Microsoft Entra Id ve PCI-DSS Gereksinimi 5
Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılım
Tanımlı yaklaşım gereksinimlerine karşı koruma
5.1 Tüm sistemleri ve ağları kötü amaçlı yazılımlardan korumaya yönelik süreçler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 5.1.1 Gereksinim 5'te tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinen kullanımda |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 5.1.2 Gereksinim 5'te etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
5.2 Kötü amaçlı yazılım (kötü amaçlı yazılım) engellenir veya algılanır ve giderilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 5.2.1 Sistem bileşenlerinin kötü amaçlı yazılımdan etkilenmediğini belirten Gereksinim 5.2.3'e göre düzenli değerlendirmelerde tanımlanan sistem bileşenleri dışında tüm sistem bileşenlerine kötü amaçlı yazılımdan koruma çözümleri dağıtılır. | Cihaz uyumluluğu gerektiren Koşullu Erişim ilkelerini dağıtın. Intune ile yönettiğiniz cihazlar için kurallar ayarlamak için uyumluluk ilkelerini kullanın Cihaz uyumluluk durumunu kötü amaçlı yazılımdan koruma çözümleriyle tümleştirin. Intune Mobile Threat Defense ile Intune tümleştirmesinde Koşullu Erişim ile Uç Nokta için Microsoft Defender uyumluluğu zorlama |
| 5.2.2 Dağıtılan kötü amaçlı yazılımdan koruma çözümleri: Bilinen tüm kötü amaçlı yazılım türlerini algılar. Bilinen tüm kötü amaçlı yazılım türlerini kaldırır, engeller veya içerir. |
Microsoft Entra Id için geçerli değildir. |
| 5.2.3 Kötü amaçlı yazılım riski altında olmayan tüm sistem bileşenleri, aşağıdakileri içerecek şekilde düzenli aralıklarla değerlendirilir: Kötü amaçlı yazılım riski altında olmayan tüm sistem bileşenlerinin belgelenmiş listesi. Bu sistem bileşenleri için gelişen kötü amaçlı yazılım tehditlerinin tanımlanması ve değerlendirilmesi. Bu tür sistem bileşenlerinin kötü amaçlı yazılımdan koruma gerektirmemeye devam edip etmediğini onaylar. |
Microsoft Entra Id için geçerli değildir. |
| 5.2.3.1 Kötü amaçlı yazılım için risk altında olmadığı belirlenen sistem bileşenlerinin düzenli değerlendirme sıklığı, varlığın hedeflenen risk analizinde tanımlanır ve gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilir. | Microsoft Entra Id için geçerli değildir. |
5.3 Kötü amaçlı yazılımdan koruma mekanizmaları ve süreçleri etkindir, korunur ve izlenir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 5.3.1 Kötü amaçlı yazılımdan koruma çözümleri otomatik güncelleştirmeler aracılığıyla güncel tutulur. | Microsoft Entra Id için geçerli değildir. |
| 5.3.2 Kötü amaçlı yazılımdan koruma çözümleri: Düzenli taramalar ve etkin veya gerçek zamanlı taramalar yapar. VEYA Sistemlerin veya süreçlerin sürekli davranış analizini gerçekleştirir. |
Microsoft Entra Id için geçerli değildir. |
| 5.3.2.1 Gereksinim 5.3.2'yi karşılamak için düzenli kötü amaçlı yazılım taramaları yapılırsa, tarama sıklığı varlığın hedeflenen risk analizinde tanımlanır ve bu durum Gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilir. | Microsoft Entra Id için geçerli değildir. |
| 5.3.3 Çıkarılabilir elektronik ortamlar için kötü amaçlı yazılımdan koruma çözümleri: Medya eklendiğinde, bağlandığında veya mantıksal olarak bağlandığında otomatik taramalar yapar VEYA Medya eklendiğinde, bağlandığında veya mantıksal olarak bağlandığında sistemlerin veya işlemlerin sürekli davranış analizini yapar. |
Microsoft Entra Id için geçerli değildir. |
| 5.3.4 Kötü amaçlı yazılımdan koruma çözümleri için denetim günlükleri, Gereksinim 10.5.1'e uygun olarak etkinleştirilir ve korunur. | Microsoft Entra Id için geçerli değildir. |
| 5.3.5 Kötü amaçlı yazılımdan koruma mekanizmaları, özel olarak belgelenmediği sürece kullanıcılar tarafından devre dışı bırakılamaz veya değiştirilemez ve yönetim tarafından sınırlı bir süre boyunca tek tek servis talebi temelinde yetkilendirilemez. | Microsoft Entra Id için geçerli değildir. |
5.4 Kimlik avı önleme mekanizmaları, kullanıcıları kimlik avı saldırılarına karşı korur.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 5.4.1 Personeli kimlik avı saldırılarına karşı algılamak ve korumak için süreçler ve otomatik mekanizmalar mevcuttur. | Kimlik avına dayanıklı kimlik bilgilerini kullanmak için Microsoft Entra Id'yi yapılandırın. Kimlik avına dayanıklı MFA için uygulama konuları Kimlik avına dayanıklı kimlik bilgileriyle kimlik doğrulaması gerektirmek için Koşullu Erişim'deki denetimleri kullanın. Koşullu Erişim kimlik doğrulaması gücü Buradaki kılavuz, kimlik ve erişim yönetimi yapılandırmasıyla ilgilidir. Kimlik avı saldırılarını azaltmak için Microsoft 365 gibi iş yükü özelliklerini dağıtın. Microsoft 365'te kimlik avı koruması |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma (Buradasınız)
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu