Microsoft Entra ID 和 PCI-DSS 需求 5
需求 5:保護所有系統和網路免受惡意軟體
定義的方法需求
5.1 定義並瞭解保護所有系統和網路免於惡意軟體的進程和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 5.1.1 需求 5 中識別的所有安全策略和操作程式皆為: 記載 保持最新 使用 所有受影響的合作物件已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 5.1.2 需求 5 中執行活動的角色和責任記載、指派及瞭解。 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
5.2 惡意軟體(惡意代碼)已防止或偵測並解決。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 5.2.1 反惡意代碼解決方案會部署在所有系統元件上,但根據需求5.2.3定期評估中所識別的系統元件,這些系統元件不會受到惡意代碼的風險。 | 部署需要裝置合規性的條件式存取原則。 使用合規性政策來設定您使用 Intune 管理之裝置的規則,整合裝置合規性狀態與反惡意程式碼解決方案。 在 Intune Mobile Threat Defense 與 Intune 整合中強制執行條件式存取 適用於端點的 Microsoft Defender 合規性 |
| 5.2.2 已部署的反惡意代碼解決方案: 偵測所有已知的惡意代碼類型。 拿掉、封鎖或包含所有已知類型的惡意代碼。 |
不適用於Microsoft Entra標識符。 |
| 5.2.3 任何不具惡意代碼風險的系統元件都會定期評估,以包含下列內容: 記錄的所有系統元件清單,不具惡意代碼風險。 識別和評估這些系統元件不斷演變的惡意代碼威脅。 確認這類系統元件是否繼續不需要反惡意代碼防護。 |
不適用於Microsoft Entra標識符。 |
| 5.2.3.1 根據需求 12.3.1 中指定的所有元素,定義實體的目標風險分析中識別為不具惡意代碼風險的系統元件定期評估頻率。 | 不適用於Microsoft Entra標識符。 |
5.3 反惡意代碼機制和進程為作用中、維護及監視。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 5.3.1 反惡意代碼解決方案會透過自動更新保持最新狀態。 | 不適用於Microsoft Entra標識符。 |
| 5.3.2 反惡意代碼解決方案: 執行定期掃描和作用中或實時掃描。 或 執行系統或進程的連續行為分析。 |
不適用於Microsoft Entra標識符。 |
| 5.3.2.1 如果定期執行惡意代碼掃描以符合需求 5.3.2,掃描的頻率就會定義在實體的目標風險分析中,這會根據需求 12.3.1 中指定的所有元素來執行。 | 不適用於Microsoft Entra標識符。 |
| 5.3.3 針對卸載式電子媒體,反惡意代碼解決方案(s): 在插入、連接或邏輯掛接媒體時,執行自動掃描, 或在 媒體插入、連線或邏輯掛接時執行系統或進程的連續行為分析。 |
不適用於Microsoft Entra標識符。 |
| 5.3.4 反惡意代碼解決方案的稽核記錄會根據需求 10.5.1 啟用並保留。 | 不適用於Microsoft Entra標識符。 |
| 5.3.5 用戶無法停用或改變反惡意代碼機制,除非特別記載,並依案例管理授權一段有限的一段時間。 | 不適用於Microsoft Entra標識符。 |
5.4 防網路釣魚機制可保護使用者免受網路釣魚攻擊。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 5.4.1 進程和自動化機制已就緒,可偵測及保護人員免受網路釣魚攻擊。 | 將Microsoft Entra標識符設定為使用網路釣魚防護認證。 網路釣魚防護 MFA 的實作考慮 使用條件式存取中的控件,以要求使用網路釣魚防護認證進行驗證。 條件式存取驗證強度 指引與身分識別和存取管理設定相關。 若要減輕網路釣魚攻擊,請部署工作負載功能,例如在 Microsoft 365 中。 Microsoft 365 中的防網路釣魚防護 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。