Monitorování architektur zabezpečení nulová důvěra (Zero Trust) (TIC 3.0) pomocí služby Microsoft Sentinel
nulová důvěra (Zero Trust) je strategie zabezpečení pro navrhování a implementaci následujících sad principů zabezpečení:
Explicitní ověření | Použití přístupu s nejnižšími oprávněními | Předpokládat porušení zabezpečení |
---|---|---|
Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. | Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. | Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. |
Tento článek popisuje, jak používat řešení Microsoft Sentinel nulová důvěra (Zero Trust) (TIC 3.0), které pomáhá týmům zásad správného řízení a dodržování předpisů monitorovat a reagovat na nulová důvěra (Zero Trust) požadavky podle iniciativy TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Řešení Microsoft Sentinel jsou sady sbalovaného obsahu předem nakonfigurovaného pro konkrétní sadu dat. Řešení nulová důvěra (Zero Trust) (TIC 3.0) zahrnuje sešit, analytická pravidla a playbook, který poskytuje automatizovanou vizualizaci principů nulová důvěra (Zero Trust), která je křížově přecházela k architektuře Trust Internet Connections a pomáhá organizacím monitorovat konfigurace v průběhu času.
Poznámka:
Získejte komplexní přehled o stavu nulová důvěra (Zero Trust) vaší organizace pomocí iniciativy nulová důvěra (Zero Trust) ve službě Microsoft Exposure Management. Další informace najdete v tématu Rychlá modernizace stavu zabezpečení pro nulová důvěra (Zero Trust) | Microsoft Learn.
Řešení nulová důvěra (Zero Trust) a architektura TIC 3.0
nulová důvěra (Zero Trust) a TIC 3.0 nejsou stejné, ale sdílejí mnoho společných motivů a společně poskytují společný příběh. Řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) nabízí podrobné přechody mezi Microsoft Sentinelem a modelem nulová důvěra (Zero Trust) s architekturou TIC 3.0. Tyto přechody pomáhají uživatelům lépe porozumět překrývání mezi těmito dvěma.
I když řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) poskytuje osvědčené postupy, Microsoft nezaručuje ani neznamená dodržování předpisů. Všechny požadavky, ověřování a kontroly důvěryhodného internetového připojení (TIC) se řídí agenturou pro zabezpečení kyberbezpečnosti a infrastruktury.
Řešení nulová důvěra (Zero Trust) (TIC 3.0) poskytuje přehledné a situační povědomí o požadavcích na kontrolu požadavků poskytovaných technologiemi Microsoftu v převážně cloudových prostředích. Činnost zákazníka se bude lišit podle uživatele a některá podokna můžou vyžadovat další konfigurace a úpravy dotazů pro operaci.
Doporučení neznamenají pokrytí příslušných kontrol, protože jsou často jedním z několika způsobů akce pro přístup k požadavkům, což je pro každého zákazníka jedinečné. Doporučení by měla být považována za výchozí bod pro plánování plného nebo částečného pokrytí příslušných požadavků na kontrolu.
Řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) je užitečné pro některé z následujících uživatelů a případů použití:
- Odborníci na zásady správného řízení zabezpečení, rizika a dodržování předpisů pro posouzení stavu dodržování předpisů a vytváření sestav
- Technici a architekti, kteří potřebují navrhovat nulová důvěra (Zero Trust) a úlohy v souladu s TIC 3.0
- Analytici zabezpečení pro vytváření výstrah a automatizace
- Poskytovatelé spravovaných služeb zabezpečení (MSSP) pro konzultační služby
- Správci zabezpečení, kteří potřebují kontrolovat požadavky, analyzovat sestavy, vyhodnocovat možnosti
Požadavky
Před instalací řešení nulová důvěra (Zero Trust) (TIC 3.0) se ujistěte, že máte následující požadavky:
Onboarding služby Microsoft: Ujistěte se, že máte ve svém předplatném Azure povolený Microsoft Sentinel i Microsoft Defender for Cloud.
Požadavky microsoft Defenderu pro cloud: V Programu Microsoft Defender pro cloud:
Přidejte na řídicí panel požadované zákonné standardy. Nezapomeňte do řídicího panelu Microsoft Defenderu pro cloud přidat srovnávací test zabezpečení Microsoftu i hodnocení NIST SP 800-53 R5. Další informace najdete v dokumentaci k Microsoft Defenderu pro cloud přidáním regulačního standardu na řídicí panel .
Nepřetržitě exportujte data Microsoft Defenderu pro cloud do pracovního prostoru služby Log Analytics. Další informace najdete v tématu Průběžný export dat v programu Microsoft Defender for Cloud.
Požadovaná uživatelská oprávnění Pokud chcete nainstalovat řešení nulová důvěra (Zero Trust) (TIC 3.0), musíte mít přístup ke svému pracovnímu prostoru Služby Microsoft Sentinel s oprávněními čtenáře zabezpečení.
Řešení nulová důvěra (Zero Trust) (TIC 3.0) je také rozšířeno integrací s dalšími službami Microsoftu, například:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender pro Office 365
Instalace řešení nulová důvěra (Zero Trust) (TIC 3.0)
Nasazení řešení nulová důvěra (Zero Trust) (TIC 3.0) z webu Azure Portal:
V Microsoft Sentinelu vyberte Centrum obsahu a vyhledejte řešení nulová důvěra (Zero Trust) (TIC 3.0).
V pravém dolním rohu vyberte Zobrazit podrobnosti a pak Vytvořte. Vyberte předplatné, skupinu prostředků a pracovní prostor, do kterého chcete řešení nainstalovat, a zkontrolujte související obsah zabezpečení, který se nasadí.
Až budete hotovi, vyberte Zkontrolovat a vytvořit a nainstalujte řešení.
Další informace najdete v tématu Nasazení předefinovaných obsahu a řešení.
Ukázkový scénář použití
Následující části ukazují, jak může analytik operací zabezpečení používat prostředky nasazené pomocí řešení nulová důvěra (Zero Trust) (TIC 3.0) ke kontrole požadavků, zkoumání dotazů, konfiguraci výstrah a implementaci automatizace.
Po instalaci řešení nulová důvěra (Zero Trust) (TIC 3.0) použijte sešit, analytická pravidla a playbook nasazený do pracovního prostoru Služby Microsoft Sentinel ke správě nulová důvěra (Zero Trust) ve vaší síti.
Vizualizace dat nulová důvěra (Zero Trust)
Přejděte do sešitu Microsoft Sentinel Workbooks> nulová důvěra (Zero Trust) (TIC 3.0) a vyberte Zobrazit uložený sešit.
Na stránce sešitu nulová důvěra (Zero Trust) (TIC 3.0) vyberte možnosti TIC 3.0, které chcete zobrazit. Pro účely tohoto postupu vyberte Detekci neoprávněných vniknutí.
Tip
Pomocí přepínače Průvodce v horní části stránky zobrazte nebo skryjte doporučení a podokna vodítka. Ujistěte se, že jsou v možnostech Předplatné, Pracovní prostor a Časové uspořádání vybrané správné podrobnosti, abyste mohli zobrazit konkrétní data, která chcete najít.
Vyberte karty ovládacích prvků, které chcete zobrazit. Pro účely tohoto postupu vyberte Adaptivní řízení přístupu a pak pokračujte posouváním zobrazte zobrazenou kartu.
Tip
Pomocí přepínače Vodítka v levém horním rohu můžete zobrazit nebo skrýt doporučení a podokna vodítka. To může být užitečné například při prvním přístupu k sešitu, ale nepotřebné, jakmile pochopíte relevantní koncepty.
Prozkoumejte dotazy. Například v pravém horním rohu karty adaptivního řízení přístupu vyberte nabídku tří tečkových možností a pak v zobrazení Protokoly vyberte Otevřít poslední spuštěný dotaz.
Dotaz se otevře na stránce Protokolů Microsoft Sentinelu:
Konfigurace výstrah souvisejících s nulová důvěra (Zero Trust)
V Microsoft Sentinelu přejděte do oblasti Analýza . Pomocí řešení nulová důvěra (Zero Trust) (TIC 3.0) vyhledejte TIC3.0.
Ve výchozím nastavení řešení nulová důvěra (Zero Trust) (TIC 3.0) nainstaluje sadu analytických pravidel nakonfigurovaných pro monitorování stavu nulová důvěra (Zero Trust) (TIC3.0) podle řady ovládacích prvků a můžete přizpůsobit prahové hodnoty pro upozorňování týmů dodržování předpisů na změny stavu.
Pokud například stav odolnosti vaší úlohy klesne pod zadané procento v týdnu, Microsoft Sentinel vygeneruje výstrahu s podrobnostmi o příslušném stavu zásad (pass/fail), identifikovaných prostředků, čas posledního posouzení a poskytne přímé odkazy na akce microsoft Defenderu for Cloud pro nápravu.
Podle potřeby aktualizujte pravidla nebo nakonfigurujte novou:
Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.
Reakce pomocí SOAR
V Microsoft Sentinelu přejděte na kartu Aktivní playbooky Automation>a vyhledejte playbook Notify-GovernanceComplianceTeam.
Pomocí tohoto playbooku můžete automaticky monitorovat výstrahy řadiče pro správu základní desky a informovat tým dodržování zásad správného řízení relevantními podrobnostmi prostřednictvím e-mailu i zpráv Microsoft Teams. Podle potřeby upravte playbook:
Další informace najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinelu.
Nejčastější dotazy
Podporují se vlastní zobrazení a sestavy?
Ano. Sešit nulová důvěra (Zero Trust) (TIC 3.0) můžete přizpůsobit tak, aby zobrazoval data podle předplatného, pracovního prostoru, času, ovládacího rodinného účtu nebo parametrů na úrovni vyspělosti a můžete sešit exportovat a vytisknout.
Další informace najdete v tématu Použití sešitů služby Azure Monitor k vizualizaci a monitorování dat.
Vyžadují se další produkty?
Vyžaduje se Microsoft Sentinel i Microsoft Defender for Cloud.
Kromě těchto služeb je každá řídicí karta založená na datech z více služeb v závislosti na typech dat a vizualizací zobrazených na kartě. Více než 25 služby Microsoft poskytuje obohacení řešení nulová důvěra (Zero Trust) (TIC 3.0).
Co mám dělat s panely bez dat?
Panely bez dat poskytují výchozí bod pro řešení požadavků na řízení nulová důvěra (Zero Trust) a TIC 3.0, včetně doporučení pro řešení příslušných kontrol.
Podporuje se více předplatných, cloudů a tenantů?
Ano. Pomocí parametrů sešitu, Azure Lighthouse a Azure Arc můžete využít řešení nulová důvěra (Zero Trust) (TIC 3.0) ve všech vašich předplatných, cloudech a tenantech.
Další informace najdete v tématu Použití sešitů služby Azure Monitor k vizualizaci a monitorování dat a správě více tenantů v Microsoft Sentinelu jako poskytovatele MSSP.
Podporuje se integrace partnerů?
Ano. Sešity i analytická pravidla jsou přizpůsobitelná pro integraci s partnerskými službami.
Další informace najdete v tématu Použití sešitů Azure Monitoru k vizualizaci a monitorování dat a vlastních podrobností o událostech Surface v upozorněních.
Je tato možnost dostupná v oblastech státní správy?
Ano. Řešení nulová důvěra (Zero Trust) (TIC 3.0) je ve verzi Public Preview a je možné ho nasadit do komerčních nebo veřejných oblastí. Další informace najdete v tématu Dostupnost funkcí cloudu pro komerční zákazníky a zákazníky státní správy USA.
Jaká oprávnění se vyžadují k používání tohoto obsahu?
Uživatelé přispěvatele Microsoft Sentinelu můžou vytvářet a upravovat sešity, analytická pravidla a další prostředky Microsoft Sentinelu.
Uživatelé čtenáře Microsoft Sentinelu můžou zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.
Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
Další kroky
Další informace naleznete v tématu:
- Začínáme s Microsoft Sentinelem
- Vizualizace a monitorování dat pomocí sešitů
- Microsoft nulová důvěra (Zero Trust) Model
- nulová důvěra (Zero Trust) Deployment Center
Podívejte se na naše videa:
- Ukázka: Řešení Microsoft Sentinel nulová důvěra (Zero Trust) (TIC 3.0)
- Microsoft Sentinel: Ukázka sešitu nulová důvěra (Zero Trust) (TIC 3.0)
Přečtěte si naše blogy!
- Oznámení řešení Microsoft Sentinel: nulová důvěra (Zero Trust) (TIC3.0)
- Sestavování a monitorování úloh nulová důvěra (Zero Trust) (TIC 3.0) pro federální informační systémy pomocí Služby Microsoft Sentinel
- nulová důvěra (Zero Trust): 7 strategií přechodu od vedoucích pracovníků zabezpečení
- Implementace nulová důvěra (Zero Trust) s Microsoft Azure: Správa identit a přístupu (6. část)