設定其他控制項以符合 FedRAMP High 影響等級
下列控制項清單 (和控制項增強功能) 可能需要在 Microsoft Entra 租用戶中進行設定。
下表中的每個資料列都提供規範性指導。 本指導可協助您開發組織對控制項或控制項增強功能的任何共同責任回應。
稽核和責任
下表中的指導適用於:
- AU-02 稽核事件
- AU-03 稽核內容
- AU-06 稽核檢閱、分析和報告
FedRAMP 控制項識別碼與描述 | Microsoft Entra 指導和建議 |
---|---|
AU-02 稽核事件 組織: (a.) 判斷資訊系統是否能夠稽核下列事件:[FedRAMP 指派:[成功和失敗的帳戶登入事件、帳戶管理事件、物件存取、原則變更、有特殊權限的功能、流程追蹤以及系統事件。對於 Web 應用程式︰所有系統管理員活動、驗證檢查、授權檢查、資料刪除、資料存取、資料變更以及權限變更]; (b.) 協調安全性稽核功能與需要稽核相關資訊的其他組織實體,以增強相互支援,並協助引導選取可稽核的事件; (c.) 提供一個基本理由,來闡述為什麼認為可稽核的事件足以支持安全性事件的事後調查;以及 (d.) 判斷資訊系統中要稽核下列事件:[FedRAMP 指派:AU-2 a 中所定義可稽核事件的組織定義子集,要針對每個已識別的事件持續稽核]。 AU-2 其他 FedRAMP 需求和指導: 需求:服務提供者與取用者之間的協調應進行記錄並由 JAB/AO 接受。 AU-3 內容和稽核記錄 資訊系統會產生稽核記錄,其中包含確立發生了哪種類型的事件、發生事件的時機、發生事件的位置、事件來源、事件結果,以及與事件相關聯之任何個人或主體的身分識別的資訊。 AU-3(1) 資訊系統會產生稽核記錄,其中包含下列其他資訊:[FFedRAMP 指派:組織定義的其他更詳細資訊]。 AU-3 (1) 其他 FedRAMP 需求和指導: 需求:服務提供者定義稽核記錄類型 [FedRAMP 指派:工作階段、連線、交易或活動持續時間;針對用戶端伺服器交易,接收的位元組數目和已傳送的位元組數;用於診斷或識別事件的其他資訊訊息;描述或識別所處理物件或資源的特性;群組帳戶使用者的個別身分識別;特殊權限命令的全文]。 JAB/AO 核准並接受稽核記錄類型。 指導:針對用戶端-伺服器交易,傳送和接收的位元組數目會提供雙向傳輸資訊,可在調查或查詢期間提供幫助。 AU-3(2) 資訊系統會針對在 [FedRAMP 指派:所有網路、資料儲存體和計算裝置] 所產生稽核記錄中擷取的內容,提供集中管理和設定。 |
確定系統能夠審核在 AU-2 部分 a 中定義的事件。 與組織可稽核事件子集內的其他實體協調,以支援事實調查。 實作集中式管理稽核記錄。 所有帳戶生命週期作業 (帳戶建立、修改、啟用、停用和移除動作) 會在 Microsoft Entra 稽核記錄中進行稽核。 所有驗證和授權事件都會在 Microsoft Entra 登入記錄檔內進行稽核,並在身分識別保護記錄中稽核任何偵測到的風險。 您可以直接將這些記錄串流到安全性資訊和事件管理 (SIEM) 解決方案,例如 Microsoft Sentinel。 或者,使用 Azure 事件中樞將記錄與協力廠商 SIEM 解決方案整合。 稽核事件 SIEM 整合 |
AU-6 稽核檢閱、分析和報告 組織: (a.) 依 [FedRAMP 指派:至少每週] 來檢閱和分析資訊系統稽核記錄,以取得 [指派:組織定義的不當或不尋常活動] 的指示;以及 (b.) 向 [指派:組織定義的人員或角色] 報告結果。 AU-6 其他 FedRAMP 需求和指導: 需求:服務提供者與取用者之間的協調應進行記錄並由授權官方接受。 在多租用戶環境中,應記錄向取用者提供與取用者相關資料檢閱、分析和報告的功能和方法。 AU-6(1) 組織會採用自動化機制,來整合稽核檢閱、分析和報告流程,以支援用以調查與回應可疑活動的組織流程。 AU-6(3) 組織會跨不同的存放庫分析稽核記錄並使其相互關聯,以取得全組織的情境意識。 AU-6(4) 資訊系統提供此功能,以集中檢閱與分析來自系統內多個元件的稽核記錄。 AU-6(5) 組織會將稽核記錄的分析與 [FedRAMP 選取 (一或多個):弱點掃描資訊;效能資料;資訊系統監視資訊;滲透測試資料; [指派:組織定義且收集自其他系統的資料/資訊]] 的分析整合,以進一步增強識別不當或不尋常活動的能力。 AU-6(6) 組織會將來自稽核記錄的資訊與從監視實際存取中取得的資訊相互關聯,以進一步增強識別可疑、不當、異常或惡意活動的能力。 AU-6 其他 FedRAMP 需求和指導: 需求:服務提供者與取用者之間的協調應進行記錄並由 JAB/AO 接受。 AU-6(7) 組織會針對與稽核資訊之檢閱、分析和報告相關聯的每個 [FedRAMP 選取 (一或多個):資訊系統流程;角色;使用者] 指定允許的動作。 AU-6(10) 根據執法資訊、情報資訊或其他可靠來源的資訊進行有風險的變更時,組織會在資訊系統中調整稽核檢閱、分析和報告的等級。 |
每週至少檢閱並分析稽核記錄一次,以找出不適當或不尋常的活動,並將結果回報給適當的人員。 上述適用於 AU-02 和 AU-03 的指導可讓您每週檢閱稽核記錄,並向適當的人員報告。 您無法只使用 Microsoft Entra ID 來滿足這些需求。 您也必須使用 SIEM 解決方案,例如 Microsoft Sentinel。 如需詳細資訊,請參閱什麼是 Microsoft Sentinel?。 |
事件回應
下表中的指導適用於:
IR-4 事件處理
IR-5 事件監視
FedRAMP 控制項識別碼與描述 | Microsoft Entra 指導和建議 |
---|---|
IR-4 事件處理 組織: (a.) 組織會實作安全性事件的事件處理功能,包括準備、偵測和分析、遏止、杜絕及復原; (b.) 組織會協調事件處理活動與應變計劃活動;以及 (c.) 組織會將從持續性事件處理活動學習到的經驗併入事件回應程序、訓練及測試/演練,並相應地實作所產生的變更。 IR-4 其他 FedRAMP 需求和指導: 需求:服務提供者可確保進行事件處理的人員符合人員安全性需求,這與資訊系統所處理、儲存和傳輸資訊的重要性/敏感度相符。 IR-04(1) 組織會採用自動化機制來支援事件處理流程。 IR-04(2) 組織會將 [FedRAMP 指派:所有網路、資料儲存體和計算裝置] 的動態重新設定納入事件回應功能中。 IR-04(3) 組織會識別 [指派:組織定義的事件類別] 和 [指派:組織所定義因應事件類別而要採取的動作],以確保組織任務和業務功能能夠繼續執行。 IR-04(4) 組織會將事件資訊與個別事件回應相互關聯,以在事件意識與回應方面達成一個全組織觀點。 IR-04(6) 組織會實作內部威脅的事件處理功能。 IR-04(8) 組織會實作內部威脅的事件處理功能。 組織會與 [FedRAMP 指派:外部組織,包括取用者事件回應者和網路防禦者,以及適當的取用者事件回應小組 (CIRT)/計算機緊急回應小組 (例如 US-CERT、DoD CERT、IC CERT)] 協調來相互關聯和共用 [指派:組織定義的事件資訊],藉此在事件意識與更有效的事件回應方面達成跨組織觀點。 IR-05 事件監視 組織會追蹤並記載資訊系統安全性事件。 IR-05(1) 組織會採用自動化機制來協助追蹤安全性事件,以及收集和分析事件資訊。 |
實作事件處理和監視功能。 這包括自動化事件處理、動態重新設定、作業的持續性、資訊相互關聯、內部威脅、與外部組織的相互關聯,以及事件監視和自動化追蹤。 稽核記錄會記錄所有設定變更。 驗證和授權事件都會在登入記錄檔內進行稽核,並在身分識別保護記錄中稽核任何偵測到的風險。 您可以將這些記錄直接串流至 SIEM 解決方案,例如 Microsoft Sentinel。 或者,使用 Azure 事件中樞將記錄與協力廠商 SIEM 解決方案整合。 使用 Microsoft Graph PowerShell,根據 SIEM 中的事件自動進行動態重新設定。 稽核事件 SIEM 整合 |
人員安全性
下表中的指導適用於:
- PS-04 人員終止
FedRAMP 控制項識別碼與描述 | Microsoft Entra 指導和建議 |
---|---|
PS-4 人員終止 組織在人員離職時: (a.) 在 [FedRAMP:八 (8) 小時] 內停用資訊系統存取; (b.) 終止/撤銷與個人相關聯的任何驗證器/認證; (c.) 進行離職面談,包括討論 [指派:組織定義的資訊安全主題]; (d.) 擷取所有與安全性有關的組織資訊系統相關屬性; (e.) 保留對於先前由離職人員所控制之組織資訊和資訊系統的存取權;以及 (f.) 在 [指派:組織定義的時間週期] 內,通知 [指派:組織定義的人員或角色]。 PS-4(2) 組織會採用自動化機制,在人員離職時通知 [FedRAMP 指派:負責停用系統存取權的存取控制人員]。 |
自動通知負責停用系統存取權的人員。 停用帳戶,並在 8 小時內撤銷所有相關聯的驗證器和認證。 在來自外部 HR 系統的 Microsoft Entra ID 帳戶、內部部署 Active Directory,或直接在雲端中設定佈建 (包括終止時的停用)。 撤銷現有的工作階段,以終止所有系統存取。 帳戶佈建 撤銷所有相關聯的驗證器 |
系統和資訊完整性
下表中的指導適用於:
- SI-4 資訊系統監視
FedRAMP 控制項識別碼與描述 | Microsoft Entra 指導和建議 |
---|---|
SI-4 資訊系統監視 組織: (a.) 監視資訊系統以偵測: (1.) 與 [指派:組織定義的監視目標] 一致的攻擊和潛在攻擊指標;以及 (2.) 未經授權的本機、網路和遠端連線; (b.) 透過 [指派:組織定義的技術和方法] 來識別未經授權使用資訊系統; (c.) 在資訊系統中 (i) 策略性地部署監視裝置,以收集組織所判定的基本資訊;(ii) 並在系統內的特定位置追蹤組織感興趣的特定類型交易; (d.) 保護取自入侵監視工具的資訊,以防止未經授權的存取、修改和刪除; (e.) 每當對於組織運作和資產、個人、其他組織或國家出現提高風險的跡象時,根據執法資訊、情報資訊或其他可靠來源的資訊,提高資訊系統監視活動的層級; (f.) 依照適用的聯邦法律、行政命令、指示、原則或法規,取得關於資訊系統監視活動的法律意見;以及 (d.) 將 [指派:組織定義的資訊系統監視資訊] 提供給 [指派:組織定義的人員或角色],視 [選取 (一或多個):視需要;[指派:組織定義的頻率]] 而定。 SI-4 其他 FedRAMP 需求和指導: 指導:請參閱 US-CERT 事件回應報告指導。 SI-04(1) 組織會將個別的入侵偵測工具連線到資訊全系統入侵偵測系統並加以設定。 |
實作全資訊系統監視和入侵偵測系統。 包含資訊系統監視解決方案中的所有 Microsoft Entra 記錄 (稽核、登入、身分識別保護)。 將 Microsoft Entra 記錄串流至 SIEM 方案 (請參閱 IA-04)。 |