配置其他控制,以满足 FedRAMP High 影响级别要求

你可能需要在 Microsoft Entra 租户中配置下列一组控件(和控件增强功能)。

下表中的每一行都提供规范性指导。 这些说明性指导可帮助你制定组织对与控件或控件增强有关的所有共同责任的响应措施。

审核和责任

下表中的指南涉及:

  • AU-2 审核事件
  • AU-3 审核内容
  • AU-6 审核评审、分析和报告
FedRAMP 控件 ID 和说明 Microsoft Entra 指南和建议
AU-2 审核事件
组织:
(a.) 确定信息系统能够审核以下事件:[FedRAMP 赋值:[成功和失败的帐户登录事件、帐户管理事件、对象访问、策略更改、特权功能、过程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改];
(b.) 协调其他组织实体的安全审核职能,这些实体需要审核相关信息以增强相互支持并帮助指导可审核事件选择;
(c.) 提供认为可审核事件足以支持安全事件事后调查的基本原理;和
(d.) 确定在信息系统中审核以下事件:[FedRAMP 赋值:AU-2 a. 中定义的组织定义的可审核事件的子集,将针对每个已识别的事件进行持续审核]。

AU-2 其他 FedRAMP 要求和指南:
要求: 服务提供商和使用者之间的协调应由 JAB/AO 记录和接受。

AU-3 内容和审核记录
该信息系统生成审核记录,其中包含确定以下内容的信息:发生事件的类型、事件发生时间、事件发生地点、事件来源和事件结果,以及与事件相关的任何个人或主体的身份。

AU-3(1)
该信息系统生成审核记录,其中包含以下附加信息:[FedRAMP 赋值:组织定义的更多附加详细信息]。

AU-3 (1)其他 FedRAMP 要求和指南:
要求: 服务提供商定义审核记录类型 [FedRAMP 赋值:会话、连接、事务或活动持续时间;对于客户端-服务器事务,接收的字节数和发送的字节数;用于诊断或识别事件的其他信息性消息;描述或识别正在处理的对象或资源的特征;组帐户用户的个人身份;特权命令的全文]。 审核记录类型由 JAB/AO 批准和接受。
指南: 对于客户端-服务器事务,发送和接收的字节数会提供双向传输信息,这些信息在调查或查询期间非常有用。

AU-3(2)
该信息系统提供 [FedRAMP 赋值:所有网络、数据存储和计算设备] 生成的审核记录中要捕获的内容的集中管理和配置。
确保系统能够审核 AU-2 a 部分中定义的事件。 与组织内可审核事件子集中的其他实体协调,以支持展开事后调查。 实行集中管理审核记录。

所有帐户生命周期操作(帐户创建、修改、启用、禁用和删除操作)都在 Microsoft Entra 审核日志中接受审核。 所有身份验证和授权事件都在 Microsoft Entra 登录日志中进行审核,检测到的任何风险都在标识保护日志中审核。 其中的每个日志都可以直接流式传输到安全信息和事件管理 (SIEM) 解决方案(例如 Microsoft Sentinel)。 还可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成。

审核事件

  • Microsoft Entra 管理门户中的审核活动报表
  • Microsoft Entra 管理中心中的登录活动报告
  • 如何:调查风险

    SIEM 集成

  • Microsoft Sentinel:连接 Microsoft Entra ID 中的数据
  • 流式传输到 Azure 事件中心和其他 SIEM
  • AU-6 审核评审、分析和报告
    组织:
    (a.) 审查和分析信息系统审核记录 [FedRAMP 赋值:至少每周] 以指示 [赋值:组织定义的不当或异常活动];和
    (b.) 将结果报告给 [赋值:组织定义的人员或角色]。
    AU-6 其他 FedRAMP 要求和指南:
    要求: 服务提供商和使用者之间的协调应由授权官方记录和接受。 在多租户环境中,应记录能力和方法,它们向使用者提供与其相关的数据的审查、分析和报告。

    AU-6(1)
    组织采用自动化机制以集成审核评审、分析和报告过程,从而支持调查和响应可疑活动的组织过程。

    AU-6(3)
    组织分析并关联不同存储库中的审核记录,从而获得组织范围内的态势感知。

    AU-6(4)
    该信息系统提供集中评审并分析系统内多个组件中的审核记录的能力。

    AU-6(5)
    组织将审核记录分析与 [FedRAMP 选择(一个或多个):漏洞扫描信息;性能数据;信息系统监控信息;渗透测试数据; [赋值:从其他源收集的组织定义的数据/信息]] 的分析集成,从而进一步增强识别不当或异常活动的能力。

    AU-6(6)
    组织将审核记录中的信息与通过监视物理访问获得的信息关联,从而进一步增强识别可疑、不当、异常或恶意活动的能力。
    AU-6 其他 FedRAMP 要求和指南:
    要求: 服务提供商和使用者之间的协调应由 JAB/AO 记录和接受。

    AU-6(7)
    组织为每个与评审、分析和报告审核信息关联的 [FedRAMP 选择(一个或多个):信息系统过程;角色;用户] 指定允许的操作。

    AU-6(10)
    根据执法信息、情报信息或其他可靠信息来源得知风险发生变化时,组织在信息系统内调整审核评审、分析和报告级别。
    每周至少审查并分析一次审核记录,以标识不合适或异常的活动,并向相应的人员报告结果。

    根据上面提供的针对 AU-02 和 AU-03 的指南,每周审查审核记录并向相关人员报告。 单靠使用 Microsoft Entra ID 无法满足这些要求。 还必须使用 SIEM 解决方案,例如 Microsoft Sentinel。 要了解详情,请参阅什么是 Microsoft Sentinel 一文。

    事件响应

    下表中的指南涉及:

    • IR-4 事件处理

    • IR-5 事件监视

    FedRAMP 控件 ID 和说明 Microsoft Entra 指南和建议
    IR-4 事件处理
    组织:
    (a.) 实现安全事件的事件处理能力,包括准备、检测和分析、遏制、根除和恢复;
    (b.) 协调事件处理活动与应变计划活动;和
    (c.) 将从正在发生的事件处理活动中吸取的经验教训纳入事件响应过程、培训和测试/练习中,并实现由此带来的相应更改。
    IR-4 其他 FedRAMP 要求和指南:
    要求: 服务提供商确保执行事件处理的个人满足与信息系统正在处理、存储和传输的信息的重要性/敏感度相称的人员安全要求。

    IR-04(1)
    组织采用自动化机制以支持事件处理过程。

    IR-04(2)
    组织包括动态重新配置 [FedRAMP 赋值:所有网络、数据存储和计算设备],作为事件响应能力的一部分。

    IR-04(3)
    组织识别 [赋值:组织定义的事件类] 和 [赋值:为响应事件类执行的组织定义的操作],从而确保组织使命和企业机能得以延续。

    IR-04(4)
    组织将事件信息和各个事件响应关联起来,从而实现组织内的事件感知和响应。

    IR-04(6)
    组织实现内部威胁的事件处理能力。

    IR-04(8)
    组织实现内部威胁的事件处理能力。
    组织与 [FedRAMP 赋值:包括使用者事件响应方和网络防御者在内的外部组织以及相应的使用者事件响应小组(CIRT)/计算机应急响应小组(CERT) (例如 US-CERT、DoD CERT、IC CERT)] 进行协调以关联并共享 [赋值:组织定义的事件信息],从而实现跨组织的事件感知和更有效的事件响应。

    IR-05 事件监视
    组织跟踪并记录信息系统安全事件。

    IR-05(1)
    组织采用自动化机制以协助跟踪安全事件,并协助收集和分析事件信息。
    实现事件处理和监视功能。 包括自动化事件处理、动态重新配置、操作连续性、信息关联、内部威胁、与外部组织的关联、事件监视和自动跟踪。

    审核日志将记录发生的所有配置更改。 身份验证和授权事件在 Azure AD 登录日志中进行审核,检测到的任何风险都在 Microsoft Entra ID 保护日志中审核。 可以将每个日志直接流式传输到 SIEM 解决方案中,例如 Microsoft Sentinel。 还可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成。 使用 Microsoft Graph PowerShell 根据 SIEM 中的事件自动执行动态重新配置。

    审核事件

  • Microsoft Entra 管理门户中的审核活动报表
  • Microsoft Entra 管理中心中的登录活动报告
  • 如何:调查风险

    SIEM 集成

  • Microsoft Sentinel:连接 Microsoft Entra ID 中的数据
  • 流式传输到 Azure 事件中心和其他 SIEM
  • 人员安全

    下表中的指南涉及:

    • PS-4 人员解职
    FedRAMP 控件 ID 和说明 Microsoft Entra 指南和建议
    PS-4
    人员解职

    个人雇用终止后,组织:
    (a.) 在 [FedRAMP 赋值:八(8)小时内] 内禁用信息系统访问;
    (b.) 终止/撤销与个人关联的任何验证器/凭据;
    (c.) 进行离职面谈,包括讨论 [赋值:组织定义的信息安全主题];
    (d.) 检索所有与安全相关的组织信息系统相关属性;
    (e.) 保留对之前由解职个人控制的组织信息和信息系统的访问权限;和
    (f.) 在 [赋值:组织定义的时间段] 内通知 [赋值:组织定义的人员或角色]。

    PS-4(2)
    组织采用自动化机制以在个人解职后通知 [FedRAMP 赋值:负责禁用访问系统的访问控制人员]。
    自动通知负责禁用此系统的访问权限的人员。

    在 8 小时内禁用帐户并撤销所有关联的验证器和凭据。

    通过外部 HR 系统、本地 Active Directory 或直接在云中配置 Microsoft Entra ID 的帐户预配(包括在终止时禁用)。 通过撤销现有会话来终止所有系统访问。

    帐户预配

  • 请参阅 AC-02 中的详细指南。

    撤销所有关联的验证器

  • 在 Microsoft Entra ID 中紧急撤销用户访问权限
  • 系统和信息完整性

    下表中的指南涉及:

    • SI-4 信息系统监视
    FedRAMP 控件 ID 和说明 Microsoft Entra 指南和建议
    SI-4 信息系统监视
    组织:
    (a.) 监视信息系统以检测:
    (1.) 基于 [赋值:组织定义的监视目标] 的攻击和潜在攻击指标;和
    (2.) 未经授权的本地、网络和远程连接;
    (b.) 通过 [赋值:组织定义的技术和方法] 识别未经授权使用信息系统的行为;
    (c.) 在信息系统内(i)战略性地部署监视设备,从而收集组织确定的重要信息;以及(ii)在系统内的特定位置,跟踪组织感兴趣的特定类型的事务;
    (d.) 保护从入侵监视工具中获得的信息免遭未经授权的访问、修改和删除;
    (e.) 根据执法信息、情报信息或其他可靠的信息来源,每当指示组织运营和资产、个人、其他组织或国家面临的风险增加时,提高信息系统监视活动级别;
    (f.) 根据适用的联邦法律、行政命令、指令、政策或法规,获取有关信息系统监视活动的法律意见;和
    (d.) 向 [赋值:组织定义的人员或角色] 提供 [赋值:组织定义的信息系统监视信息];[选择(一个或多个):根据需要;[赋值:组织定义的频率]]。
    SI-4 其他 FedRAMP 要求和指南:
    指南: 请参阅 US-CERT 事件响应报告指南。

    SI-04(1)
    组织将各个入侵检测工具连接并配置到信息系统范围内的入侵检测系统。
    实施信息系统范围的监视和入侵检测系统。

    包括信息系统监视解决方案中的所有 Microsoft Entra 日志(审核、登录、标识保护)。

    将 Microsoft Entra 日志流式传输到 SIEM 解决方案中(请参阅 IA-04)。                                                                              

    后续步骤

    配置访问控制

    配置标识和身份验证控件

    配置其他控件