Microsoft Entra ID und PCI-DSS-Anforderung 5
Anforderung 5: Schutz aller Systeme und Netzwerke vor bösartiger Software
Anforderungen des definierten Ansatzes
5.1 Prozesse und Mechanismen zum Schutz aller Systeme und Netzwerke vor Schadsoftware sind definiert und werden verstanden.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 5.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in Anforderung 5 identifiziert werden, sind: Dokumentiert Auf dem neuesten Stand In Gebrauch Allen betroffenen Parteien bekannt |
Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen. |
| 5.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 5 sind dokumentiert, zugewiesen und werden verstanden. | Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen. |
5.2 Bösartige Software (Malware) wird verhindert oder erkannt und adressiert.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 5.2.1 Antischadsoftwarelösungen sind auf allen Systemkomponenten bereitgestellt, mit Ausnahme der Systemkomponenten, die in regelmäßigen Auswertungen gemäß Anforderung 5.2.3 identifiziert wurden und zum Schluss kommen, dass die Systemkomponenten nicht durch Schadsoftware gefährdet sind. | Stellen Sie Richtlinien für bedingten Zugriff bereit, die Gerätekonformität erfordern. Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten Integrieren des Gerätekonformitätsstatus in Antischadsoftwarelösungen. Erzwingen der Konformität für Microsoft Defender for Endpoint mit bedingtem Zugriff in Intune Integration der Bedrohungsabwehr für Mobilgeräte mit Intune |
| 5.2.2 Die bereitgestellten Antischadsoftwarelösungen: Erkennen alle bekannten Arten von Schadsoftware. Entfernen, blockieren oder schränken alle bekannten Arten von Schadsoftware ein. |
Gilt nicht für Microsoft Entra ID. |
| 5.2.3 Alle Systemkomponenten, die nicht durch Schadsoftware gefährdet sind, werden regelmäßig ausgewertet, um Folgendes zu beinhalten: Eine dokumentierte Liste aller Systemkomponenten, die nicht durch Schadsoftware gefährdet sind. Identifizierung und Bewertung sich entwickelnder Schadsoftwarebedrohungen für diese Systemkomponenten. Bestätigung, ob solche Systemkomponenten weiterhin keinen Schutz durch Antischadsoftware erfordern. |
Gilt nicht für Microsoft Entra ID. |
| 5.2.3.1 Die Häufigkeit regelmäßiger Bewertungen von Systemkomponenten, die als nicht durch Malware gefährdet eingestuft werden, wird in der gezielten Risikoanalyse der Entität definiert, die gemäß allen in Anforderung 12.3.1 genannten Elementen durchgeführt wird. | Gilt nicht für Microsoft Entra ID. |
5.3 Antischadsoftwaremechanismen und -prozesse sind aktiv, unterhalten und werden überwacht.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 5.3.1 Die Antischadsoftwarelösungen werden durch automatische Updates auf dem neuesten Stand gehalten. | Gilt nicht für Microsoft Entra ID. |
| 5.3.2 Die Antischadsoftwarelösungen: Führen regelmäßige Scans und aktive oder Echtzeitscans durch. ODER Führen eine kontinuierliche Verhaltensanalyse von Systemen oder Prozessen durch. |
Gilt nicht für Microsoft Entra ID. |
| 5.3.2.1 Wenn regelmäßige Scans auf Malware durchgeführt werden, um die Anforderung 5.3.2 zu erfüllen, wird die Häufigkeit der Überprüfungen in der gezielten Risikoanalyse der Entität definiert, die gemäß allen in Anforderung 12.3.1 angegebenen Elementen durchgeführt wird. | Gilt nicht für Microsoft Entra ID. |
| 5.3.3 Für entfernbare elektronische Medien müssen die Antischadsoftwarelösungen: Automatische Scans durchführen, wenn das Medium eingefügt, verbunden oder logisch eingebunden wird, ODER Eine kontinuierliche Verhaltensanalyse von Systemen oder Prozessen durchführen, wenn die Medien eingefügt, verbunden oder logisch eingebunden werden. |
Gilt nicht für Microsoft Entra ID. |
| 5.3.4 Überwachungsprotokolle für die Antischadsoftwarelösungen sind aktiviert und werden gemäß Anforderung 10.5.1 aufbewahrt. | Gilt nicht für Microsoft Entra ID. |
| 5.3.5 Antischadsoftwaremechanismen können von Benutzern nicht deaktiviert oder geändert werden, es sei denn, sie werden vom Management im Einzelfall für einen begrenzten Zeitraum ausdrücklich dokumentiert und autorisiert. | Gilt nicht für Microsoft Entra ID. |
5.4 Antiphishing-Mechanismen schützen Benutzer vor Phishing-Angriffen.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 5.4.1 Es gibt Prozesse und automatisierte Mechanismen, um Phishing-Angriffe zu erkennen und Mitarbeiter davor zu schützen. | Konfigurieren Sie Microsoft Entra-ID, um Phishing-resistente Anmeldeinformationen zu verwenden. Überlegungen zur Implementierung von Phishing-resistenter MFA Verwenden Sie Kontrollen im bedingten Zugriff, um eine Authentifizierung mit Phishing-resistenten Anmeldeinformationen zu verlangen. Authentifizierungsstärke für bedingten Zugriff Die hierin enthaltenen Anleitungen beziehen sich auf die Identitäts- und Zugriffsverwaltungskonfiguration. Um Phishing-Angriffe zu minimieren, stellen Sie Workloadfunktionen bereit, wie z. B. in Microsoft 365. Antiphishing-Schutz in Microsoft 365 |
Nächste Schritte
Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.
- PCI-DSS-Leitfaden für Microsoft Entra
- Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
- Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
- Anforderung 5: Schutz aller Systeme und Netzwerke vor bösartiger Software (Sie sind hier)
- Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
- Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
- Anforderung 8: Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
- Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
- Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
- PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra