Microsoft Entra Id ve PCI-DSS Gereksinimi 10
Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Veri
Tanımlı yaklaşım gereksinimlerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
10.1 Sistem bileşenlerine ve kart sahibi verilerine tüm erişimi günlüğe kaydetmeye ve izlemeye yönelik işlemler ve mekanizmalar tanımlanır ve belgelenir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.1.1 Gereksinim 10'da tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinir |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 10.1.2 Gereksinim 10'da etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
10.2 Anomalilerin ve şüpheli etkinliklerin tespitini ve olayların adli analizini desteklemek için denetim günlükleri uygulanır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.2.1 Denetim günlükleri tüm sistem bileşenleri ve kart sahibi verileri için etkinleştirilir ve etkindir. | Güvenlik ilkeleri ve Microsoft Entra kiracı yapılandırmasında değişiklik almak için Microsoft Entra denetim günlüklerini arşivleyin. Kullanım hakkında bilgi edinmek için Microsoft Entra etkinlik günlüklerini bir güvenlik bilgileri ve olay yönetimi (SIEM) sisteminde arşivleyin. Azure İzleyici'de Microsoft Entra etkinlik günlükleri |
| 10.2.1.1 Denetim günlükleri, kart sahibi verilerine tek tek tüm kullanıcı erişimini yakalar. | Microsoft Entra Id için geçerli değildir. |
| 10.2.1.2 Denetim günlükleri, uygulama veya sistem hesaplarının etkileşimli kullanımı da dahil olmak üzere, yönetim erişimi olan herhangi bir kişi tarafından kullanılabilecek tüm eylemleri yakalar. | Microsoft Entra Id için geçerli değildir. |
| 10.2.1.3 Denetim günlükleri, denetim günlüklerine tüm erişimi yakalar. | Microsoft Entra Id'de günlükleri silip değiştiremezsiniz. Ayrıcalıklı kullanıcılar Günlükleri Microsoft Entra Id'den sorgulayabilir. Microsoft Entra Id'de göreve göre en az ayrıcalıklı roller Denetim günlükleri Azure Log Analytics Çalışma Alanı, depolama hesapları veya üçüncü taraf SIEM sistemleri gibi sistemlere aktarıldığında, erişim için bunları izleyin. |
| 10.2.1.4 Denetim günlükleri tüm geçersiz mantıksal erişim girişimlerini yakalar. | Kullanıcı geçersiz kimlik bilgileriyle oturum açmaya çalıştığında Microsoft Entra Id etkinlik günlükleri oluşturur. Koşullu Erişim ilkeleri nedeniyle erişim reddedildiğinde etkinlik günlükleri oluşturur. |
| 10.2.1.5 Denetim günlükleri, kimlik doğrulaması kimlik bilgilerindeki tüm değişiklikleri yakalar; bunlarla sınırlı olmamak kaydıyla: Yeni hesaplar oluşturma Ayrıcalıkların yükseltilmesi Yönetici erişimi olan hesaplarda yapılan tüm değişiklikler, eklemeler veya silmeler |
Microsoft Entra ID, bu gereksinimdeki olaylar için denetim günlükleri oluşturur. |
| 10.2.1.6 Denetim günlükleri şunları yakalar: Tüm yeni denetim günlüklerinin başlatılması ve Mevcut denetim günlüklerinin başlatılması, durdurulması veya duraklatılması. |
Microsoft Entra Id için geçerli değildir. |
| 10.2.1.7 Denetim günlükleri, sistem düzeyindeki nesnelerin tüm oluşturulmasını ve silinmesini yakalar. | Microsoft Entra ID, bu gereksinimdeki olaylar için denetim günlükleri oluşturur. |
| 10.2.2 Denetim günlükleri, denetlenebilir her olay için aşağıdaki ayrıntıları kaydeder: Kullanıcı kimliği. Olay türü. Tarih ve saat. Başarı ve başarısızlık göstergesi. Olayın başlangıcı. Etkilenen verilerin, sistem bileşeninin, kaynağın veya hizmetin kimliği veya adı (örneğin, ad ve protokol). |
Bkz. Microsoft Entra Id'de denetim günlükleri |
10.3 Denetim günlükleri, yok edilmeye ve yetkisiz değişikliklere karşı korunur.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.3.1 Denetim günlükleri dosyalarına okuma erişimi, işle ilgili ihtiyaçları olanlarla sınırlıdır. | Ayrıcalıklı kullanıcılar Günlükleri Microsoft Entra Id'den sorgulayabilir. Microsoft Entra ID'de göreve göre en az ayrıcalıklı roller |
| 10.3.2 Denetim günlüğü dosyaları, kişilerin değişiklik yapmasını önlemek için korunur. | Microsoft Entra Id'de günlükleri silip değiştiremezsiniz. Denetim günlükleri Azure Log Analytics Çalışma Alanı, depolama hesapları veya üçüncü taraf SIEM sistemleri gibi sistemlere aktarıldığında erişim için bunları izleyin. |
| 10.3.3 Dış kullanıma yönelik teknolojiler de dahil olmak üzere denetim günlüğü dosyaları, güvenli, merkezi, iç günlük sunucularına veya değiştirilmesi zor olan diğer medyalara hemen yedeklenir. | Microsoft Entra Id'de günlükleri silip değiştiremezsiniz. Denetim günlükleri Azure Log Analytics Çalışma Alanı, depolama hesapları veya üçüncü taraf SIEM sistemleri gibi sistemlere aktarıldığında erişim için bunları izleyin. |
| 10.3.4 Mevcut günlük verilerinin uyarı oluşturmadan değiştirilememesini sağlamak için denetim günlüklerinde dosya bütünlüğü izleme veya değişiklik algılama mekanizmaları kullanılır. | Microsoft Entra Id'de günlükleri silip değiştiremezsiniz. Denetim günlükleri Azure Log Analytics Çalışma Alanı, depolama hesapları veya üçüncü taraf SIEM sistemleri gibi sistemlere aktarıldığında erişim için bunları izleyin. |
10.4 Anomalileri veya şüpheli etkinlikleri tanımlamak için denetim günlükleri gözden geçirilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.4.1 Aşağıdaki denetim günlükleri günde en az bir kez gözden geçirilir: Tüm güvenlik olayları. Kart sahibi verilerini (CHD) ve/veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen veya ileten tüm sistem bileşenlerinin günlükleri. Tüm kritik sistem bileşenlerinin günlükleri. Güvenlik işlevlerini gerçekleştiren tüm sunucuların ve sistem bileşenlerinin günlükleri (örneğin, ağ güvenlik denetimleri, izinsiz giriş algılama sistemleri/izinsiz girişi önleme sistemleri (IDS/IPS), kimlik doğrulama sunucuları). |
Bu işleme Microsoft Entra günlüklerini ekleyin. |
| 10.4.1.1 Denetim günlüğü gözden geçirmeleri gerçekleştirmek için otomatik mekanizmalar kullanılır. | Bu işleme Microsoft Entra günlüklerini ekleyin. Microsoft Entra günlükleri Azure İzleyici ile tümleştirildiğinde otomatik eylemleri ve uyarıları yapılandırın. Azure İzleyici'yi dağıtma: Uyarılar ve otomatik eylemler |
| 10.4.2 Diğer tüm sistem bileşenlerinin (Gereksinim 10.4.1'de belirtilmeyenler) günlükleri düzenli aralıklarla gözden geçirilir. | Microsoft Entra Id için geçerli değildir. |
| 10.4.2.1 Gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilen, varlığın hedeflenen risk analizinde, diğer tüm sistem bileşenleri için düzenli günlük incelemelerinin sıklığı (Gereksinim 10.4.1'de tanımlanmamıştır) tanımlanır | Microsoft Entra Id için geçerli değildir. |
| 10.4.3 Gözden geçirme işlemi sırasında tanımlanan özel durumlar ve anomaliler ele alınır. | Microsoft Entra Id için geçerli değildir. |
10.5 Denetim günlüğü geçmişi korunur ve analiz için kullanılabilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.5.1 Denetim günlüğü geçmişini en az 12 ay boyunca tutun; en az son üç ay analiz için hemen kullanılabilir. | Azure İzleyici ile tümleştirin ve uzun süreli arşivleme için günlükleri dışarı aktarın. Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme Microsoft Entra günlükleri veri saklama ilkesi hakkında bilgi edinin. Microsoft Entra veri saklama |
10.6 Zaman eşitleme mekanizmaları tüm sistemlerde tutarlı zaman ayarlarını destekler.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.6.1 Sistem saatleri ve saati zaman eşitleme teknolojisi kullanılarak eşitlenir. | Azure hizmetlerindeki zaman eşitleme mekanizması hakkında bilgi edinin. Azure'da finansal hizmetler için zaman eşitlemesi |
| 10.6.2 Sistemler aşağıdaki gibi doğru ve tutarlı bir süreyle yapılandırılır: Belirlenen bir veya daha fazla zaman sunucusu kullanımda. Yalnızca belirlenen merkezi saat sunucuları dış kaynaklardan zaman alır. Dış kaynaklardan alınan süre, Uluslararası Atomik Saati veya Eşgüdümlü Evrensel Saat'i (UTC) temel alır. Belirlenen zaman sunucuları yalnızca sektörde kabul edilen belirli dış kaynaklardan gelen zaman güncelleştirmelerini kabul eder. Birden fazla belirlenmiş zaman sunucusu olduğunda, zaman sunucuları doğru zamanı korumak için birbirleriyle eşler. İç sistemler yalnızca belirlenen merkezi saat sunucularından zaman bilgilerini alır. |
Azure hizmetlerindeki zaman eşitleme mekanizması hakkında bilgi edinin. Azure'da finansal hizmetler için zaman eşitlemesi |
| 10.6.3 Zaman eşitleme ayarları ve verileri şu şekilde korunur: Zaman verilerine erişim yalnızca iş gereksinimi olan personelle sınırlıdır. Kritik sistemlerde zaman ayarlarında yapılan tüm değişiklikler günlüğe kaydedilir, izlenir ve gözden geçirilir. |
Microsoft Entra Id, Azure'daki zaman eşitleme mekanizmalarını kullanır. Azure yordamları sunucuları ve ağ cihazlarını GENEL konumlandırma sistemi (GPS) uydularına eşitlenmiş NTP Stratum 1 zamanlı sunucularla eşitler. Eşitleme beş dakikada bir gerçekleşir. Azure, hizmet konaklarının eşitleme süresini güvence altına alır. Microsoft Entra Connect sunucuları gibi Microsoft Entra Id'deki Azure Hibrit bileşenlerindeki finansal hizmetler için zaman eşitlemesi, şirket içi altyapıyla etkileşim kurar. Müşteri, şirket içi sunucuların zaman eşitlemesine sahip olur. |
10.7 Kritik güvenlik denetimi sistemlerinin hataları algılanır, bildirilir ve hemen yanıtlanır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 10.7.2 Yalnızca hizmet sağlayıcıları için ek gereksinim: Kritik güvenlik denetim sistemlerinin hataları, aşağıdaki kritik güvenlik denetim sistemlerinin başarısızlığı dahil ancak bunlarla sınırlı olmamak üzere hemen algılanır, uyarılır ve giderilir: Ağ güvenlik denetimleri IDS/IPS Dosya bütünlüğü izleme (FIM) Kötü amaçlı yazılımdan koruma çözümleri Fiziksel erişim denetimleri Mantıksal erişim denetimleri Denetim günlüğü mekanizması Segmentasyon denetimleri (kullanılıyorsa) |
Microsoft Entra Id, Azure'daki zaman eşitleme mekanizmalarını kullanır. Azure desteği işletim ortamında gerçek zamanlı olay analizi gerçekleştirir. İç Azure altyapı sistemleri, olası risklerle ilgili neredeyse gerçek zamanlı olay uyarıları oluşturur. |
| 10.7.2 Kritik güvenlik denetim sistemlerinin hataları, aşağıdaki kritik güvenlik denetim sistemlerinin başarısızlığı dahil ancak bunlarla sınırlı olmamak üzere hemen algılanır, uyarılır ve giderilir: Ağ güvenlik denetimleri IDS/IP Değişiklik algılama mekanizmaları Kötü amaçlı yazılımdan koruma çözümleri Fiziksel erişim denetimleri Mantıksal erişim denetimleri Denetim günlüğü mekanizmaları Kesimleme denetimleri (kullanılıyorsa) Denetim günlüğü gözden geçirme mekanizmaları Otomatik güvenlik testi araçları (kullanılıyorsa) |
Bkz. Microsoft Entra güvenlik işlemleri kılavuzu |
| 10.7.3 Güvenlik işlevlerini geri yükleme dahil ancak bunlarla sınırlı olmamak üzere kritik güvenlik denetim sistemlerinin hataları hemen yanıtlanır. Güvenlik hatasının süresini (baştan sona tarih ve saat) tanımlama ve belgeleme. Hatanın nedenlerini belirleme ve belgeleme ve gerekli düzeltmeyi belgeleme. Hata sırasında oluşan güvenlik sorunlarını tanımlama ve çözme. Güvenlik hatasının bir sonucu olarak başka eylemler gerekip gerekmediğini belirleme. Hatanın nedeninin yeniden oluşmasını önlemek için denetimler uygulama. Güvenlik denetimlerini izlemeye devam etme. |
Bkz. Microsoft Entra güvenlik işlemleri kılavuzu |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme (Buradasınız)
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu