Sdílet prostřednictvím


Další oblasti nulová důvěra (Zero Trust) adresované v zprávě 22-09

Další články v těchto doprovodných materiálech se zabývají pilířem identit nulová důvěra (Zero Trust) principů, jak je popsáno v Americkém úřadu pro správu a rozpočet (OMB) M 22-09 Memoria pro hlavy výkonných oddělení a agentur. Tento článek se zabývá oblastmi modelu vyspělosti nulová důvěra (Zero Trust) nad rámec pilíře identity a zabývá se následujícími motivy:

  • Viditelnost
  • Analýzy
  • Automatizace a orchestrace
  • Řízení

Viditelnost

Je důležité monitorovat vašeho tenanta Microsoft Entra. Předpokládejme, že porušení zásad a splňuje standardy dodržování předpisů v dokumentu 22-09 a Memomesu 21-31. Pro analýzu zabezpečení a příjem dat se používají tři primární typy protokolů:

  • Protokoly auditu Azure pro monitorování provozních aktivit adresáře, jako je vytváření, odstraňování, aktualizace objektů, jako jsou uživatelé nebo skupiny
    • Slouží také k provádění změn konfigurací Microsoft Entra, jako jsou úpravy zásad podmíněného přístupu.
    • Viz protokoly auditu v Microsoft Entra ID
  • Protokoly zřizování obsahují informace o objektech synchronizovaných z Microsoft Entra ID do aplikací, jako je Service Now s Microsoft Identity Managerem.
  • Protokoly přihlašování Microsoft Entra pro monitorování aktivit přihlašování přidružených k uživatelům, aplikacím a instančním objektům.
    • Protokoly přihlašování mají kategorie pro diferenciaci
    • Interaktivní přihlášení zobrazují úspěšné a neúspěšné přihlášení, použité zásady a další metadata
    • Neinteraktivní přihlášení uživatelů nezobrazují během přihlašování žádnou interakci: klienti, kteří se přihlašují jménem uživatele, jako jsou mobilní aplikace nebo e-mailové klienty
    • Přihlášení instančního objektu zobrazují instanční objekt nebo přihlašování k aplikacím: služby nebo aplikace, které přistupují ke službám, aplikacím nebo adresáři Microsoft Entra prostřednictvím rozhraní REST API.
    • Spravované identity pro přihlášení k prostředkům Azure: Prostředky Azure nebo aplikace, které přistupují k prostředkům Azure, jako je služba webových aplikací, která se ověřuje v back-endu Azure SQL.
    • Viz protokoly přihlášení v Microsoft Entra ID (Preview)

V tenantech Microsoft Entra ID Free se položky protokolu ukládají sedm dní. Tenanti s licencí Microsoft Entra ID P1 nebo P2 uchovávají položky protokolu po dobu 30 dnů.

Ujistěte se, že protokoly ingestuje nástroje pro správu událostí (SIEM) a informace o zabezpečení. Události přihlašování a auditu slouží ke korelaci s aplikačními, infrastrukturou, daty, zařízeními a síťovými protokoly.

Doporučujeme integrovat protokoly Microsoft Entra s Microsoft Sentinelem. Nakonfigurujte konektor pro příjem protokolů tenanta Microsoft Entra.

Další informace:

Pro tenanta Microsoft Entra můžete nakonfigurovat nastavení diagnostiky tak, aby odesílala data do účtu služby Azure Storage, do služby Azure Event Hubs nebo do pracovního prostoru služby Log Analytics. Pomocí těchto možností úložiště můžete integrovat další nástroje SIEM ke shromažďování dat.

Další informace:

Analýzy

Pomocí analýz v následujících nástrojích můžete agregovat informace z ID Microsoft Entra a zobrazit trendy ve vašem stavu zabezpečení ve srovnání s výchozími hodnotami. Analýzy můžete použít také k vyhodnocení a vyhledání vzorů nebo hrozeb v rámci ID Microsoft Entra.

  • Microsoft Entra ID Protection analyzuje přihlášení a další zdroje telemetrie za účelem rizikového chování.
    • Ochrana ID přiřadí rizikové skóre událostem přihlašování.
    • Zabránění přihlášení nebo vynucení podrobného ověřování pro přístup k prostředku nebo aplikaci na základě skóre rizika
    • Podívejte se, co je ochrana ID?
  • Sestavy využití a přehledů Microsoft Entra mají podobné informace jako sešity Azure Sentinelu, včetně aplikací s nejvyšším využitím nebo trendů přihlašování.
  • Microsoft Sentinel analyzuje informace z Microsoft Entra ID:

Automatizace a orchestrace

Automatizace v nulová důvěra (Zero Trust) pomáhá napravit výstrahy z důvodu hrozeb nebo změn zabezpečení. Integrace automatizace v Microsoft Entra ID pomáhají objasnit akce, které zlepšují stav zabezpečení. Automatizace je založená na informacích přijatých z monitorování a analýz.

K programovému přístupu k MICROSOFT Entra ID použijte volání ROZHRANÍ REST rozhraní Microsoft Graph API. Tento přístup vyžaduje identitu Microsoft Entra s autorizací a oborem. S rozhraním Graph API integrujte další nástroje.

Doporučujeme nastavit funkci Azure nebo aplikaci logiky Azure tak, aby používala spravovanou identitu přiřazenou systémem. Aplikace logiky nebo funkce má kroky nebo kód pro automatizaci akcí. Přiřaďte spravované identitě oprávnění k udělení oprávnění k provádění akcí v adresáři instančního objektu. Udělte spravovaným identitám minimální práva.

Další informace: Co jsou spravované identity pro prostředky Azure?

Dalším bodem integrace automatizace jsou moduly Microsoft Graph PowerShellu. Pomocí Microsoft Graph PowerShellu můžete provádět běžné úlohy nebo konfigurace v MICROSOFT Entra ID nebo začlenit do funkcí Azure nebo runbooků Azure Automation.

Řízení

Zdokumentujte procesy pro provoz prostředí Microsoft Entra. Použití funkcí Microsoft Entra pro funkce zásad správného řízení použité na obory v Microsoft Entra ID.

Další informace:

Další kroky