav, valideringar och kontroller för betrodd internetanslutning (TIC) styrs av Byrån för cybersäkerhet och infrastruktursäkerhet.
Lösningen Nulta pouzdanost (TIC 3.0) ger synlighet och situationsmedvetenhet för kontrollkrav som levereras med Microsoft-tekniker i övervägande molnbaserade miljöer. Kundupplevelsen varierar beroende på användare, och vissa fönster kan kräva ytterligare konfigurationer och frågeändring för åtgärd.
Rekommendationer innebär inte täckning av respektive kontroller, eftersom de ofta är ett av flera åtgärdssätt för att närma sig krav, vilket är unikt för varje kund. Rekommendationer bör betraktas som utgångspunkt för att planera fullständig eller partiell täckning av respektive kontrollkrav.
Microsoft Sentinel-lösningen för Nulta pouzdanost (TIC 3.0) är användbar för någon av följande användare och användningsfall:
- Säkerhetsstyrning, risk- och efterlevnadspersonal för utvärdering och rapportering av efterlevnadsstatus
- Tekniker och arkitekter som behöver utforma Nulta pouzdanost- och TIC 3.0-anpassade arbetsbelastningar
- Säkerhetsanalytiker för aviserings- och automatiseringsskapande
- Leverantörer av hanterade säkerhetstjänster (MSSP) för konsulttjänster
- Säkerhetschefer som behöver granska krav, analysera rapportering, utvärdera funktioner
Förutsättningar
Kontrollera att du har följande förutsättningar innan du installerar lösningen Nulta pouzdanost (TIC 3.0):
Registrera Microsoft usluge: Kontrollera att både Microsoft Sentinel och Microsoft Defender för molnet är aktiverade i din Azure-prenumeration.
Krav för Microsoft Defender för molnet: I Microsoft Defender för molnet:
Lägg till nödvändiga regelstandarder på instrumentpanelen. Se till att lägga till både Microsoft Cloud Security Benchmark och NIST SP 800-53 R5-utvärderingar på instrumentpanelen för Microsoft Defender för molnet. Mer information finns i lägga till en regelstandard på instrumentpanelen i dokumentationen för Microsoft Defender för molnet.
Exportera kontinuerligt Microsoft Defender for Cloud-data till din Log Analytics-arbetsyta. Mer information finns i Exportera Microsoft Defender för molndata kontinuerligt.
Nödvändiga användarbehörigheter. Om du vill installera lösningen Nulta pouzdanost (TIC 3.0) måste du ha åtkomst till din Microsoft Sentinel-arbetsyta med behörigheter för säkerhetsläsare.
Lösningen Nulta pouzdanost (TIC 3.0) förbättras också av integreringar med andra Microsoft-tjänster, till exempel:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Microsoft Defender för molnet
- Microsoft Defender za krajnju tačku
- Microsoft Defender za identitet
- Microsoft Defender för Cloud Apps
- Microsoft Defender za Office 365
Installera lösningen Nulta pouzdanost (TIC 3.0)
Så här distribuerar du lösningen Nulta pouzdanost (TIC 3.0) från Azure-portalen:
I Microsoft Sentinel väljer du Innehållshubb och letar upp lösningen Nulta pouzdanost (TIC 3.0).
Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.
När du är klar väljer du Granska + Skapa för att installera lösningen.
Mer information finns i Distribuera out-of-the-box-innehåll och lösningar.
Exempel på användningsscenario
Följande avsnitt visar hur en säkerhetsåtgärdsanalytiker kan använda de resurser som distribueras med lösningen Nulta pouzdanost (TIC 3.0) för att granska krav, utforska frågor, konfigurera aviseringar och implementera automatisering.
När du har installerat lösningen Nulta pouzdanost (TIC 3.0) använder du arbetsboken, analysregler och spelboken som distribuerats till din Microsoft Sentinel-arbetsyta för att hantera Nulta pouzdanost i nätverket.
Visualisera Nulta pouzdanost data
Gå till arbetsboken Microsoft Sentinel-arbetsböcker Nulta pouzdanost (TIC 3.0) och välj Visa sparad arbetsbok.>
På arbetsbokssidan Nulta pouzdanost (TIC 3.0) väljer du de TIC 3.0-funktioner som du vill visa. För den här proceduren väljer du Intrångsidentifiering.
Dricks
Använd växlingsknappen Guide överst på sidan för att visa eller dölja rekommendationer och guidefönster. Kontrollera att rätt information har valts i alternativen Prenumeration, Arbetsyta och Tidsintervall så att du kan visa specifika data som du vill hitta.
Välj de kontrollkort som du vill visa. För den här proceduren väljer du Anpassningsbar åtkomstkontroll och fortsätter sedan att rulla för att visa det visade kortet.
Dricks
Använd guiderna längst upp till vänster för att visa eller dölja rekommendationer och guidefönster. Dessa kan till exempel vara användbara när du först kommer åt arbetsboken, men onödiga när du har förstått relevanta begrepp.
Utforska frågor. Längst upp till höger på kortet Anpassningsbar åtkomstkontroll väljer du menyn Alternativ med tre punkter och väljer sedan Öppna den senaste körningsfrågan i loggvyn.
Frågan öppnas på sidan Microsoft Sentinel-loggar:
Konfigurera Nulta pouzdanost-relaterade aviseringar
I Microsoft Sentinel navigerar du till området Analys . Visa färdiga analysregler som distribuerats med lösningen Nulta pouzdanost (TIC 3.0) genom att söka efter TIC3.0.
Som standard installerar Nulta pouzdanost-lösningen (TIC 3.0) en uppsättning analysregler som är konfigurerade för att övervaka Nulta pouzdanost (TIC3.0) hållning efter kontrollfamilj, och du kan anpassa tröskelvärden för att varna efterlevnadsteam om ändringar i hållningen.
Om din arbetsbelastnings återhämtningsstatus till exempel understiger en angiven procentandel på en vecka genererar Microsoft Sentinel en avisering som beskriver respektive principstatus (pass/fail), de tillgångar som identifierats, den senaste utvärderingstiden och ger djupa länkar till Microsoft Defender för molnet för reparationsåtgärder.
Uppdatera reglerna efter behov eller konfigurera en ny:
Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Svara med SOAR
I Microsoft Sentinel går du till fliken Automation>Active-spelböcker och letar upp spelboken Notify-GovernanceComplianceTeam .
Använd den här spelboken för att automatiskt övervaka CMMC-aviseringar och meddela teamet för styrningsefterlevnad relevant information via både e-post och Microsoft Teams-meddelanden. Ändra spelboken efter behov:
Mer information finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.
Vanliga frågor och svar
Stöds anpassade vyer och rapporter?
Ja. Du kan anpassa din Nulta pouzdanost -arbetsbok (TIC 3.0) för att visa data efter prenumeration, arbetsyta, tid, kontrollfamilj eller mognadsnivåparametrar, och du kan exportera och skriva ut arbetsboken.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data.
Krävs det ytterligare produkter?
Både Microsoft Sentinel och Microsoft Defender för molnet krävs.
Förutom dessa tjänster baseras varje kontrollkort på data från flera tjänster, beroende på vilka typer av data och visualiseringar som visas på kortet. Över 25 Microsoft usluge ger berikande för lösningen Nulta pouzdanost (TIC 3.0).
Vad ska jag göra med paneler utan data?
Paneler utan data ger en startpunkt för att hantera Nulta pouzdanost- och TIC 3.0-kontrollkrav, inklusive rekommendationer för att hantera respektive kontroller.
Stöds flera prenumerationer, moln och klienter?
Ja. Du kan använda arbetsboksparametrar, Azure Lighthouse och Azure Arc för att utnyttja lösningen Nulta pouzdanost (TIC 3.0) i alla dina prenumerationer, moln och klientorganisationer.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och hantera flera klienter i Microsoft Sentinel som en MSSP.
Stöds partnerintegrering?
Ja. Både arbetsböcker och analysregler är anpassningsbara för integreringar med partnertjänster.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och anpassad händelseinformation för Surface i aviseringar.
Är detta tillgängligt i myndighetsregioner?
Ja. Lösningen Nulta pouzdanost (TIC 3.0) finns i offentlig förhandsversion och kan distribueras till kommersiella/myndighetsregioner. Mer information finns i Tillgänglighet för molnfunktioner för kommersiella och amerikanska myndighetskunder.
Vilka behörigheter krävs för att använda det här innehållet?
Användare av Microsoft Sentinel-deltagare kan skapa och redigera arbetsböcker, analysregler och andra Microsoft Sentinel-resurser.
Microsoft Sentinel-läsare kan visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser.
Mer information finns i Behörigheter i Microsoft Sentinel.
Nästa steg
Mer information finns i:
- Kom igång med Microsoft Sentinel
- Visualisera och övervaka dina data med arbetsböcker
- Microsoft Nulta pouzdanost-modell
- Nulta pouzdanost Distributionscenter
Titta på våra videor:
- Demo: Microsoft Sentinel Nulta pouzdanost-lösning (TIC 3.0)
- Microsoft Sentinel: Nulta pouzdanost arbetsboksdemo (TIC 3.0)
Läs våra bloggar!
- Meddelande om lösningen Microsoft Sentinel: Nulta pouzdanost (TIC3.0)
- Skapa och övervaka arbetsbelastningar för Nulta pouzdanost (TIC 3.0) för federala informationssystem med Microsoft Sentinel
- Nulta pouzdanost: 7 implementeringsstrategier från säkerhetsledare
- Implementera Nulta pouzdanost med Microsoft Azure: Identitets- och åtkomsthantering (6-delsserie)
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för