Compartir a través de


Configuración de controles adicionales para cumplir el novel de impacto de FedRAMP High

La siguiente lista de controles y mejoras de control puede requerir la configuración del inquilino de Microsoft Entra.

Cada fila de las tablas siguientes proporciona instrucciones prescriptivas. Estas instrucciones le ayudan a desarrollar la respuesta de su organización a las responsabilidades compartidas respecto al control o la mejora del control.

Auditoría y responsabilidad

Las instrucciones de la tabla siguiente pertenecen a:

  • AU-2 Auditoría de eventos
  • AU-3 Contenido de la auditoría
  • AU-6 Revisión, análisis e informes de auditoría
Id. de control y descripción de FedRAMP Instrucciones y recomendaciones de Microsoft Entra
AU-2 Auditoría de eventos
La organización:
(a.) Determina que el sistema de información es capaz de auditar los siguientes eventos: [Asignación de FedRAMP: [Eventos de inicio de sesión de cuenta correctos e incorrectos, eventos de administración de cuentas, acceso a objetos, cambio de directiva, funciones de privilegios, seguimiento de procesos y eventos del sistema. Para las aplicaciones web: toda la actividad de administrador, comprobaciones de autenticación, comprobaciones de autorización, eliminaciones de datos, acceso a datos, cambios de datos y cambios de permisos];
(b.) Coordina la función de auditoría de seguridad con las demás entidades organizativas que requieren información relacionada con la auditoría para mejorar el respaldo mutuo y ayudar a guiar la selección de los eventos auditables;
(c.) La organización proporciona un fundamento de por qué los eventos auditables se consideran como adecuados para respaldar las investigaciones posteriores al hecho de los incidentes de seguridad; y
(d.) Determine que los siguientes eventos se van a auditar dentro del sistema de información: [Asignación de FedRAMP: subconjunto definido por la organización de los eventos auditables definidos en AU-2 a. que se auditarán continuamente para cada evento identificado].

Requisitos e instrucciones adicionales de FedRAMP de AU-2:
Requisito: La coordinación entre el proveedor de servicios y el consumidor se documentará y aceptará mediante el JAB/AO.

Contenido y registros de auditoría de AU-3
El sistema de información genera los registros de auditoría que contienen la información que establece el tipo de evento que se produjo, cuándo se produjo el evento, dónde se produjo, el origen del evento, el resultado del mismo y la identidad de cualquier individuo o sujeto asociado con el evento.

AU-3(1)
El sistema de información genera registros de auditoría que contienen la información adicional siguiente: [Asignación de FedRAMP: información adicional más detallada definida por la organización].

Requisitos e instrucciones adicionales de FedRAMP de AU-3 (1):
Requisito: El proveedor de servicios define los tipos de registros de auditoría [Asignación de FedRAMP: sesión, conexión, transacción o duración de la actividad; para las transacciones de cliente-servidor, el número de bytes recibidos y bytes enviados; mensajes informativos adicionales para diagnosticar o identificar el evento; características que describen o identifican el objeto o recurso que se está actuando; identidades individuales de usuarios de cuentas de grupo; texto completo de comandos con privilegios]. Los tipos de registro de auditoría son aprobados y aceptados por el JAB/AO.
Guía: En el caso de las transacciones de cliente-servidor, el número de bytes enviados y recibidos proporciona información de transferencia bidireccional que puede ser útil durante una investigación o consulta.

AU-3(2)
El sistema de información proporciona la configuración y administración centralizada del contenido que se va a capturar en los registros de auditoría generados por [Asignación de FedRAMP: toda la red, el almacenamiento de datos y los dispositivos informáticos].
Asegúrese de que el sistema es capaz de auditar los eventos definidos en la parte a de AU-2. Coordine con otras entidades dentro del subconjunto de eventos auditables de la organización para admitir investigaciones posteriores. Implemente la administración centralizada de los registros de auditoría.

Todas las operaciones de ciclo de vida de la cuenta (creación, modificación, habilitación, deshabilitación y eliminación de cuentas) se auditan dentro de los registros de auditoría de Microsoft Entra. Todos los eventos de autenticación y autorización se auditan en los registros de inicio de sesión de Microsoft Entra y los riesgos detectados se auditan en los registros de Protección de id. de Microsoft Entra. Puede transmitir cada uno de estos registros directamente a una solución de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. También puede usar Azure Event Hubs para integrar registros con soluciones SIEM de terceros.

Eventos de auditoría

  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • Informes de actividad de inicio de sesión en el Centro de administración de Microsoft Entra
  • Cómo: Investigar los riesgos

    Integraciones de SIEM

  • Microsoft Sentinel: Conexión de datos desde Microsoft Entra ID
  • Transmisión a un centro de eventos de Azure y a otros SIEM
  • Revisión, análisis e informes de auditoría de AU-6
    La organización:
    (a.) Revisa y analiza los registros de auditoría del sistema de información [Asignación de FedRAMP: al menos semanalmente] para las indicaciones de [Asignación de FedRAMP: actividad inapropiada o inusual definida por la organización]; y
    (b.) La organización informa las conclusiones a [Asignación: roles o personal definidos por la organización].
    Requisitos e instrucciones adicionales de FedRAMP de AU-6:
    Requisito: La coordinación entre el proveedor de servicios y el consumidor se documentará y aceptará mediante el Oficial de Autorización. En entornos multiinquilino, se documentarán las funcionalidades y los medios para proporcionar revisión, análisis e informes al consumidor para los datos relativos al consumidor.

    AU-6(1)
    La organización emplea mecanismos automatizados para integrar los procesos de revisión, análisis e informes de auditoría para admitir los procesos organizacionales para investigar y responder a las actividades sospechosas.

    AU-6(3)
    La organización analiza y pone en correlación los registros de auditoría en distintos repositorios para obtener conocimiento sobre la situación en toda la organización.

    AU-6(4)
    El sistema de información proporciona la funcionalidad de revisar y analizar de manera central los registros de auditoría de varios componentes dentro del sistema.

    AU-6(5)
    La organización integra el análisis de los registros de auditoría con el análisis de [Selección de FedRAMP (una o varias opciones): información de examen de vulnerabilidades; datos de rendimiento; información de supervisión del sistema de información;datos de prueba de penetración; [Asignación: Información y datos definidos por la organización recopilados de otros orígenes]] para mejorar aún más la capacidad de identificar actividad no habitual o inadecuada.

    AU-6(6)
    La organización pone en correlación la información proveniente de los registros de auditoría con la información que se obtiene de la supervisión del acceso físico para seguir mejorando la capacidad de identificar actividad sospechosa, inadecuada, no habitual o malintencionada.
    Requisitos e instrucciones adicionales de FedRAMP de AU-6:
    Requisito: La coordinación entre el proveedor de servicios y el consumidor se documentará y aceptará mediante el JAB/AO.

    AU-6(7)
    La organización especifica las acciones permitidas para cada [Selección de FedRAMP (una o varias opciones): usuario, rol, proceso del sistema de información] que esté asociado con la revisión, el análisis y los informes de la información de auditoría.

    AU-6(10)
    La organización ajusta el nivel de la revisión, el análisis y los informes de auditoría dentro del sistema de información cuando se produce un cambio en el riesgo basado en la información de autoridades judiciales, la información de inteligencia u otros orígenes de información confiables.
    Revisar y analizar los registros de auditoría al menos una vez a la semana para identificar actividades inapropiadas o inusuales, e informar de los resultados al personal adecuado.

    Las instrucciones proporcionadas anteriormente para AU-02 y AU-03 permiten revisar semanalmente los registros de auditoría y los informes al personal adecuado. No puede cumplir estos requisitos solo con Microsoft Entra ID. También debe usar una solución SIEM como Microsoft Sentinel. Para obtener más información, consulte ¿Qué es Microsoft Sentinel?

    Respuesta a incidentes

    Las instrucciones de la tabla siguiente pertenecen a:

    • IR-4 Tratamiento de incidentes

    • IR-5 Supervisión de incidentes

    Id. de control y descripción de FedRAMP Instrucciones y recomendaciones de Microsoft Entra
    IR-4 Tratamiento de incidentes
    La organización:
    IR-4.a La organización implementa una funcionalidad de tratamiento de los incidentes de seguridad que incluye preparación, detección y análisis, contención, erradicación y recuperación;
    (b.) Coordina las actividades de tratamiento de incidentes con las actividades de plan de contingencia; y
    (c.) Incorpora las lecciones aprendidas a partir de las actividades continuas de tratamiento de incidentes en los procedimientos, el aprendizaje y las pruebas o ejercicios de los procedimientos de respuesta a los incidentes e implementa los cambios resultantes según corresponda.
    Requisitos e instrucciones adicionales de FedRAMP de IR-4:
    Requisito: El proveedor de servicios garantiza que las personas que realizan el control de incidentes cumplan los requisitos de seguridad del personal de acuerdo con la importancia y sensibilidad de la información que está procesando, almacenando y transmitiendo el sistema de información.

    IR-04(1)
    La organización emplea mecanismos automatizados para admitir el proceso de tratamiento de incidentes.

    IR-04(2)
    La organización incluye la reconfiguración dinámica de [Asignación de FedRAMP: toda la red, el almacenamiento de datos y los dispositivos informáticos] como parte de la funcionalidad de respuesta a incidentes.

    IR-04(3)
    La organización identifica [Asignación: clases de incidentes definidas por la organización] y [Asignación: acciones definidas por la organización que se deben realizar en respuesta a clases de incidentes] para garantizar la continuación de las funciones empresariales y las misiones organizacionales.

    IR-04(4)
    La organización pone en correlación la información de incidentes y las respuestas a los incidentes individuales para lograr una perspectiva a nivel de la organización sobre el reconocimiento de incidentes y la respuesta a ellos.

    IR-04(6)
    La organización implementa la funcionalidad de tratamiento de incidentes para las amenazas internas.

    IR-04(8)
    La organización implementa la funcionalidad de tratamiento de incidentes para las amenazas internas.
    La organización se coordina con [Asignación de FedRAMP: organizaciones externas, incluidos los respondedores de incidentes de consumidor y los defensores de red y el equipo de respuesta a incidentes de consumidor (CIRT)/ equipo de respuesta de emergencia (CERT) (por ejemplo, US-CERT, DoD CERT, IC CERT)] para correlacionar y compartir [Asignación: información de incidentes definida por la organización] para lograr una perspectiva entre organizaciones sobre el reconocimiento de incidentes y respuestas a incidentes más eficaces.

    Supervisión de incidentes de IR-05
    La organización realiza el seguimiento y documenta los incidentes de seguridad del sistema de información.

    IR-05(1)
    La organización emplea mecanismos automatizados para ayudar en el seguimiento de los incidentes de seguridad y en la recopilación y el análisis de la información sobre los incidentes.
    Implemente funcionalidades de control y supervisión de incidentes. Ahí se incluye la gestión automatizada de incidentes, la reconfiguración dinámica, la continuidad de las operaciones, la correlación de la información, las amenazas internas, la correlación con organizaciones externas, la supervisión de incidentes y el seguimiento automatizado.

    Los registros de auditoría registran todos los cambios de configuración. Los eventos de autenticación y autorización se auditan en los registros de inicio de sesión, y los riesgos detectados se auditan en los registros de Protección de id. de Microsoft Entra. Puede transmitir cada uno de estos registros directamente a una solución SIEM, como Microsoft Sentinel. También puede usar Azure Event Hubs para integrar registros con soluciones SIEM de terceros. Automatice la reconfiguración dinámica en función de los eventos dentro de SIEM mediante Microsoft Graph PowerShell.

    Eventos de auditoría

  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • Informes de actividad de inicio de sesión en el Centro de administración de Microsoft Entra
  • Cómo: Investigar los riesgos

    Integraciones de SIEM

  • Microsoft Sentinel: Conexión de datos desde Microsoft Entra ID
  • Transmisión a un centro de eventos de Azure y a otros SIEM
  • Seguridad del personal

    Las instrucciones de la tabla siguiente pertenecen a:

    • PS-4 Finalización del contrato del personal
    Id. de control y descripción de FedRAMP Instrucciones y recomendaciones de Microsoft Entra
    PS-4
    Finalización del contrato del personal

    La organización, tras la terminación del empleo individual:
    (a.) Deshabilita el acceso al sistema de información dentro de [Asignación de FedRAMP: ocho (8) horas];
    (b.) Finaliza o revoca los autenticadores o credenciales asociados a la persona;
    (c.) Realiza entrevistas de salida que incluyen una discusión de [Asignación: temas de seguridad de la información definidos por la organización];
    (d.) Recupera toda la propiedad relacionada con el sistema de información de la organización relacionada con la seguridad;
    (e.) Conserva el acceso a la información de la organización y a los sistemas de información controlados anteriormente por personas terminadas; y
    (f.) Notifica [ Asignación: al personal o a los roles definidos por la organización] en [Asignación: periodo de tiempo definido por la organización].

    PS-4(2)
    La organización emplea mecanismos automatizados para notificar a [Asignación de FedRAMP: personal de control de acceso responsable de deshabilitar el acceso al sistema] tras la finalización de una persona.
    Informar automáticamente al personal responsable de deshabilitar el acceso al sistema.

    Deshabilite las cuentas y revoque todos los autenticadores y credenciales asociados en un plazo de 8 horas.

    Configure el aprovisionamiento (incluida la deshabilitación tras la finalización) de las cuentas de Microsoft Entra ID desde sistemas de RR. UU. externos, Active Directory local o directamente en la nube. Ponga fin a todo el acceso al sistema revocando las sesiones existentes.

    Aprovisionamiento de cuentas

  • Consulte instrucciones detalladas en AC-02.

    Revocación de todos los autenticadores asociados

  • Revocación del acceso de usuario en Microsoft Entra ID
  • Integridad del sistema y de la información

    Las instrucciones de la tabla siguiente pertenecen a:

    • SI-4 Supervisión del sistema de información
    Id. de control y descripción de FedRAMP Instrucciones y recomendaciones de Microsoft Entra
    Supervisión del sistema de información SI-4
    La organización:
    (a.) Supervisa el sistema de información para detectar:
    (1.) Ataques e indicadores de posibles ataques de acuerdo con [Asignación: objetivos de supervisión definidos por la organización]; y
    (2.) Conexiones locales, de red y remotas no autorizadas;
    (b) Identifica el uso no autorizado del sistema de información a través de [Asignación: métodos y técnicas definidos por la organización];
    (c.) Implementa los dispositivos de supervisión (i) estratégicamente dentro del sistema de información para recopilar información esencial determinada por la organización; y (ii)en ubicaciones ad hoc dentro del sistema para realizar el seguimiento de determinados tipos de transacciones de interés para la organización;
    (d.) Protege la información obtenida de las herramientas de supervisión de la intrusión frente al acceso, la modificación y la eliminación no autorizados;
    (e.) Aumenta el nivel de la actividad de supervisión del sistema de información siempre que haya una indicación de mayor riesgo para las operaciones de la organización y los recursos, las personas, otras organizaciones o la nación según la información de cumplimiento de las leyes, información de inteligencia u otros orígenes confiables de información;
    (f.) Obtiene opinión jurídica en relación con las actividades de supervisión del sistema de información de conformidad con las leyes federales, los decretos, las directivas y otra normativa aplicable; y
    (g.) Proporciona la [Asignación: información de supervisión del sistema de información definido por la organización] para [Asignación: el personal o los roles definidos por la organización] [Selección (uno o varios): según sea necesario; [Asignación: frecuencia definida por la organización]].
    Requisitos e instrucciones adicionales de FedRAMP de SI-4:
    Guía: Consulte las Directrices de informes de respuesta a incidentes de US-CERT).

    SI-04(1)
    La organización se conecta con las herramientas de detección de intrusiones individuales y las configura en un sistema de detección de intrusiones que abarca todo el entorno.
    Implementar un sistema de supervisión y detección de intrusos en todo el sistema de información.

    Incluya todos los registros de Microsoft Entra (auditoría, inicio de sesión, protección de identidad) en la solución de supervisión del sistema de información.

    Transmita registros de Microsoft Entra a una solución SIEM (consulte IA-04).                                                                              

    Pasos siguientes

    Configuración de controles de acceso

    Configuración de los controles de identificación y autenticación

    Configuración de otros controles