零信任是一種設計與實施以下安全原則的安全策略:
| 明確驗證 | 使用最低權限存取權 | 假設有安全性缺口 |
|---|---|---|
| 一律根據所有可用的資料點進行驗證及授權。 | 利用 JIT/JEA) 、風險導向的自適應政策及資料保護, (Just-In-Time 與 Just-Enough-Access 限制使用者存取。 | 將爆發半徑和區段存取降至最低。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。 |
本文說明如何使用Microsoft Sentinel 零信任 (TIC 3.0) 解決方案,該解決方案協助治理與合規團隊依據 TRUSTED INTERNET CONNECTIONS (TIC) 3.0 計畫監控並回應零信任需求。
Microsoft Sentinel 解決方案是一組已預先設定為特定資料的套裝內容。 零信任 (TIC 3.0) 解決方案包含工作簿、分析規則與操作手冊,提供零信任原則的自動視覺化,並交叉應用於 Trust Internet Connections 框架,協助組織隨時間監控配置。
注意事項
透過 Microsoft Exposure Management 中的零信任倡議,全面了解貴組織的零信任狀態。 欲了解更多資訊,請參閱「快速現代化您的零信任安全態勢」|Microsoft Learn。
零信任解決方案與 TIC 3.0 框架
零信任和 TIC 3.0 雖然不完全相同,但它們有許多共同主題,並共同呈現出共同的故事。 零信任 (TIC 3.0) 的Microsoft Sentinel解決方案提供詳細的交叉點,連接 Microsoft Sentinel 與 TIC 3.0 框架下的零信任模型。 這些斑馬線幫助使用者更了解兩者之間的重疊。
雖然 TIC 3.0) 零信任 ( Microsoft Sentinel解決方案提供了最佳實務指引,但Microsoft不保證也不暗示合規。 所有可信網際網路連線 (TIC) 的要求、驗證與控制均由 資安 & 基礎設施安全局(Cybersecurity Infrastructure Security Agency)規範。
零信任 (TIC 3.0) 解決方案,為以雲端為主的環境中,Microsoft技術所提供的控制需求提供可視性與情境感知。 客戶體驗會因使用者而異,有些窗格可能需要額外的設定與查詢修改才能運作。
建議並不代表涵蓋各項控制措施,因為它們通常是多種處理需求方案之一,而需求因人而異。 建議應作為規劃全面或部分控制需求的起點。
零信任 (TIC 3.0) 的Microsoft Sentinel解決方案適用於以下使用者與使用情境:
- 安全治理、風險與合規專業人士,負責合規態勢評估與報告
- 工程師與架構師,他們需要設計符合零信任與 TIC 3.0 對齊的工作負載
- 安全分析師,負責警示與自動化建置
- 託管安全服務供應商 (MSSP,) 顧問服務
- 資安經理,需要審查需求、分析報告、評估能力
必要條件
在安裝零信任 (TIC 3.0) 解決方案前,請確保您具備以下先決條件:
內建 Microsoft 服務:確保您的 Azure 訂閱中同時啟用 Microsoft Sentinel 與 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 的需求:在 Microsoft Defender for Cloud 中:
在您的儀表板中新增必要的法規標準。 務必將 Microsoft Cloud 安全基準測試與 NIST SP 800-53 R5 評估納入您的 Microsoft Defender for Cloud 儀表板。 欲了解更多資訊,請參閱 Microsoft Defender for Cloud 文件中的「新增法規標準」至儀表板。
持續將 Microsoft Defender for Cloud 資料匯出到您的日誌分析工作區。 更多資訊請參閱「持續匯出 Microsoft Defender for Cloud 資料」。
需要使用者權限。 要安裝 零信任 (TIC 3.0) 解決方案,您必須擁有 Security Reader 權限,存取您的 Microsoft Sentinel 工作區。
零信任 (TIC 3.0) 解決方案也透過與其他 Microsoft 服務的整合而增強,例如:
- Microsoft Defender XDR
- Microsoft 資訊保護
- Microsoft Entra ID
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於 Office 365 的 Microsoft Defender
安裝零信任 (TIC 3.0) 解決方案
要從Azure 入口網站部署零信任 (TIC 3.0) 解決方案:
在Microsoft Sentinel中,選擇內容集線器並找到零信任 (TIC 3.0) 解決方案。
在右下角,選擇 「查看詳細資料」,然後 「建立」。 選擇你想安裝解決方案的訂閱、資源群組和工作區,然後檢視將部署的相關安全內容。
完成後,選擇 檢視 + 建立 來安裝解決方案。
欲了解更多資訊,請參閱 「部署開箱即用內容與解決方案」。
範例使用情境
以下章節將展示安全營運分析師如何利用零信任 (TIC 3.0) 解決方案部署的資源,檢視需求、探索查詢、配置警示並實施自動化。
安裝零信任 (TIC 3.0) 解決方案後,使用部署在Microsoft Sentinel工作空間的工作簿、分析規則和操作手冊,管理網路中的零信任。
視覺化零信任資料
請前往Microsoft Sentinel工作簿>零信任 (TIC 3.0) 工作簿,選擇檢視已儲存的工作簿。
在零信任 (TIC 3.0) 工作簿頁面中,選擇你想查看的 TIC 3.0 功能。 此程序請選擇入侵 偵測。
提示
請使用頁面頂端的 指南 切換功能來顯示或隱藏推薦與指南面板。 請確保在 訂閱、 工作區和 時間範圍 選項中選擇正確的細節,這樣你才能查看你想找到的特定資料。
選擇你想顯示的控制卡。 在此操作中,選擇自適應存取控制,然後繼續捲動以查看顯示的卡片。
提示
使用左上角的 「指南 」切換功能來查看或隱藏推薦與指南面板。 例如,這些工具在你剛開始使用練習簿時可能有幫助,但當你理解相關概念後就不再必要。
探索查詢。 例如,在自適應存取控制卡片右上角,選擇三點選項選單,然後在日誌檢視中選擇「開啟最後一次執行查詢」。
查詢可在 Microsoft Sentinel Logs 頁面開啟:
設定零信任相關警示
在 Microsoft Sentinel 中,請導覽至分析區。 搜尋 TIC3.0 即可查看隨 零信任 (TIC 3.0) 解決方案部署的現成分析規則。
預設情況下,零信任 (TIC 3.0) 解決方案會安裝一組分析規則,依控制族監控 TIC3.0) 態勢零信任 (,並可自訂閾值,提醒合規團隊態勢變更。
例如,若工作負載韌性狀態在一週內低於指定百分比,Microsoft Sentinel會產生警示,詳細說明政策狀態 (通過/失敗) 、識別資產、最後評估時間,並提供深度連結至雲端修復Microsoft Defender。
根據需要更新規則或設定新的規則:
欲了解更多資訊,請參閱 建立自訂分析規則以偵測威脅。
以SOAR回應
在 Microsoft Sentinel 中,導覽至 Automation>Active playbook 標籤,找到 Notify-GovernanceComplianceTeam 工作手冊。
使用此手冊自動監控 CMMC 警示,並透過電子郵件及 Microsoft Teams 訊息通知治理合規團隊相關細節。 根據需要修改戰術手冊:
欲了解更多資訊,請參閱 Microsoft Sentinel playbook 中使用觸發器與動作。
常見問題集
支援自訂檢視和報告嗎?
是。 你可以自訂 零信任 (TIC 3.0) 工作簿,依訂閱、工作區、時間、控制族或成熟度參數查看資料,並能匯出並列印工作簿。
欲了解更多資訊,請參閱「使用 Azure Monitor 工作簿來視覺化與監控您的資料」。
是否需要額外的產品?
必須同時使用 Microsoft Sentinel 和 Microsoft Defender for Cloud。
除了這些服務外,每張控制卡還基於多個服務的資料,視卡片中顯示的資料與視覺化類型而定。 超過 25 項Microsoft服務為 零信任 (TIC 3.0) 解決方案提供豐富化。
沒有資料的面板該怎麼處理?
無數據的面板提供了起點,以應對零信任及 TIC 3.0 控制要求,包括針對相關控制措施提出建議。
支援多重訂閱、雲端和租戶嗎?
是。 你可以使用 Workbook 參數、Azure Lighthouse 和 Azure Arc,在所有訂閱、雲端和租戶中運用 零信任 (TIC 3.0) 解決方案。
欲了解更多資訊,請參閱使用 Azure Monitor 工作簿以視覺化與監控您的資料,以及在 Microsoft Sentinel 中管理多個租戶作為 MSSP。
支援合作夥伴整合嗎?
是。 工作簿與分析規則皆可自訂以整合合作夥伴服務。
欲了解更多資訊,請參閱使用 Azure Monitor 工作簿以視覺化與監控您的資料,以及在警報中呈現自訂事件細節。
政府區域有這種服務嗎?
是。 零信任 (TIC 3.0) 解決方案目前已公開預覽,並可部署至商業/政府區域。 欲了解更多資訊,請參閱 商業及美國政府客戶的雲端功能可用性。
使用這些內容需要哪些權限?
Microsoft Sentinel 貢獻者用戶可以建立和編輯工作簿、分析規則及其他 Microsoft Sentinel 資源。
Microsoft Sentinel Reader 使用者可以查看資料、事件、工作簿及其他 Microsoft Sentinel 資源。
欲了解更多資訊,請參閱 Microsoft Sentinel 中的權限。
後續步驟
如需詳細資訊,請參閱:
觀看我們的影片:
歡迎閱讀我們的部落格!