使用 Microsoft Sentinel 監視零信任 (TIC 3.0) 安全性架構
零信任是用於設計和實作下列安全性準則集合的安全性策略:
| 明確驗證 | 使用最低權限存取權 | 假設缺口 |
|---|---|---|
| 一律根據所有可用的資料點進行驗證及授權。 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 |
本文說明如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解決方案,該解決方案可協助治理和合規性小組根據受信任的網際網路連線 (TIC) 3.0 方案來監視和回應零信任需求。
Microsoft Sentinel 解決方案 是一組針對特定資料集預先設定的配套內容。 零信任 (TIC 3.0) 解決方案包含活頁簿、分析規則和劇本,它們提供零信任原則的自動化視覺效果、交叉引導至受信任的網際網路連線架構,協助組織持續監視設定。
注意
透過 Microsoft Exposure Management 中的零信任方案,全面檢視組織的零信任狀態。 如需詳細資訊,請參閱快速現代化零信任的安全性態勢 | Microsoft Learn。
零信任解決方案和 TIC 3.0 架構
雖然零信任和 TIC 3.0 不同,但它們有許多共同的主題,並提供了一個共同的故事。 適用於零信任 (TIC 3.0) 的 Microsoft Sentinel 解決方案使用 TIC 3.0 架構在 Microsoft Sentinel 與零信任模型之間提供詳細交叉資料。 這些交叉資料可協助使用者進一步了解兩者之間重疊的部分。
雖然適用於零信任 (TIC 3.0) 的 Microsoft Sentinel 解決方案提供最佳做法指導,但 Microsoft 不保證也不暗示合規性。 所有信任的網際網路連線 (TIC) 需求、驗證和控制均由網路安全性和基礎結構安全機構管理。
零信任 (TIC 3.0) 解決方案提供對 Microsoft 技術在主要雲端式環境中提供的控制需求的可見性和情境意識。 客戶體驗會因使用者而異,某些窗格可能需要額外的設定和查詢修改才能進行作業。
建議並不意味著涵蓋個別的控制,因為這些建議通常是處理需求而採取的其中一個動作,對每位客戶而言都是獨一無二的。 建議應視為規劃相應控制需求的完整或部分涵蓋範圍的起點。
零信任 (TIC 3.0) 的 Microsoft Sentinel 解決方案適用於下列任何使用者和使用案例:
- 安全治理、風險和合規性專業人員,用於合規性態勢評估和報告
- 工程師和架構師,他們需要設計零信任和 TIC 3.0 一致的工作負載
- 安全分析師,用於警示和自動化建置
- 受控安全性服務提供者 (MSSP),負責提供諮詢服務
- 安全性管理員,需要檢閱需求、分析報告、評估功能
必要條件
在安裝零信任 (TIC 3.0) 解決方案之前,請確定您具備下列必要條件:
上線 Microsoft 服務:確定在 Azure 訂用帳戶中同時啟用了 Microsoft Sentinel 和 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 需求:在 Microsoft Defender for Cloud 中:
將所需的法規標準新增至儀表板。 請務必將 Microsoft Cloud 安全性基準和 NIST SP 800-53 R5 評量新增至 Microsoft Defender for Cloud 儀表板。 如需詳細資訊,請參閱 Microsoft Defender for Cloud 文件中的向儀表板新增法規標準。
持續將 Microsoft Defender for Cloud 的資料匯出至 Log Analytics 工作區。 如需詳細資訊,請參閱持續匯出 Microsoft Defender for Cloud 的資料。
必要的使用者權限。 若要安裝零信任 (TIC 3.0) 解決方案,必須具有安全性讀取者的權限來存取 Microsoft Sentinel 工作區。
零信任 (TIC 3.0) 解決方案也會透過與其他 Microsoft 服務整合來增強,例如:
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- Microsoft 資訊保護
- Microsoft Entra ID
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於雲端應用程式的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
安裝零信任 (TIC 3.0) 解決方案
若要從 Azure 入口網站部署 零信任 (TIC 3.0) 解決方案:
在 Microsoft Sentinel 中,選取 [內容中樞],然後找出 [零信任 (TIC 3.0)] 解決方案。
在右下角,選取 [檢視詳細資料],然後選取 [建立]。 選取您要安裝解決方案的訂閱、資源群組及工作區,然後檢閱將部署的相關安全性內容。
完成時,選取 [檢閱 + 建立] 以安裝解決方案。
如需詳細資訊,請參閱部署現成的內容和解決方案。
使用案例範例
下列各節顯示安全性作業分析師如何使用透過零信任 (TIC 3.0) 解決方案部署的資源來檢閱需求、探索查詢、設定警示以及實作自動化。
安裝零信任 (TIC 3.0) 解決方案之後,使用部署到 Microsoft Sentinel 工作區的活頁簿、分析規則和劇本來管理網路中的零信任。
將零信任資料可視化
瀏覽至 Microsoft Sentinel 的 [活頁簿]>[零信任 (TIC 3.0)] 活頁簿,然後選取 [檢視儲存的活頁簿]。
在 [零信任 (TIC 3.0) 活頁簿] 頁面中,選取要檢視的 TIC 3.0 功能。 對於此程序,選取 [入侵偵測]。
提示
使用頁面頂端的 [指南] 開關來顯示或隱藏建議和指南窗格。 請確定已在 [訂用帳戶]、[工作區] 和 [時間範圍] 選項中選取正確的詳細資料,以便檢視要尋找的特定資料。
選取想要顯示的控制卡。 對於此程序,選取 [調適型存取控制],然後繼續捲動以檢視顯示的卡片。
提示
使用左上方的 [指南] 切換來檢視或隱藏建議和指南窗格。 例如,當您首次存取活頁簿時,這些可能很有幫助,但一旦您了解相關的概念,這些指南就沒有必要了。
探索查詢。 例如,在 [調適型存取控制] 卡的右上方,選取三個點 [選項] 功能表,然後選取 [在記錄檢視中開啟上次執行查詢]。
查詢在 Microsoft Sentinel [記錄] 頁面中開啟:
設定與零信任相關的警示
在 Microsoft Sentinel 中,瀏覽至 [分析] 區域。 搜尋 TIC3.0,來檢視使用零信任 (TIC 3.0) 解決方案部署的現成分析規則。
根據預設,零信任 (TIC 3.0) 解決方案會安裝一組分析規則,這些規則設定為依控制系列監視零信任 (TIC 3.0) 態勢,並且您可以自訂臨界值,以警示合規性小組注意態勢的變化。
例如,如果您的工作負載的復原狀態在一週內低於指定的百分比,Microsoft Sentinel 會產生警示,以詳細說明相應的原則狀態 (通過/失敗)、已識別的資產、上次評估時間,並提供到 Microsoft Defender for Cloud 的深度連結以便採取補救動作。
根據需要更新規則或設定新的規則:
如需詳細資訊,請參閱建立自訂分析規則以偵測威脅。
使用 SOAR 進行回應
在 Microsoft Sentinel 中,瀏覽至 [自動化]>[使用中的劇本] 索引標籤,然後找到 Notify-GovernanceComplianceTeam 劇本。
使用此劇本自動監視 CMMC 警示,並透過電子郵件和 Microsoft Teams 訊息,以相關詳細資料通知治理合規性小組。 視需要修改劇本:
如需詳細資訊,請參閱使用 Microsoft Sentinel 劇本中的觸發程序和動作。
常見問題集
是否支援自訂檢視和報表?
是。 您可以自訂零信任 (TIC 3.0) 活頁簿,以便按訂用帳戶、工作區、時間、控制系列或成熟度層級參數來檢視資料,而且您可以匯出和列印活頁簿。
如需詳細資訊,請參閱使用 Azure 監視器活頁簿將資料視覺化並進行監視。
是否需要其他產品?
Microsoft Sentinel 和 Microsoft Defender for Cloud 都是必需的。
除了這些服務之外,每個控制卡都基於來自多個服務的資料,依卡片中顯示的資料和視覺效果類型而定。 超過 25 個 Microsoft 服務為零信任 (TIC 3.0) 解決方案提供了豐富的內容。
對於沒有資料的面板,我該怎麼辦?
沒有資料的面板為解決零信任和 TIC 3.0 控制需求提供了起點,包括解決各自控制的建議。
是否支援多個訂用帳戶、雲端和租用戶?
是。 您可以使用活頁簿參數、Azure Lighthouse 和 Azure Arc,在所有訂用帳戶、雲端和租用戶中運用零信任 (TIC 3.0) 解決方案。
如需詳細資訊,請參閱使用 Azure 監視器活頁簿將資料視覺化並進行監視以及作為 MSSP 在 Microsoft Sentinel 中管理多個租用戶。
是否支援合作夥伴整合?
是。 活頁簿和分析規則均為可自訂的,以便與合作夥伴服務整合。
如需詳細資訊,請參閱使用 Azure 監視器活頁簿將資料視覺化並進行監視以及在警示中的介面自訂事件詳細資料。
此解決方案是否在政府區域中使用?
是。 零信任 (TIC 3.0) 解決方案目前為公開預覽版,可部署至商業/政府區域。 如需詳細資訊,請參閱適用於商業和美國政府客戶的雲端功能可用性。
使用此內容需要哪些權限?
Microsoft Sentinel 參與者使用者可以建立並編輯活頁簿、分析規則及其他 Microsoft Sentinel 資源。
Microsoft Sentinel 讀者可檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。
如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。
下一步
如需詳細資訊,請參閱
觀看我們的影片:
閱讀我們的部落格!