共用方式為

使用 Microsoft Sentinel 監視 零信任 (TIC 3.0) 安全性架構

  • 發行項

零信任是用於設計和實作下列安全性準則集合的安全性策略:

明確驗證 使用最低權限存取權 假設缺口
一律根據所有可用的資料點進行驗證及授權。 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。

本文說明如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解決方案,以協助治理和合規性小組根據 TRUSTED INTERNET CONNECTIONS (TIC) 3.0 方案來監視和回應 零信任 需求。

Microsoft Sentinel 解決方案 是一組組合的內容,預先設定為一組特定數據集。 零信任 (TIC 3.0) 解決方案包含活頁簿、分析規則和劇本,可提供自動化的 零信任 原則視覺效果,並交叉引導至信任因特網 連線 架構,協助組織監視一段時間的設定。

注意

使用 Microsoft 曝光管理中的 零信任 方案,全面檢視貴組織的 零信任 狀態。 如需詳細資訊,請參閱快速將 零信任 的安全性狀態現代化 |Microsoft Learn

零信任解決方案和 TIC 3.0 架構

零信任和 TIC 3.0 不同,但它們會共用許多常見的主題,並共同提供共同的故事。 適用於 零信任 的 Microsoft Sentinel 解決方案 (TIC 3.0) 提供 Microsoft Sentinel 與具有 TIC 3.0 架構之 零信任 模型之間的詳細交叉。 這些人行道可協助用戶進一步瞭解兩者之間的重疊。

雖然適用於 零信任 的 Microsoft Sentinel 解決方案 (TIC 3.0) 提供最佳做法指引,但 Microsoft 不保證也不表示合規性。 所有信任的因特網 連線(TIC)需求、驗證和控制都由網路安全與基礎結構安全機構管理。

零信任 (TIC 3.0) 解決方案提供以 Microsoft 技術為主的雲端式環境中的控制需求的可見度和情況感知。 客戶體驗會因使用者而異,某些窗格可能需要額外的設定和查詢修改作業。

建議 並不表示個別控件的涵蓋範圍,因為它們通常是接近需求的數個動作課程之一,這對每位客戶而言都是獨一無二的。 建議 應視為規劃個別控制需求完整或部分涵蓋範圍的起點。

適用於 零信任 的 Microsoft Sentinel 解決方案(TIC 3.0) 適用於下列任何使用者和使用案例:

  • 安全性治理、風險和合規性專業人員,用於合規性狀態評估和報告
  • 工程師和架構設計人員,需要設計 零信任 和 TIC 3.0 對齊的工作負載
  • 安全性分析師,用於警示和自動化建置
  • 諮詢服務的受控安全性服務提供者 (MSSP)
  • 需要檢閱需求、分析報告、評估功能的安全性管理員

必要條件

安裝 零信任 (TIC 3.0) 解決方案之前,請確定您有下列必要條件:

零信任 (TIC 3.0) 解決方案也會透過與其他 Microsoft 服務整合來增強,例如:

安裝 零信任 (TIC 3.0) 解決方案

若要從 Azure 入口網站 部署 零信任 (TIC 3.0) 解決方案:

  1. 在 Microsoft Sentinel 中,選取 [內容中樞],然後找出 零信任 (TIC 3.0) 解決方案。

  2. 在右下角,選取 [檢視詳細數據],然後選取 [建立]。 選取您要安裝解決方案的訂閱、資源群組及工作區,然後檢閱將部署的相關安全性內容。

    完成時,選取 [檢閱 + 建立] 以安裝解決方案。

如需詳細資訊,請參閱 部署現用內容和解決方案

範例使用案例

下列各節說明安全性作業分析師如何使用部署的資源搭配 零信任 (TIC 3.0) 解決方案來檢閱需求、探索查詢、設定警示及實作自動化。

安裝 零信任 (TIC 3.0) 解決方案之後,請使用部署至 Microsoft Sentinel 工作區的活頁簿、分析規則和劇本來管理網路中 零信任。

可視化 零信任 數據

  1. 流覽至 Microsoft Sentinel 活>頁簿 零信任 (TIC 3.0) 活頁簿,然後選取 [檢視儲存的活頁簿]。

    [零信任 (TIC 3.0) 活頁簿頁面中,選取您想要檢視的 TIC 3.0 功能。 針對此程式,選取 [ 入侵檢測]。

    提示

    使用頁面頂端的 [ 指南] 切換來顯示或隱藏建議和指南窗格。 請確定已在 [訂用帳戶]、[工作區] 和 [TimeRange] 選項中選取正確的詳細數據,以便檢視您想要尋找的特定數據。

  2. 選取您想要顯示的控制卡片。 針對此程式,選取 [調適型 存取控制],然後繼續捲動以檢視顯示的卡片。

    調適型 存取控制 卡片的螢幕快照。

    提示

    使用左上方的 [ 參考線] 切換來檢視或隱藏建議和指南窗格。 例如,當您第一次存取活頁簿時,這些可能很有説明,但一旦您了解相關的概念,就不需要。

  3. 探索查詢。 例如,在調適型 存取控制 卡片右上方,選取三個點 [選項] 功能表,然後選取 [記錄] 檢視中的 [開啟上次執行查詢]。

    查詢會在 Microsoft Sentinel Logs 頁面中開啟:

    Microsoft Sentinel 記錄頁面中所選查詢的螢幕快照。

在 Microsoft Sentinel 中,流覽至 [分析 ] 區域。 藉由搜尋 TIC3.0,以 零信任 (TIC 3.0) 解決方案來檢視現用的分析規則。

根據預設,零信任 (TIC 3.0) 解決方案會安裝一組分析規則,這些規則設定為依控制系列監視 零信任 (TIC3.0) 狀態,而且您可以自定義警示合規性小組變更狀態的閾值。

例如,如果您的工作負載的復原狀態在一周內低於指定的百分比,Microsoft Sentinel 會產生警示,以詳細說明個別的原則狀態(通過/失敗)、已識別的資產、上次評估時間,並提供 適用於雲端的 Microsoft Defender 的深層連結以進行補救動作。

視需要更新規則,或設定新的規則:

分析規則精靈的螢幕快照。

如需詳細資訊,請參閱 建立自定義分析規則來偵測威脅

使用 SOAR 回應

在 Microsoft Sentinel 中,流覽至 [自動化>作用中劇本] 索引 卷標,然後找出 Notify-GovernanceComplianceTeam 劇本。

使用此劇本來自動監視 CMMC 警示,並透過電子郵件和 Microsoft Teams 訊息,以相關詳細數據通知治理合規性小組。 視需要修改劇本:

邏輯應用程式設計工具的螢幕快照,其中顯示範例劇本。

如需詳細資訊,請參閱 在 Microsoft Sentinel 劇本中使用觸發程式和動作。

常見問題集

是否支援自定義檢視和報表?

是。 您可以自定義 零信任 (TIC 3.0) 活頁簿,以依訂用帳戶、工作區、時間、控件系列或成熟度層級參數來檢視數據,而且您可以匯出和列印活頁簿。

如需詳細資訊,請參閱 使用 Azure 監視器活頁簿將您的數據可視化和監視。

是否需要其他產品?

需要 Microsoft Sentinel 和 適用於雲端的 Microsoft Defender

除了這些服務之外,每個控制卡都是根據來自多個服務的數據,視卡片中顯示的數據和視覺效果類型而定。 超過 25 個 Microsoft 服務 為 零信任 (TIC 3.0) 解決方案提供擴充

我該如何使用沒有數據的面板?

沒有數據的面板提供處理 零信任 和 TIC 3.0 控制件需求的起點,包括解決個別控件的建議。

是否支援多個訂用帳戶、雲端和租使用者?

是。 您可以使用活頁簿參數、Azure Lighthouse 和 Azure Arc,在所有訂用帳戶、雲端和租用戶之間運用 零信任 (TIC 3.0) 解決方案。

如需詳細資訊,請參閱 使用 Azure 監視器活頁簿將您的數據 可視化及監視,以及 將 Microsoft Sentinel 中的多個租用戶當做 MSSP 來管理。

是否支援合作夥伴整合?

是。 活頁簿和分析規則都是可自定義的,可與合作夥伴服務整合。

如需詳細資訊,請參閱使用 Azure 監視器活頁簿在警示中可視化和監視您的數據和 Surface 自定義事件詳細數據。

這是否可在政府區域中使用?

是。 零信任 (TIC 3.0) 解決方案處於公開預覽狀態,且可部署到商業/政府區域。 如需詳細資訊,請參閱 商業和美國政府客戶的雲端功能可用性。

使用此內容需要哪些許可權?

如需詳細資訊,請參閱 Microsoft Sentinel 中的權限

下一步

如需詳細資訊,請參閱

觀看我們的影片:

閱讀我們的部落格!