Požadavek Microsoft Entra ID a PCI-DSS 10
Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a požadavkům na definovaný přístup k datům
držitelů karet
10.1 Procesy a mechanismy pro protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet jsou definovány a zdokumentované.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou identifikovány v požadavku 10, jsou: Zdokumentováno v aktualizovaném stavu Při použití známé všem postiženým stranám |
Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
| 10.1.2 Role a odpovědnosti za provádění aktivit v požadavku 10 jsou zdokumentované, přiřazené a srozumitelné. | Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
10.2 Protokoly auditu se implementují tak, aby podporovaly detekci anomálií a podezřelých aktivit a forenzní analýzu událostí.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.2.1 Protokoly auditu jsou povoleny a aktivní pro všechny systémové komponenty a data držitelů karet. | Archivujte protokoly auditu Microsoft Entra, abyste získali změny zásad zabezpečení a konfigurace tenanta Microsoft Entra. Archivujte protokoly aktivit Microsoft Entra v systému pro správu událostí a informací o zabezpečení (SIEM), abyste se dozvěděli o využití. Protokoly aktivit Microsoft Entra ve službě Azure Monitor |
| 10.2.1.1 Protokoly auditu zaznamenávají veškerý přístup jednotlivých uživatelů k datům držitelů karet. | Nevztahuje se na MICROSOFT Entra ID. |
| 10.2.1.2 Protokoly auditu zaznamenávají všechny akce prováděné jednotlivými osobami s přístupem pro správu, včetně interaktivního používání aplikačních nebo systémových účtů. | Nevztahuje se na MICROSOFT Entra ID. |
| 10.2.1.3 Protokoly auditu zaznamenávají veškerý přístup k protokolům auditu. | V Microsoft Entra ID nemůžete vymazat ani upravovat protokoly. Privilegovaní uživatelé můžou dotazovat protokoly z Microsoft Entra ID. Nejméně privilegované role podle úlohy v Microsoft Entra ID Při exportu protokolů auditu do systémů, jako je pracovní prostor služby Azure Log Analytics, účty úložiště nebo systémy SIEM třetích stran, je monitorujte pro přístup. |
| 10.2.1.4 Protokoly auditu zaznamenávají všechny neplatné pokusy o logický přístup. | Microsoft Entra ID generuje protokoly aktivit, když se uživatel pokusí přihlásit pomocí neplatných přihlašovacích údajů. Generuje protokoly aktivit při odepření přístupu kvůli zásadám podmíněného přístupu. |
| 10.2.1.5 Protokoly auditu zaznamenávají všechny změny identifikačních a ověřovacích přihlašovacích údajů, včetně, ale nikoli pouze: Vytvoření nových účtů Zvýšení oprávnění Všechny změny, dodatky nebo odstranění účtů s přístupem pro správu |
ID Microsoft Entra generuje protokoly auditu pro události v tomto požadavku. |
| Protokoly auditu 10.2.1.6 zachycují následující: Všechna inicializace nových protokolů auditu a všechna spuštění, zastavení nebo pozastavení existujících protokolů auditu. |
Nevztahuje se na MICROSOFT Entra ID. |
| 10.2.1.7 Protokoly auditu zaznamenávají veškeré vytváření a odstraňování objektů na úrovni systému. | ID Microsoft Entra generuje protokoly auditu pro události v tomto požadavku. |
| 10.2.2 Protokoly auditu zaznamenávají následující podrobnosti pro každou auditovatelnou událost: Identifikace uživatele. Typ události. Datum a čas Indikace úspěchu a selhání Původ události. Identita nebo název ovlivněných dat, systémová komponenta, prostředek nebo služba (například název a protokol). |
Viz protokoly auditu v Microsoft Entra ID |
10.3 Protokoly auditu jsou chráněny před zničením a neoprávněnými úpravami.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.3.1 Přístup pro čtení k souborům protokolů auditu je omezený na ty, které potřebují související s úlohou. | Privilegovaní uživatelé můžou dotazovat protokoly z Microsoft Entra ID. Nejméně privilegované role podle úlohy v Microsoft Entra ID |
| 10.3.2 Soubory protokolu auditu jsou chráněny, aby se zabránilo úpravám jednotlivců. | V Microsoft Entra ID nemůžete vymazat ani upravovat protokoly. Když se protokoly auditu exportují do systémů, jako je pracovní prostor Služby Azure Log Analytics, účty úložiště nebo systémy SIEM třetích stran, monitorujte je pro přístup. |
| 10.3.3 Soubory protokolu auditu, včetně souborů pro externí technologie, se okamžitě zálohují na zabezpečené, centrální, interní protokolovací servery nebo jiná média, která se obtížně upravují. | V Microsoft Entra ID nemůžete vymazat ani upravovat protokoly. Když se protokoly auditu exportují do systémů, jako je pracovní prostor Služby Azure Log Analytics, účty úložiště nebo systémy SIEM třetích stran, monitorujte je pro přístup. |
| 10.3.4 Mechanismy monitorování integrity souborů nebo detekce změn se používají v protokolech auditu, aby se zajistilo, že existující data protokolu nelze změnit bez generování výstrah. | V Microsoft Entra ID nemůžete vymazat ani upravovat protokoly. Když se protokoly auditu exportují do systémů, jako je pracovní prostor Služby Azure Log Analytics, účty úložiště nebo systémy SIEM třetích stran, monitorujte je pro přístup. |
10.4 Protokoly auditu se kontrolují za účelem identifikace anomálií nebo podezřelých aktivit.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.4.1 Následující protokoly auditu jsou zkontrolovány alespoň jednou denně: Všechny události zabezpečení. Protokoly všech systémových komponent, které ukládají, zpracovávají nebo přenášejí data držitelů karet (CHD) nebo citlivá ověřovací data (SAD). Protokoly všech důležitých systémových komponent. Protokoly všech serverů a systémových komponent, které provádějí funkce zabezpečení (například kontrolní mechanismy zabezpečení sítě, systémy detekce neoprávněných vniknutí/ systémy ochrany před neoprávněným vniknutím (IDS/IPS), ověřovací servery). |
Do tohoto procesu zahrňte protokoly Microsoft Entra. |
| Automatizované mechanismy 10.4.1.1 slouží k provádění kontrol protokolu auditu. | Do tohoto procesu zahrňte protokoly Microsoft Entra. Konfigurace automatizovaných akcí a upozorňování při integraci protokolů Microsoft Entra se službou Azure Monitor Nasazení služby Azure Monitor: Upozornění a automatizované akce |
| 10.4.2 Protokoly všech ostatních systémových komponent (ty, které nejsou uvedeny v požadavku 10.4.1) se pravidelně kontrolují. | Nevztahuje se na MICROSOFT Entra ID. |
| 10.4.2.1 Četnost pravidelných kontrol protokolu pro všechny ostatní systémové součásti (není definována v požadavku 10.4.1) je definována v cílové analýze rizik entity, která se provádí podle všech prvků uvedených v požadavku 12.3.1. | Nevztahuje se na MICROSOFT Entra ID. |
| Řeší se výjimky a anomálie zjištěné během procesu kontroly 10.4.3 . | Nevztahuje se na MICROSOFT Entra ID. |
10.5 Historie protokolu auditu je zachována a k dispozici pro analýzu.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.5.1 Zachovat historii protokolu auditu nejméně po dobu 12 měsíců, přičemž alespoň poslední tři měsíce jsou okamžitě k dispozici pro analýzu. | Integrujte se službou Azure Monitor a exportujte protokoly pro dlouhodobou archivaci. Informace o zásadách uchovávání dat protokolů Microsoft Entra najdete v protokolech Služby Azure Monitor. Uchovávání dat protokolu Microsoft Entra |
10.6 Mechanismy synchronizace času podporují konzistentní nastavení času ve všech systémech.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| Systémové hodiny a čas 10.6.1 se synchronizují pomocí technologie synchronizace času. | Seznamte se s mechanismem synchronizace času ve službách Azure. Synchronizace času pro finanční služby v Azure |
| Systémy 10.6.2 jsou nakonfigurovány na správný a konzistentní čas následujícím způsobem: Jeden nebo více určených časových serverů se používá. Pouze určené centrální časové servery přijímají čas z externích zdrojů. Čas přijatý z externích zdrojů vychází z mezinárodního atomového času nebo koordinovaného univerzálního času (UTC). Určené časové servery přijímají aktualizace času pouze z konkrétních externích zdrojů přijatých odvětvím. Pokud existuje více než jeden určený časový server, časové servery spolu vzájemně peeringujte, aby zůstal přesný čas. Interní systémy přijímají informace o čase pouze z určených centrálních časových serverů. |
Seznamte se s mechanismem synchronizace času ve službách Azure. Synchronizace času pro finanční služby v Azure |
| 10.6.3 Nastavení synchronizace času a data jsou chráněny následujícím způsobem: Přístup k časovým datům je omezen pouze na pracovníky s obchodní potřebou. Všechny změny nastavení času v kritických systémech se protokolují, monitorují a kontrolují. |
ID Microsoft Entra spoléhá na mechanismy synchronizace času v Azure. Postupy Azure synchronizují servery a síťová zařízení s 1 časovými servery NTP Stratum synchronizovanými s globálními satelity GPS (Positioning System). Synchronizace probíhá každých pět minut. Azure zajišťuje, že služba hostuje čas synchronizace. Synchronizace času pro finanční služby v hybridních komponentách Azure v ID Microsoft Entra, jako jsou servery Microsoft Entra Connect, komunikují s místní infrastrukturou. Zákazník vlastní časovou synchronizaci místních serverů. |
10.7 Chyby kritických systémů řízení zabezpečení jsou zjištěny, hlášeny a odpověděly na výzvu.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 10.7.2 Další požadavek pouze pro poskytovatele služeb: Chyby kritických systémů řízení zabezpečení jsou zjištěny, upozorněny a vyřešeny okamžitě, včetně, ale ne omezené na selhání následujících důležitých systémů řízení zabezpečení: Monitorování integrity souborů SÍTĚ (FIM) Antimalwarová řešení (FIM) Antimalwarová řešení Fyzické řízení přístupu Řízení logického přístupu Řízení protokolování auditování mechanismu segmentace ( pokud se používá) |
ID Microsoft Entra spoléhá na mechanismy synchronizace času v Azure. podpora Azure analýzu událostí v reálném čase v provozním prostředí. Interní systémy infrastruktury Azure generují výstrahy událostí téměř v reálném čase o potenciálním ohrožení zabezpečení. |
| 10.7.2 Selhání kritických systémů řízení zabezpečení jsou zjištěna, upozorněna a vyřešena okamžitě, včetně, ale ne omezené na selhání následujících důležitých systémů řízení zabezpečení: Mechanismy kontroly zabezpečení sítě IDS/IP Change-detection mechanismy Antimalwarové řešení Fyzické řízení přístupu Logické řízení přístupu Logické řízení přístupu Mechanismy protokolování audit mechanismů segmentace protokolů auditování (pokud se používá) Mechanismy kontroly protokolu auditování Automatizované nástroje pro testování zabezpečení (pokud se používají) |
Viz příručka k operacím zabezpečení Microsoft Entra |
| 10.7.3 Selhání všech důležitých systémů kontrolních mechanismů zabezpečení jsou okamžitě zodpovězeny, včetně mimo jiné: Obnovení funkcí zabezpečení. Identifikace a zdokumentování doby trvání (datum a čas od začátku do konce) selhání zabezpečení Identifikace a zdokumentování příčin selhání a zdokumentování požadovaných náprav. Identifikace a řešení všech problémů se zabezpečením, které vznikly během selhání Určení, jestli se v důsledku selhání zabezpečení vyžadují další akce. Implementace kontrolních mechanismů, které brání opakovanému výskytu příčiny selhání Obnovení monitorování bezpečnostních prvků |
Viz příručka k operacím zabezpečení Microsoft Entra |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet (tady jste)
- Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS