Weitere im Memorandum 22-09 behandelte Zero Trust-Bereiche
Die anderen Artikel in diesem Leitfaden befassen sich mit der Identitätssäule der Zero Trust-Prinzipien, wie im Memorandum des US Office of Management and Budget (OMB) M 22-09 Memorandum für die Leiter der Exekutivabteilungen und Behörden beschrieben. Dieser Artikel befasst sich mit den Bereichen des Zero Trust-Reifegradmodells, die über die Identitätssäule hinausgehen, und geht auf die folgenden Themen ein:
- Sichtbarkeit
- Analyse
- Automatisierung und Orchestrierung
- Governance
Sichtbarkeit
Es ist wichtig, Ihren Microsoft Entra-Mandanten zu überwachen. Gehen Sie von einer Sicherheitsverletzung aus, und erfüllen Sie die Compliance-Standards, die im Memorandum 22-09 und Memorandum 21-31 festgelegt sind. Drei primäre Protokolltypen werden für Sicherheitsanalyse und Erfassung verwendet:
- Azure-Überwachungsprotokolle für die Überwachung operativer Aktivitäten des Verzeichnisses, z. B. Erstellen, Löschen und Aktualisieren von Objekten wie Benutzer oder Gruppen
- Auch verwendbar, um Änderungen an Microsoft Entra-Konfigurationen vorzunehmen, z. B. Änderungen an einer Richtlinie für bedingten Zugriff
- Überwachungsprotokolle in Microsoft Entra ID
- Bereitstellungsprotokolle enthalten Informationen zu Objekten, die über Microsoft Identity Manager von Microsoft Entra ID mit Anwendungen wie Service Now synchronisiert werden
- Weitere Informationen finden Sie unter Bereitstellen von Protokollen in Microsoft Entra ID
- Microsoft Entra-Anmeldeprotokolle für die Überwachung von Anmeldeaktivitäten, die mit Benutzern, Anwendungen und Dienstprinzipalen verbunden sind.
- Anmeldeprotokolle enthalten Kategorien zur Unterscheidung.
- Interaktive Anmeldungen zeigen erfolgreiche und fehlgeschlagene Anmeldungen, angewendete Richtlinien und andere Metadaten an.
- Nicht interaktive Benutzeranmeldungen zeigen keine Interaktion während der Anmeldung an: Clients, die sich im Namen des Benutzers anmelden, z. B. mobile Anwendungen oder E-Mail-Clients.
- Dienstprinzipalanmeldungen zeigen die Dienstprinzipal- oder Anwendungsanmeldung an: Dienste oder Anwendungen, die über die REST-API auf Dienste, Anwendungen oder das Microsoft Entra-Verzeichnis zugreifen.
- Verwaltete Identitäten für die Azure-Ressourcenanmeldung: Azure-Ressourcen oder Anwendungen, die auf Azure-Ressourcen zugreifen, wie z. B. ein Webanwendungsdienst, der sich bei einem Azure SQL-Backend authentifiziert.
- Anmeldeprotokolle in Microsoft Entra ID (Vorschau)
In Microsoft Entra ID Free-Mandanten werden Protokolleinträge sieben Tage lang gespeichert. Mandanten mit einer Microsoft Entra-ID P1- oder P2-Lizenz behalten Protokolleinträge 30 Tage lang bei.
Stellen Sie sicher, dass ein Security Information and Event Management (SIEM)-Tool Protokolle erfasst. Korrelieren Sie Anmelde- und Überwachungsereignisse mit Anwendungs-, Infrastruktur-, Daten-, Geräte- und Netzwerkprotokollen.
Es wird empfohlen, Microsoft Entra-Protokolle in Microsoft Sentinel zu integrieren. Konfigurieren Sie einen Connector zum Erfassen von Microsoft Entra-Mandantenprotokollen.
Weitere Informationen:
Sie können die Diagnoseeinstellungen für den Microsoft Entra-Mandanten konfigurieren, um die Daten an ein Azure Storage-Konto, Azure Event Hubs oder einen Log Analytics-Arbeitsbereich zu senden. Verwenden Sie diese Speicheroptionen, um andere SIEM-Tools zum Sammeln der Daten zu integrieren.
Weitere Informationen:
- Was wird von Microsoft Entra überwacht?
- Bereitstellungsabhängigkeiten für Microsoft Entra-Berichterstellung und -Überwachung
Analyse
Sie können Analysen in den folgenden Tools verwenden, um Informationen aus Microsoft Entra ID zu aggregieren und Trends bei Ihrem Sicherheitsstatus im Vergleich zu Ihrer Baseline anzuzeigen. Sie können Analysen auch Microsoft Entra ID-übergreifend als Möglichkeit für die Suche nach Mustern oder Bedrohungen und deren Bewertung verwenden.
- Microsoft Entra ID Protection analysiert Anmeldungen und andere Telemetriedatenquellen auf risikobehaftetes Verhalten
- ID Protection weist Anmeldeereignissen eine Risikobewertung zu
- Verhindern Sie Anmeldungen, oder erzwingen Sie eine schrittweise Authentifizierung für den Zugriff auf eine Ressource oder Anwendung auf Basis der Risikobewertung
- Siehe Was ist ID Protection?
- Microsoft Entra-Nutzungs- und Erkenntnisberichte enthalten Informationen, die mit denen in Microsoft Sentinel-Arbeitsmappen vergleichbar sind, unter anderem Anwendungen mit den höchsten Nutzungs- oder Anmeldetrends.
- Verwenden von Berichten, um aggregierte Trends zu verstehen, die auf einen Angriff oder andere Ereignisse hinweisen können
- Siehe Nutzung von und Erkenntnisse in Microsoft Entra ID
- Microsoft Sentinel analysiert Informationen aus Microsoft Entra AD:
- Microsoft Sentinel User and Entity Behavior Analytics (UEBA) liefert Informationen zu potenziellen Bedrohungen von Benutzer-, Host-, IP-Adressen- und Anwendungsentitäten.
- Verwenden Sie Analyseregelvorlagen,um in Ihren Microsoft Entra-Protokollen nach Bedrohungen und Warnungen zu suchen. Ihr Sicherheits- oder Vorgangsanalyst kann die Bedrohungen selektieren und beseitigen.
- Microsoft Sentinel-Arbeitsmappen helfen bei der Visualisierung von Microsoft Entra-Datenquellen. Siehe Anmeldungen nach Land/Region oder Anwendungen.
- Siehe Häufig verwendete Microsoft Sentinel-Arbeitsmappen.
- Siehe Visualisieren gesammelter Daten.
- Siehe Identifizieren erweiterter Bedrohungen mit UEBA in Microsoft Sentinel.
Automatisierung und Orchestrierung
Automation in Zero Trust hilft, Warnungen aufgrund von Bedrohungen oder Sicherheitsänderungen zu beheben. In Microsoft Entra ID helfen Automationintegrationen bei der Klärung von Maßnahmen zur Verbesserung Ihres Sicherheitsstatus. Automation basiert auf Informationen, die von der Überwachung und Analyse empfangen werden.
Verwenden Sie Microsoft Graph-API REST-Aufrufe, um programmgesteuert auf Microsoft Entra ID zuzugreifen. Dieser Zugriff erfordert eine Microsoft Entra-Identität mit Autorisierungen und Umfang. Integrieren Sie andere Tool mit der Graph-API.
Wir empfehlen, eine Azure-Funktion oder Azure-Logik-App einzurichten, um eine systemseitig zugewiesene verwaltete Identität zu verwenden. Die Logik-App oder -Funktion verfügt über Schritte oder Code, um Aktionen automatisch auszuführen. Weisen Sie der verwalteten Identität Berechtigungen zu, um dem Dienstprinzipal die Verzeichnisberechtigungen zum Ausführen der Aktionen zu gewähren. Erteilen Sie verwalteten Identitäten Mindestberechtigungen.
Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?
Eine weitere Stelle zum Integrieren der Automatisierung sind Microsoft Graph PowerShell-Module. Verwenden Sie Microsoft Graph PowerShell, um allgemeine Aufgaben oder Konfigurationen in Microsoft Entra ID auszuführen, oder integrieren Sie sie in Azure Functions oder Azure Automation-Runbooks.
Governance
Dokumentieren Sie Ihre Prozesse für den Betrieb der Microsoft Entra-Umgebung. Verwenden Sie Microsoft Entra-Features für Governancefunktionen, die auf Bereiche in Microsoft Entra ID angewendet werden.
Weitere Informationen:
- Referenzhandbuch für Microsoft Entra ID Governance-Vorgänge
- Leitfaden für Microsoft Entra-SecOps
- Was ist Microsoft Entra ID Governance?
- Erfüllen Sie die Autorisierungsanforderungen des Memorandums 22-09.
Nächste Schritte
- Erfüllen der Identitätsanforderungen des Memorandums 22-09 mit Microsoft Entra ID
- Unternehmensweites Identitätsverwaltungssystem
- Erfüllen der Anforderungen an eine Multi-Faktor-Authentifizierung im Memorandum 22-09
- Erfüllen der Autorisierungsanforderungen des Memorandums 22-09
- Sicherstellung der Identität mit Zero Trust