Microsoft Entra ID 和 PCI-DSS 需求 10
需求 10:記錄和監視系統元件和持卡人數據
定義方法需求的所有存取
10.1 記錄和監視所有系統元件和持卡人數據存取的程式和機制會定義並記載。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.1.1 需求 10 中識別的所有安全策略和操作程式皆為: 記載 保持在最新 狀態 使用所有受影響的合作物件已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 10.1.2 需求 10 中執行活動的角色和責任會記載、指派及瞭解。 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
10.2 稽核記錄的實作可支援偵測異常和可疑活動,以及事件的鑑識分析。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.2.1 已針對所有系統元件和持卡人數據啟用並啟用稽核記錄。 | 封存Microsoft Entra 稽核記錄,以取得安全策略和Microsoft Entra 租使用者設定的變更。 封存Microsoft安全性資訊和事件管理 (SIEM) 系統中的 Entra 活動記錄,以瞭解使用方式。 Azure 監視器中的 Microsoft Entra 活動記錄 |
| 10.2.1.1 稽核記錄會擷取持卡人數據的所有個別使用者存取權。 | 不適用於Microsoft Entra標識符。 |
| 10.2.1.2 稽核記錄會擷取任何具有系統管理存取權的個人所採取的所有動作,包括應用程式或系統帳戶的任何互動式使用。 | 不適用於Microsoft Entra標識符。 |
| 10.2.1.3 稽核記錄會擷取稽核記錄的所有存取權。 | 在 Microsoft Entra 識別碼中,您無法抹除或修改記錄。 特殊許可權使用者可以從 Microsoft Entra ID 查詢記錄。 稽核記錄導出至 Azure Log Analytics 工作區、儲存器帳戶或第三方 SIEM 系統等系統時,依工作Microsoft Entra ID 中的最低特殊許可權角色,請加以監視以取得存取權。 |
| 10.2.1.4 稽核記錄會擷取所有無效的邏輯存取嘗試。 | Microsoft,當用戶嘗試以無效認證登入時,Entra ID 會產生活動記錄。 因為條件式存取原則而拒絕存取時,它會產生活動記錄。 |
| 10.2.1.5 稽核記錄會擷取識別和驗證認證的所有變更,包括但不限於: 建立新的帳戶提高許可權 所有變更、新增或刪除具有系統管理存取權的帳戶 |
Microsoft Entra ID 會產生此需求中事件的稽核記錄。 |
| 10.2.1.6 稽核記錄會擷取下列各項: 新稽核記錄的所有初始化,以及 所有啟動、停止或暫停現有稽核記錄。 |
不適用於Microsoft Entra標識符。 |
| 10.2.1.7 稽核記錄會擷取系統層級物件的所有建立和刪除。 | Microsoft Entra ID 會針對此需求中的事件產生稽核記錄。 |
| 10.2.2 稽核記錄會記錄每個可稽核事件下列詳細數據: 用戶識別。 事件類型。 日期和時間。 成功和失敗指示。 事件的來源。 受影響的數據、系統元件、資源或服務的身分識別或名稱(例如名稱和通訊協定)。 |
請參閱在 Microsoft Entra ID 中稽核記錄 |
10.3 稽核記錄會受到保護,以免遭到破壞和未經授權的修改。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.3.1 稽核記錄檔的讀取許可權僅限於具有作業相關需求的檔案。 | 特殊許可權使用者可以從 Microsoft Entra ID 查詢記錄。 Microsoft Entra ID 中工作的最低特殊權限角色 |
| 10.3.2 稽核記錄檔受到保護,以防止個人修改。 | 在 Microsoft Entra 識別碼中,您無法抹除或修改記錄。 當稽核記錄導出至 Azure Log Analytics 工作區、記憶體帳戶或第三方 SIEM 系統等系統時,請監視它們以取得存取權。 |
| 10.3.3 稽核記錄檔,包括外部技術,會立即備份到難以修改的安全、中央、內部記錄伺服器或其他媒體。 | 在 Microsoft Entra 識別碼中,您無法抹除或修改記錄。 當稽核記錄導出至 Azure Log Analytics 工作區、記憶體帳戶或第三方 SIEM 系統等系統時,請監視它們以取得存取權。 |
| 10.3.4 稽核記錄上使用檔案完整性監視或變更偵測機制,以確保在不會產生警示的情況下,無法變更現有的記錄數據。 | 在 Microsoft Entra 識別碼中,您無法抹除或修改記錄。 當稽核記錄導出至 Azure Log Analytics 工作區、記憶體帳戶或第三方 SIEM 系統等系統時,請監視它們以取得存取權。 |
10.4 稽核記錄會經過檢閱,以識別異常或可疑活動。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.4.1 下列稽核記錄會每天至少檢閱一次: 所有安全性事件。 儲存、處理或傳輸持卡人數據的所有系統元件記錄(CHD)和/或敏感性驗證數據(SAD)。 所有重要系統元件的記錄。 執行安全性功能的所有伺服器和系統元件的記錄(例如網路安全性控制、入侵檢測系統/入侵預防系統(IDS/IPS)、驗證伺服器)。 |
在此程式中包含Microsoft Entra 記錄。 |
| 10.4.1.1 自動化機制可用來執行稽核記錄檢閱。 | 在此程式中包含Microsoft Entra 記錄。 當Microsoft Entra 記錄與 Azure 監視器整合時,設定自動化動作和警示。 部署 Azure 監視器:警示和自動化動作 |
| 會定期檢閱所有其他系統元件的 10.4.2 記錄檔(需求 10.4.1 中所未指定記錄。 | 不適用於Microsoft Entra標識符。 |
| 10.4.2.1 所有其他系統元件的定期記錄檢閱頻率(未定義於需求 10.4.1)定義於實體的目標風險分析中,這會根據需求 12.3.1 中指定的所有元素執行。 | 不適用於Microsoft Entra標識符。 |
| 10.4.3 檢閱程式期間所識別的例外狀況和異常狀況會加以解決。 | 不適用於Microsoft Entra標識符。 |
10.5 稽核記錄記錄會保留並可供分析。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.5.1 保留稽核記錄記錄至少12個月,最近三個月至少可供分析。 | 與 Azure 監視器整合並導出長期封存的記錄。 整合 Microsoft Entra 記錄與 Azure 監視器記錄 瞭解Microsoft Entra 記錄數據保留原則。 Microsoft Entra 數據保留 |
10.6 時間同步處理機制支援所有系統上的一致時間設定。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.6.1 系統時鐘與時間會使用時間同步處理技術進行同步處理。 | 瞭解 Azure 服務中的時間同步處理機制。 Azure 中金融服務的時間同步處理 |
| 10.6.2 系統已設定為正確且一致的時間,如下所示: 一或多個指定的時間伺服器正在使用中。 只有指定的中央時間伺服器從外部來源接收時間。 從外部來源接收的時間是以國際原子時間或國際標準時間(UTC)為基礎。 指定的時間伺服器只接受來自特定業界接受的外部來源的時間更新。 如果有多個指定的時間伺服器,時間伺服器會彼此對等,以保持精確的時間。 內部系統只會從指定的中央時間伺服器接收時間資訊。 |
瞭解 Azure 服務中的時間同步處理機制。 Azure 中金融服務的時間同步處理 |
| 10.6.3 時間同步處理設定和數據受到保護,如下所示: 存取時間數據僅限於只有商務需求的人員。 系統會記錄、監視及檢閱重要系統上時間設定的任何變更。 |
Microsoft Entra ID 依賴 Azure 中的時間同步處理機制。 Azure 程式會將伺服器和網路裝置與 NTP Stratum 1 次性伺服器同步處理到全球定位系統 (GPS) 衛星。 同步處理每五分鐘就會發生一次。 Azure 可確保服務主機同步時間。 Microsoft Entra ID 中 Azure 混合式元件中的金融服務時間同步處理,例如Microsoft Entra Connect 伺服器,與內部部署基礎結構互動。 客戶擁有內部部署伺服器的時間同步處理。 |
10.7 重大安全性控制系統失敗會偵測、報告及立即回應。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 10.7.2 僅限服務提供者的其他需求:偵測到重大安全性控制系統失敗、警示並立即解決,包括但不限於下列重要安全性控制系統的失敗: 網路安全性控制 標識符/IPS 檔案完整性監視 (FIM) 反惡意代碼解決方案 實體訪問控制 邏輯訪問控制 稽核記錄機制 分割控件(如果使用) |
Microsoft Entra ID 依賴 Azure 中的時間同步處理機制。 Azure 支援 其作業環境中即時事件分析。 內部 Azure 基礎結構系統會產生近乎即時的事件警示,以警示潛在危害。 |
| 10.7.2 重大安全性控制系統的失敗會立即偵測、警示和解決,包括但不限於下列重要安全性控制系統的失敗: 網路安全性控制 標識碼/IP 變更偵測機制 反惡意代碼解決方案 實體訪問控制 邏輯訪問控制 稽核記錄 機制分割控制(如果使用) 稽核記錄檢閱機制 自動化安全性測試工具(如果使用) |
請參閱, Microsoft Entra 安全性作業指南 |
| 10.7.3 任何重大安全性控制系統失敗都會立即回應,包括但不限於: 還原安全性功能。 識別並記錄安全性失敗的持續時間(從開始到結束的日期和時間)。 識別並記錄失敗的原因,並記錄必要的補救。 識別並解決失敗期間所引發的任何安全性問題。 判斷是否因為安全性失敗而需要進一步的動作。 實作控件以防止失敗的原因重新發生。 繼續監視安全性控制件。 |
請參閱, Microsoft Entra 安全性作業指南 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。