Sdílet prostřednictvím

Konfigurace dalších ovládacích prvků pro splnění vysoké úrovně dopadu FedRAMP

  • Článek

Následující seznam ovládacích prvků (a vylepšení ovládacích prvků) může vyžadovat konfiguraci ve vašem tenantovi Microsoft Entra.

Každý řádek v následujících tabulkách poskytuje podrobné pokyny. Tyto pokyny vám pomůžou při vývoji reakce vaší organizace na všechny sdílené odpovědnosti týkající se kontroly nebo vylepšení kontroly.

Audit a zodpovědnost

Pokyny v následující tabulce se týkají:

  • Události auditu AU-2
  • Obsah auditu AU-3
  • Kontrola, analýza a generování sestav auditu AU-6
ID a popis ovládacího prvku FedRAMP Microsoft Entra – pokyny a doporučení
Události auditu AU-2
Organizace:
(a.) Určuje, že informační systém dokáže auditovat následující události: [Přiřazení FedRAMP: [Úspěšné a neúspěšné události přihlášení účtu, události správy účtů, přístup k objektům, změna zásad, funkce oprávnění, sledování procesů a systémové události. Pro webové aplikace: všechny aktivity správce, kontroly ověřování, kontroly autorizace, odstranění dat, přístup k datům, změny dat a změny oprávnění];
(b.) Koordinuje funkci auditu zabezpečení s jinými organizačními entitami, které vyžadují informace související s auditem, aby se zlepšila vzájemná podpora a pomohla při výběru auditovatelných událostí;
(c.) Poskytuje odůvodnění toho, proč se auditovatelné události považují za přiměřené pro podporu po vyšetřování bezpečnostních incidentů; a
(d.) Určuje, že v informačním systému se mají auditovat následující události: [FedRAMP Assignment: organization-defined subset of the auditable events defined in AU-2 a. to be audited for each identifikovaná událost].

Další požadavky a pokyny pro FedRAMP pro AU-2:
Požadavek: Koordinace mezi poskytovatelem služeb a spotřebitelem musí být zdokumentovaná a přijatá JAB/AO.

Obsah AU-3 a záznamy auditu
Informační systém generuje záznamy auditu obsahující informace, které stanoví, k jakému typu události došlo, kdy došlo k události, kde došlo k události, zdroj události, výsledek události a identita všech jednotlivců nebo subjektů přidružených k události.

AU-3(1)
Informační systém generuje záznamy auditu obsahující následující další informace: [FedRAMP Assignment: organization-defined additional, more detailed information].

AU-3 (1) Další požadavky a pokyny fedRAMP:
Požadavek: Poskytovatel služeb definuje typy záznamů auditu [Přiřazení FedRAMP: relace, připojení, transakce nebo doba trvání aktivity; pro transakce klientského serveru, počet přijatých bajtů a bajtů odeslaných; další informační zprávy k diagnostice nebo identifikaci události; charakteristiky, které popisují nebo identifikují objekt nebo prostředek, na kterých se pracuje; jednotlivé identity uživatelů účtu skupiny; úplný text privilegovaných příkazů]. Typy záznamů auditu jsou schváleny a přijímány JAB/AO.
Pokyny: Počet odeslaných a přijatých bajtů pro transakce klienta a serveru poskytuje obousměrný přenos informací, které můžou být užitečné při vyšetřování nebo dotazu.

AU-3(2)
Informační systém poskytuje centralizovanou správu a konfiguraci obsahu, který se má zachytit v záznamech auditu vygenerovaných [Přiřazením FedRAMP: všechna síť, úložiště dat a výpočetní zařízení].		 Ujistěte se, že systém dokáže auditovat události definované v části AU-2. Koordinujte se s dalšími entitami v rámci podmnožiny auditovatelných událostí, které podporují šetření po faktech. Implementujte centralizovanou správu záznamů auditu.

Všechny operace životního cyklu účtu (vytváření, úpravy, povolení, zakázání a akce odebrání) se auditují v protokolech auditu Microsoft Entra. Všechny události ověřování a autorizace se auditují v protokolech přihlašování Microsoft Entra a všechna zjištěná rizika se auditují v protokolech Microsoft Entra ID Protection. Každý z těchto protokolů můžete streamovat přímo do řešení zabezpečení a správy událostí (SIEM), jako je Microsoft Sentinel. Případně můžete použít Azure Event Hubs k integraci protokolů s řešeními SIEM třetích stran.

Události auditu

  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Sestavy aktivit přihlašování v centru pro správu Microsoft Entra
  • Postup: Šetření rizik

    Integrace SIEM

  • Microsoft Sentinel: Připojení dat z Microsoft Entra ID
  • Streamování do centra událostí Azure a dalších siem
    		•
    Kontrola, analýza a vytváření sestav auditu AU-6
    Organizace:
    (a.) Kontroluje a analyzuje záznamy auditu informačního systému [Přiřazení FedRAMP: alespoň týdně] pro označení [Přiřazení: nevhodné nebo neobvyklé aktivity definované organizací]; a
    (b.) Hlásí zjištění [Přiřazení: pracovníky nebo role definované organizací].
    AU-6 Další požadavky a pokyny fedRAMP:
    Požadavek: Koordinace mezi poskytovatelem služeb a spotřebitelem musí být zdokumentována a přijata autorizací úředního úřadu. V prostředích s více tenanty musí být zdokumentovány možnosti a prostředky pro poskytování kontroly, analýzy a vykazování pro spotřebitele pro data týkající se spotřebitele.

    AU-6(1)
    Organizace využívá automatizované mechanismy pro integraci procesů kontroly auditu, analýzy a vytváření sestav, které podporují organizační procesy pro vyšetřování a reakci na podezřelé aktivity.

    AU-6(3)
    Organizace analyzuje a koreluje záznamy auditu napříč různými úložišti, aby získala povědomí o situaci v celé organizaci.

    AU-6(4)
    Informační systém poskytuje možnost centrálně kontrolovat a analyzovat záznamy auditu z více součástí systému.

    AU-6(5)
    Organizace integruje analýzu záznamů auditu s analýzou [FedRAMP Selection (jedna nebo více): informace kontroly ohrožení zabezpečení; údaje o výkonu; informace o monitorování informačního systému; penetrační testovací data; [Přiřazení: data definovaná organizací nebo informace shromážděné z jiných zdrojů]] pro další vylepšení schopnosti identifikovat nevhodné nebo neobvyklé aktivity.

    AU-6(6)
    Organizace koreluje informace ze záznamů auditu s informacemi získanými z monitorování fyzického přístupu, aby dále zlepšila schopnost identifikovat podezřelé, nevhodné, neobvyklé nebo podezřelé aktivity.
    AU-6 Další požadavky a pokyny fedRAMP:
    Požadavek: Koordinace mezi poskytovatelem služeb a spotřebitelem musí být zdokumentovaná a přijatá JAB/AO.

    AU-6(7)
    Organizace určuje povolené akce pro každý výběr FedRAMP (jeden nebo více): proces informačního systému; roli; uživatele] spojeného s kontrolou, analýzou a generováním sestav informací o auditu.

    AU-6(10)
    Organizace upravuje úroveň kontroly auditu, analýzy a generování sestav v informačním systému, pokud dojde ke změně rizika na základě informací o prosazování práva, informací o inteligenci nebo jiných důvěryhodných zdrojů informací.    		 Zkontrolujte a analyzujte záznamy auditu aspoň jednou týdně, abyste identifikovali nevhodné nebo neobvyklé aktivity a hlásili závěry příslušným pracovníkům.

    Předchozí pokyny uvedené pro AU-02 a AU-03 umožňují týdenní kontrolu záznamů auditu a podávání zpráv příslušným pracovníkům. Tyto požadavky nemůžete splnit pouze pomocí ID Microsoft Entra. Musíte také použít řešení SIEM, jako je Microsoft Sentinel. Další informace najdete v tématu Co je Microsoft Sentinel?.

    Reakce na incidenty

    Pokyny v následující tabulce se týkají:

    • Zpracování incidentů IR-4

    • Monitorování incidentů IR-5

    ID a popis ovládacího prvku FedRAMP Microsoft Entra – pokyny a doporučení
    Zpracování incidentů IR-4
    Organizace:
    (a.) Implementuje schopnost zpracování incidentů pro incidenty zabezpečení, které zahrnují přípravu, detekci a analýzu, omezení, eradikaci a zotavení;
    (b.) Koordinuje činnosti zpracování incidentů s aktivitami plánování nepředvídaných událostí; a
    (c.) Zahrnuje poznatky získané z probíhajících aktivit zpracování incidentů do postupů reakce na incidenty, trénování a testování/cvičení a odpovídajícím způsobem implementuje výsledné změny.
    IR-4 Další požadavky a pokyny pro FedRAMP:
    Požadavek: Poskytovatel služeb zajišťuje, aby jednotlivci provádějící zpracování incidentů splňovali požadavky na zabezpečení personálu v souladu se závažností a citlivostí zpracovávaných, uložených a přenášených informací informačním systémem.

    IR-04(1)
    Organizace využívá automatizované mechanismy pro podporu procesu zpracování incidentů.

    IR-04(2)
    Organizace zahrnuje dynamickou rekonfiguraci přiřazení [FedRAMP Assignment: všechna síťová, datová úložiště a výpočetní zařízení] jako součást funkce reakce na incidenty.

    IR-04(3)
    Organizace identifikuje [Přiřazení: třídy incidentů definované organizací] a [Přiřazení: akce definované organizací, které se mají provést v reakci na třídy incidentu] za účelem zajištění pokračování organizačních misí a obchodních funkcí.

    IR-04(4)
    Organizace koreluje informace o incidentech a individuální reakce na incidenty, aby bylo dosaženo přehledu a reakce na incidenty v celé organizaci.

    IR-04(6)
    Organizace implementuje schopnost zpracování incidentů pro vnitřní hrozby.

    IR-04(8)
    Organizace implementuje schopnost zpracování incidentů pro vnitřní hrozby.
    Organizace koordinuje [Přiřazení FedRAMP: externí organizace, včetně reakce na incidenty spotřebitelů a síťových defenderů a příslušného týmu reakce na incidenty spotřebitele (CIRT)/ týmu CERT (Computer Emergency Response Team) (například US-CERT, DoD CERT, IC CERT)] ke korelaci a sdílení [přiřazení: informace o incidentech definovaných organizací] za účelem dosažení perspektivy mezi organizacemi na povědomí o incidentech a efektivnějších reakcích na incidenty.

    Monitorování incidentů IR-05
    Organizace sleduje a dokumentuje incidenty zabezpečení informačního systému.

    IR-05(1)
    Organizace využívá automatizované mechanismy, které pomáhají při sledování incidentů zabezpečení a při shromažďování a analýze informací o incidentech.    		 Implementujte možnosti zpracování a monitorování incidentů. To zahrnuje automatizované zpracování incidentů, dynamickou rekonfiguraci, kontinuitu operací, korelaci informací, vnitřní hrozby, korelaci s externími organizacemi a monitorování incidentů a automatizované sledování.

    Protokoly auditu zaznamenávají všechny změny konfigurace. Události ověřování a autorizace se auditují v protokolech přihlašování a všechna zjištěná rizika se auditují v protokolech Microsoft Entra ID Protection. Každý z těchto protokolů můžete streamovat přímo do řešení SIEM, jako je Microsoft Sentinel. Případně můžete použít Azure Event Hubs k integraci protokolů s řešeními SIEM třetích stran. Automatizujte dynamickou rekonfiguraci na základě událostí v SYSTÉMU SIEM pomocí Prostředí Microsoft Graph PowerShell.

    Události auditu

  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Sestavy aktivit přihlašování v centru pro správu Microsoft Entra
  • Postup: Šetření rizik

    Integrace SIEM

  • Microsoft Sentinel: Připojení dat z Microsoft Entra ID
  • Streamování do centra událostí Azure a dalších siem
    		•

    Zabezpečení pracovníků

    Pokyny v následující tabulce se týkají:

    • Ukončení personálního oddělení PS-4
    ID a popis ovládacího prvku FedRAMP Microsoft Entra – pokyny a doporučení
    PS-4
    Ukončení personálního oddělení
    Organizace po ukončení individuálního zaměstnání:
    (a.) Zakáže přístup k informačnímu systému během [Přiřazení FedRAMP: osm (8) hodin];
    (b.) Ukončí nebo odvolá všechny ověřovací a přihlašovací údaje přidružené k osobě;
    (c.) Provede závěrečné rozhovory, které zahrnují diskuzi o [Přiřazení: témata zabezpečení informací definovaná organizací];
    (d.) Načte veškerou vlastnost související se zabezpečením související s informačním systémem organizace;
    (e.) Zachovává přístup k informacím organizace a informačním systémům dříve řízeným ukončeným jednotlivcem; a
    (f.) Upozorní [Přiřazení: pracovníky nebo role definované organizací] v rámci [Přiřazení: časové období definované organizací].

    PS-4(2)
    Organizace využívá automatizované mechanismy k oznamování [Přiřazení FedRAMP: pracovníci řízení přístupu zodpovědní za zakázání přístupu k systému] po ukončení jednotlivce.    		 Automaticky informujte pracovníky zodpovědné za zakázání přístupu k systému.

    Zakažte účty a během 8 hodin odvoláte všechny přidružené ověřovací objekty a přihlašovací údaje.

    Nakonfigurujte zřizování (včetně zákazu po ukončení) účtů v Microsoft Entra ID z externích systémů personálního oddělení, místní Active Directory nebo přímo v cloudu. Ukončete veškerý přístup k systému odvoláním existujících relací.

    Zřizování účtů

  • Podrobné pokyny najdete v ac-02.

    Odvolání všech přidružených ověřovacích modulů

  • Odvolání přístupu uživatele v nouzovém stavu v Microsoft Entra ID
    		•

    Integrita systémů a informací

    Pokyny v následující tabulce se týkají:

    • Monitorování informačního systému SI-4
    ID a popis ovládacího prvku FedRAMP Microsoft Entra – pokyny a doporučení
    Monitorování informačního systému SI-4
    Organizace:
    (a.) Monitoruje informační systém, aby zjistil:
    (1.) Útoky a indikátory potenciálních útoků v souladu s [přiřazením: cíle monitorování definované organizací]; a
    (2.) Neoprávněná místní, síťová a vzdálená připojení;
    (b.) Identifikuje neoprávněné použití informačního systému prostřednictvím [Přiřazení: techniky a metody definované organizací];
    (c.) Nasadí monitorovací zařízení (i) strategicky v informačním systému za účelem shromáždění základních informací určených organizací; a (ii) v ad hoc umístěních v rámci systému za účelem sledování konkrétních typů transakcí, které jsou pro organizaci zajímavé;
    (d.) Chrání informace získané z nástrojů pro monitorování neoprávněných vniknutí před neoprávněným přístupem, úpravou a odstraněním;
    (e.) Zvýší úroveň monitorovací činnosti informačního systému vždy, když dojde ke zvýšení rizika operací a prostředků organizace, jednotlivců, jiných organizací nebo národu na základě informací o prosazování práva, informací o inteligenci nebo jiných důvěryhodných zdrojů informací;
    (f.) Získá právní stanovisko týkající se činností monitorování informačních systémů v souladu s platnými federálními zákony, výkonnými příkazy, směrnicemi, politikami nebo předpisy; a
    (d.) Poskytuje [Přiřazení: informace monitorování informačního systému definovaného organizací] na [Přiřazení: pracovníky nebo role definované organizací] [Výběr (jeden nebo více): podle potřeby; [Přiřazení: frekvence definovaná organizací]].
    SI-4 Další požadavky fedRAMP a pokyny:
    Pokyny: Viz pokyny pro hlášení reakcí na incidenty US-CERT.

    SI-04(1)
    Organizace se připojuje a konfiguruje jednotlivé nástroje pro detekci neoprávněných vniknutí do informačního systému.    		 Implementujte monitorování celého informačního systému a systém detekce neoprávněných vniknutí.

    Do řešení pro monitorování informačního systému zahrňte všechny protokoly Microsoft Entra (Audit, Sign-in, ID Protection).

    Streamování protokolů Microsoft Entra do řešení SIEM (viz IA-04).                                                                              

    Další kroky

    Konfigurace řízení přístupu

    Konfigurace identifikačních a ověřovacích ovládacích prvků

    Konfigurace dalších ovládacích prvků