İngilizce dilinde oku

Aracılığıyla paylaş


FedRAMP Yüksek Etki düzeyini karşılamak için ek denetimleri yapılandırma

Aşağıdaki denetim listesi (ve denetim geliştirmeleri) Microsoft Entra kiracınızda yapılandırma gerektirebilir.

Aşağıdaki tablolardaki her satır, açıklayıcı yönergeler sağlar. Bu kılavuz, kuruluşunuzun denetim veya denetim geliştirmesiyle ilgili paylaşılan sorumluluklara verdiği yanıtı geliştirmenize yardımcı olur.

Denetim ve sorumluluk

Aşağıdaki tabloda yer alan yönergeler şunlarla ilgilidir:

  • AU-2 Denetim olayları
  • AU-3 Denetim içeriği
  • AU-6 Denetim gözden geçirme, analiz ve raporlama
FedRAMP Denetim Kimliği ve açıklaması Microsoft Entra kılavuzu ve önerileri
AU-2 Denetim Olayları
Kuruluş:
(a.) Bilgi sisteminin şu olayları denetleyebilmesini belirler: [FedRAMP Ataması: [Başarılı ve başarısız hesap oturum açma olayları, hesap yönetimi olayları, nesne erişimi, ilke değişikliği, ayrıcalık işlevleri, işlem izleme ve sistem olayları. Web uygulamaları için: tüm yönetici etkinlikleri, kimlik doğrulama denetimleri, yetkilendirme denetimleri, veri silme işlemleri, veri erişimi, veri değişiklikleri ve izin değişiklikleri];
(b.) Karşılıklı desteği geliştirmek ve denetlenebilir olayların seçilmesine yol göstermeye yardımcı olmak için güvenlik denetimi işlevini denetimle ilgili bilgiler gerektiren diğer kuruluş varlıklarıyla koordine eder;
(c.) Denetlenebilir olayların güvenlik olaylarının olgu sonrası araştırmalarını desteklemek için neden yeterli kabul edilmesine yönelik bir gerekçe sağlar; ve
(d.) Bilgi sisteminde şu olayların denetleneceğini belirler: [FedRAMP Ataması: AU-2 a'da tanımlanan denetlenebilir olayların kuruluş tanımlı alt kümesi. tanımlanan her olay için sürekli denetlenecek].

AU-2 Ek FedRAMP Gereksinimleri ve Kılavuzu:
Gereksinim: Hizmet sağlayıcısı ile tüketici arasındaki koordinasyon JAB/AO tarafından belgelendirilir ve kabul edilir.

AU-3 İçerik ve Denetim Kayıtları
Bilgi sistemi, ne tür bir olayın gerçekleştiğini, olayın ne zaman gerçekleştiğini, olayın kaynağını, olayın sonucunu ve olayla ilişkili kişilerin veya konuların kimliğini belirten bilgiler içeren denetim kayıtları oluşturur.

AU-3(1)
Bilgi sistemi şu ek bilgileri içeren denetim kayıtları oluşturur: [FedRAMP Ataması: kuruluş tarafından tanımlanan ek, daha ayrıntılı bilgiler].

AU-3 (1) Ek FedRAMP Gereksinimleri ve Kılavuzu:
Gereksinim: Hizmet sağlayıcısı denetim kayıt türlerini tanımlar [FedRAMP Ataması: oturum, bağlantı, işlem veya etkinlik süresi; istemci-sunucu işlemleri için alınan ve gönderilen bayt sayısı; olayı tanılamak veya tanımlamak için ek bilgilendirme iletileri; üzerinde işlem yapılan nesneyi veya kaynağı tanımlayan veya tanımlayan özellikler; grup hesabı kullanıcılarının bireysel kimlikleri; ayrıcalıklı komutların tam metni]. Denetim kayıt türleri JAB/AO tarafından onaylanır ve kabul edilir.
Rehberlik: İstemci-sunucu işlemleri için gönderilen ve alınan bayt sayısı, bir araştırma veya sorgu sırasında yararlı olabilecek çift yönlü aktarım bilgileri verir.

AU-3(2)
Bilgi sistemi [FedRAMP Ataması: tüm ağ, veri depolama ve bilgi işlem cihazları] tarafından oluşturulan denetim kayıtlarında yakalanacak içeriğin merkezi yönetimini ve yapılandırmasını sağlar.
Sistemin AU-2 Bölüm a'da tanımlanan olayları denetleyebildiğinden emin olun. Olgu sonrası araştırmalarını desteklemek için kuruluşun denetlenebilir olaylar alt kümesindeki diğer varlıklarla eşgüdüm sağlayın. Denetim kayıtlarının merkezi yönetimini uygulama.

Tüm hesap yaşam döngüsü işlemleri (hesap oluşturma, değiştirme, etkinleştirme, devre dışı bırakma ve kaldırma eylemleri) Microsoft Entra denetim günlükleri içinde denetleniyor. Tüm kimlik doğrulama ve yetkilendirme olayları Microsoft Entra oturum açma günlükleri içinde denetleniyor ve algılanan riskler Microsoft Entra Kimlik Koruması günlüklerinde denetleniyor. Bu günlüklerin her birini doğrudan Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüne aktarabilirsiniz. Alternatif olarak, günlükleri üçüncü taraf SIEM çözümleriyle tümleştirmek için Azure Event Hubs'ı kullanın.

Denetim olayları

  • Microsoft Entra yönetim merkezinde denetim etkinlik raporları
  • Microsoft Entra yönetim merkezinde oturum açma etkinlik raporları
  • Nasıl Yapılır: Riski araştırma

    SIEM tümleştirmeleri

  • Microsoft Sentinel: Microsoft Entra Id'den veri bağlama
  • Azure olay hub'ına ve diğer SIEM'lere akışla aktarma
  • AU-6 Denetim Gözden Geçirmesi, Analizi ve Raporlaması
    Kuruluş:
    (a.) Bilgi sistemi denetim kayıtlarını gözden geçirme ve analiz etme [FedRAMP Ataması: en az haftalık] [Atama: kuruluş tanımlı uygunsuz veya olağan dışı etkinlik] ve
    (b.) Bulguları [Atama: kuruluş tanımlı personel veya roller] adresine bildirir.
    AU-6 Ek FedRAMP Gereksinimleri ve Kılavuzu:
    Gereksinim: Hizmet sağlayıcı ile tüketici arasındaki koordinasyon, Yetkili Yetkili tarafından belgelendirilecek ve kabul edilecektir. Çok kiracılı ortamlarda, tüketiciyle ilgili veriler için tüketiciye gözden geçirme, analiz ve raporlama sağlama yeteneği ve araçları belgelenmelidir.

    AU-6(1)
    Kuruluş, araştırma ve şüpheli etkinliklere yanıt verme amacıyla kuruluş süreçlerini desteklemek üzere denetim gözden geçirme, analiz ve raporlama süreçlerini tümleştirmek için otomatik mekanizmalar kullanır.

    AU-6(3)
    Kuruluş, kuruluş genelinde durum farkındalığı elde etmek için denetim kayıtlarını farklı depolarda analiz eder ve bağıntılı hale getirmektedir.

    AU-6(4)
    Bilgi sistemi, sistem içindeki birden çok bileşenden gelen denetim kayıtlarını merkezi olarak gözden geçirme ve analiz etme olanağı sağlar.

    AU-6(5)
    Kuruluş, denetim kayıtlarının analizini [FedRAMP Seçimi (bir veya daha fazla) analiziyle tümleştirir: güvenlik açığı tarama bilgileri; performans verileri; bilgi sistemi izleme bilgileri; sızma testi verileri; [Atama: diğer kaynaklardan toplanan kuruluş tanımlı veriler/bilgiler]] uygunsuz veya olağan dışı etkinlikleri tanımlama becerisini daha da geliştirmek için.

    AU-6(6)
    Kuruluş, şüpheli, uygunsuz, olağan dışı veya kötü niyetli etkinlikleri tanımlama becerisini daha da geliştirmek için denetim kayıtlarından alınan bilgileri fiziksel erişimin izlenmesinden elde edilen bilgilerle ilişkilendirir.
    AU-6 Ek FedRAMP Gereksinimleri ve Kılavuzu:
    Gereksinim: Hizmet sağlayıcısı ile tüketici arasındaki koordinasyon JAB/AO tarafından belgelendirilir ve kabul edilir.

    AU-6(7)
    Kuruluş, her [FedRAMP Seçimi (bir veya daha fazla) için izin verilen eylemleri belirtir: bilgi sistemi işlemi; rol; kullanıcı] denetim bilgilerinin gözden geçirilmesi, analizi ve raporlanmasıyla ilişkilidir.

    AU-6(10)
    Kuruluş, yasa uygulama bilgilerine, istihbarat bilgilerine veya diğer güvenilir bilgi kaynaklarına bağlı olarak riskte bir değişiklik olduğunda bilgi sistemi içinde denetim gözden geçirme, analiz ve raporlama düzeyini ayarlar.
    Uygunsuz veya olağan dışı etkinlikleri belirlemek için denetim kayıtlarını haftada en az bir kez gözden geçirip analiz edin ve bulguları uygun personele bildirin.

    AU-02 ve AU-03 için sağlanan önceki kılavuz, denetim kayıtlarının haftalık olarak gözden geçirilmesine ve uygun personele rapor verilmesine olanak tanır. Bu gereksinimleri yalnızca Microsoft Entra Id kullanarak karşılayamazsınız. Microsoft Sentinel gibi bir SIEM çözümü de kullanmanız gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel nedir?.

    Olay yanıtı

    Aşağıdaki tabloda yer alan yönergeler şunlarla ilgilidir:

    • IR-4 Olay işleme

    • IR-5 Olay izleme

    FedRAMP Denetim Kimliği ve açıklaması Microsoft Entra kılavuzu ve önerileri
    IR-4 Olay İşleme
    Kuruluş:
    (a.) Hazırlık, algılama ve analiz, kapsama, silme ve kurtarmayı içeren güvenlik olayları için bir olay işleme özelliği uygular;
    (b.) Acil durum planlama etkinlikleriyle olay işleme etkinliklerini koordine eder; ve
    (c.) Devam eden olay işleme etkinliklerinden alınan dersleri olay yanıtı yordamları, eğitim ve test/alıştırmalara dahil eder ve sonuçta elde edilen değişiklikleri buna göre uygular.
    IR-4 Ek FedRAMP Gereksinimleri ve Kılavuzu:
    Gereksinim: Hizmet sağlayıcısı, olay işlemeyi yürüten kişilerin personel güvenlik gereksinimlerini karşılamasını, bilgi sistemi tarafından işlenen, depolanan ve iletilen bilgilerin kritikliği/duyarlılığı ile uyumlu olmasını sağlar.

    IR-04(1)
    Kuruluş, olay işleme sürecini desteklemek için otomatik mekanizmalar kullanır.

    IR-04(2)
    Kuruluş, olay yanıtı özelliğinin bir parçası olarak [FedRAMP Ataması: tüm ağ, veri depolama ve bilgi işlem cihazları] için dinamik yeniden yapılandırma içerir.

    IR-04(3)
    Kuruluş, kuruluş görevlerinin ve iş işlevlerinin devamını sağlamak için [Atama: kuruluş tanımlı olay sınıfları] ve [Atama: olay sınıflarına yanıt olarak yapılması gereken kuruluş tanımlı eylemler] tanımlar.

    IR-04(4)
    Kuruluş, olay tanıma ve yanıt konusunda kuruluş genelinde bir perspektif elde etmek için olay bilgilerini ve olay yanıtlarını ilişkilendirmektedir.

    IR-04(6)
    Kuruluş, içeriden gelen tehditler için olay işleme özelliği uygular.

    IR-04(8)
    Kuruluş, içeriden gelen tehditler için olay işleme özelliği uygular.
    Kuruluş, [FedRAMP Ataması: tüketici olayı yanıtlayıcıları ve ağ savunucuları ve uygun tüketici olayı yanıt ekibi (CIRT)/ Bilgisayar Acil Durum Yanıt Ekibi (CERT) (US-CERT, DoD CERT, IC CERT gibi) ile eşgüdüm içinde çalışarak [Atama: kuruluş tanımlı olay bilgileri] arasında ilişki kurmak ve paylaşmak için olay tanıma ve daha etkili olay yanıtları üzerinde kuruluşlar arası bir bakış açısı elde eder.

    IR-05 Olay İzleme
    Kuruluş bilgi sistemi güvenlik olaylarını izler ve belgeler.

    IR-05(1)
    Kuruluş, güvenlik olaylarının izlenmesine ve olay bilgilerinin toplanmasına ve analiz edilmesine yardımcı olacak otomatik mekanizmalar kullanır.
    Olay işleme ve izleme özelliklerini uygulama. Buna Otomatik Olay İşleme, Dinamik Yeniden Yapılandırma, İşlemlerin Sürekliliği, Bilgi Bağıntısı, Insider Tehditleri, Dış Kuruluşlarla Bağıntı ve Olay İzleme ve Otomatik İzleme dahildir.

    Denetim günlükleri tüm yapılandırma değişikliklerini kaydeder. Kimlik doğrulaması ve yetkilendirme olayları oturum açma günlükleri içinde denetleniyor ve algılanan riskler Microsoft Entra Kimlik Koruması günlüklerinde denetleniyor. Bu günlüklerin her birini doğrudan Microsoft Sentinel gibi bir SIEM çözümüne aktarabilirsiniz. Alternatif olarak, günlükleri üçüncü taraf SIEM çözümleriyle tümleştirmek için Azure Event Hubs'ı kullanın. Microsoft Graph PowerShell kullanarak SIEM'deki olaylara göre dinamik yeniden yapılandırmayı otomatikleştirin.

    Denetim olayları

  • Microsoft Entra yönetim merkezinde denetim etkinlik raporları
  • Microsoft Entra yönetim merkezinde oturum açma etkinlik raporları
  • Nasıl Yapılır: Riski araştırma

    SIEM tümleştirmeleri

  • Microsoft Sentinel: Microsoft Entra Id'den veri bağlama
  • Azure olay hub'ına ve diğer SIEM'lere akışla aktarma
  • Personel güvenliği

    Aşağıdaki tabloda yer alan yönergeler şunlarla ilgilidir:

    • PS-4 Personel sonlandırma
    FedRAMP Denetim Kimliği ve açıklaması Microsoft Entra kılavuzu ve önerileri
    PS-4
    Personel Sonlandırma

    Bireysel işe son verilmesi üzerine kuruluş:
    (a.) [FedRAMP Ataması: sekiz (8) saat] içinde bilgi sistemi erişimini devre dışı bırakır;
    (b.) Kişiyle ilişkili tüm kimlik doğrulayıcıları/kimlik bilgilerini sonlandırır/iptal eder;
    (c.) [Atama: kuruluş tanımlı bilgi güvenliği konuları] tartışmalarını içeren çıkış görüşmeleri yürütür;
    (d.) Güvenlikle ilgili tüm kuruluş bilgileri sistemiyle ilgili özelliği alır;
    (e.) Daha önce sonlandırılan birey tarafından denetlenen kuruluş bilgilerine ve bilgi sistemlerine erişimi korur; ve
    (f.) [Atama: kuruluş tanımlı personel veya roller] öğesini [Atama: kuruluş tanımlı zaman aralığı] içinde bildirir.

    PS-4(2)
    Kuruluş, bir kişinin sonlandırılması üzerine [FedRAMP Ataması: sisteme erişimi devre dışı bırakmaktan sorumlu erişim denetimi personelini] bilgilendirmek için otomatik mekanizmalar kullanır.
    Sisteme erişimi devre dışı bırakmakla sorumlu personeli otomatik olarak bilgilendirin.

    Hesapları devre dışı bırakın ve 8 saat içinde ilişkili tüm kimlik doğrulayıcıları ve kimlik bilgilerini iptal edin.

    Dış İk sistemlerinden, şirket içi Active Directory veya doğrudan buluttan Microsoft Entra Id'deki hesapların sağlamasını (sonlandırıldığında devre dışı bırakma dahil) yapılandırın. Mevcut oturumları iptal ederek tüm sistem erişimini sonlandır.

    Hesap sağlama

  • AC-02'de ayrıntılı yönergelere bakın.

    İlişkili tüm kimlik doğrulayıcıları iptal etme

  • Microsoft Entra Id'de acil bir durumda kullanıcı erişimini iptal etme
  • Sistem ve bilgi bütünlüğü

    Aşağıdaki tabloda yer alan yönergeler şunlarla ilgilidir:

    • SI-4 Bilgi sistemi izleme
    FedRAMP Denetim Kimliği ve açıklaması Microsoft Entra kılavuzu ve önerileri
    SI-4 Bilgi Sistemi İzleme
    Kuruluş:
    (a.) Bilgi sistemini izleyerek aşağıdakileri algılar:
    (1.) [Atama: kuruluş tanımlı izleme hedefleri] uyarınca olası saldırıların saldırıları ve göstergeleri; ve
    (2.) Yetkisiz yerel, ağ ve uzak bağlantılar;
    (b.) [Atama: kuruluş tanımlı teknikler ve yöntemler] aracılığıyla bilgi sisteminin yetkisiz kullanımını tanımlar;
    (c.) Kuruluş tarafından belirlenen temel bilgileri toplamak için izleme cihazlarını (i) bilgi sistemi içinde stratejik olarak dağıtır; ve (ii) kuruluşun ilgilendiği belirli işlem türlerini izlemek için sistem içindeki geçici konumlarda;
    (d.) İzinsiz giriş izleme araçlarından elde edilen bilgileri yetkisiz erişim, değişiklik ve silmeye karşı korur;
    (e.) Kolluk kuvvetleri bilgilerine, istihbarat bilgilerine veya diğer güvenilir bilgi kaynaklarına dayalı olarak kuruluş operasyonları ve varlıkları, bireyler, diğer kuruluşlar veya Ulus için artan risk göstergesi olduğunda bilgi sistemi izleme etkinliğinin düzeyini artırır;
    (f.) İlgili federal yasalara, Yönetim Emirlerine, yönergelere, politikalara veya düzenlemelere uygun bilgi sistemi izleme faaliyetleriyle ilgili yasal görüş elde eder; ve
    (d.) [Atama: kuruluş tanımlı bilgi sistemi izleme bilgileri] için [Atama: kuruluş tanımlı personel veya roller] [Seçim (bir veya daha fazla): gerektiğinde; [Atama: kuruluş tanımlı sıklık]].
    SI-4 Ek FedRAMP Gereksinimleri ve Kılavuzu:
    Rehberlik: Bkz. US-CERT Olay Yanıtı Raporlama Yönergeleri.

    SI-04(1)
    Kuruluş, tek tek yetkisiz erişim algılama araçlarını bilgi sistemi genelindeki bir yetkisiz erişim algılama sistemine bağlar ve yapılandırr.
    Bilgi sistemi genelinde izleme ve yetkisiz erişim algılama sistemi uygulayın.

    Tüm Microsoft Entra günlüklerini (Denetim, Oturum Açma, Kimlik Koruması) bilgi sistemi izleme çözümüne ekleyin.

    Microsoft Entra günlüklerini bir SIEM çözümünde akışla aktar (bkz. IA-04).                                                                              

    Sonraki adımlar

    Erişim denetimlerini yapılandırma

    Tanımlama ve kimlik doğrulama denetimlerini yapılandırma

    Diğer denetimleri yapılandırma