FedRAMP High Impact 수준을 충족하도록 추가 컨트롤 구성

아티클
10/29/2023

다음과 같은 컨트롤(및 컨트롤 기능 향상) 목록에는 Microsoft Entra ID 테넌트의 구성이 필요할 수 있습니다.

다음 표의 각 행은 규범적 지침을 제공합니다. 이 지침은 제어 또는 제어 개선 사항과 관련된 공유 책임에 대한 조직의 대응을 개발하는 데 도움이 됩니다.

감사 및 책임

다음 표의 지침은 다음과 관련이 있습니다.

AU-2 감사 이벤트
AU-3 감사 내용
AU-6 감사 검토, 분석, 보고

FedRAMP 컨트롤 ID 및 설명	Microsoft Entra 지침 및 권장 사항
AU-2 감사 이벤트 조직의 역할: (a.) 정보 시스템이 다음 이벤트를 감사할 수 있는지 확인합니다. [FedRAMP 할당: [성공 및 실패 계정 로그온 이벤트, 계정 관리 이벤트, 개체 액세스, 정책 변경, 권한 함수, 프로세스 추적 및 시스템 이벤트. 웹 애플리케이션의 경우 모든 관리자 작업, 인증 검사, 권한 부여 검사, 데이터 삭제, 데이터 액세스, 데이터 변경 및 사용 권한 변경];을 감사합니다. (b.) 감사 관련 정보를 필요로 하는 다른 조직 엔터티를 사용하여 보안 감사 기능을 조정하여 상호 지원을 강화하고 감사 가능 이벤트 선택을 돕습니다. (c.) 감사 가능 이벤트가 보안 인시던트에 대한 사후 조사를 지원하기에 충분한 것으로 간주되는 이유에 대한 근거를 제공합니다. (d.) 정보 시스템에서 다음 이벤트를 감사하도록 결정합니다. [FedRAMP 할당: 식별된 각 이벤트에 대해 지속적으로 감사하도록 AU-2 a에 정의된 감사 가능 이벤트의 조직 정의 하위 집합]. AU-2 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자와 소비자 간의 조정은 JAB/AO에서 문서화하고 수락해야 합니다. AU-3 콘텐츠 및 감사 레코드 정보 시스템은 발생한 이벤트의 유형, 이벤트가 발생한 시기, 이벤트가 발생한 위치, 이벤트 원본, 이벤트 결과 및 이벤트와 관련된 개인 또는 주체의 ID를 설정하는 정보가 포함된 감사 레코드를 생성합니다. AU-3(1) 정보 시스템은 [FedRAMP 할당: 조직에서 정의한 추가 세부 정보]와 같은 추가 정보를 포함하는 감사 레코드를 생성합니다. AU-3 (1) 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자는 감사 레코드 유형을 정의합니다. [FedRAMP 할당: 세션, 연결, 트랜잭션 또는 활동 기간, 클라이언트 서버 트랜잭션의 경우 수신 및 전송된 바이트 수, 이벤트를 진단하거나 식별하기 위한 추가 정보 메시지, 동작 중인 개체 또는 리소스를 설명하거나 식별하는 특성, 그룹 계정 사용자의 개별 ID, 권한 있는 명령의 전체 텍스트] 감사 레코드 유형은 JAB/AO에서 승인 및 수락합니다. 지침: 클라이언트-서버 트랜잭션의 경우 전송 및 수신된 바이트 수는 조사 또는 조회 중에 유용할 수 있는 양방향 전송 정보를 제공합니다. AU-3(2) 정보 시스템은 [FedRAMP 할당: 모든 네트워크, 데이터 스토리지 및 컴퓨팅 디바이스]에서 생성된 감사 레코드에서 캡처할 콘텐츠의 중앙 집중식 관리 및 구성을 제공합니다.	시스템이 AU-2 파트 a에 정의된 이벤트를 감사할 수 있는지 확인합니다. 사후 조사를 지원하기 위해 조직의 감사 가능한 이벤트 하위 집합 내의 다른 엔터티와 조정합니다. 감사 레코드의 중앙 집중식 관리를 구현합니다. 모든 계정 수명 주기 작업(계정 만들기, 수정, 사용, 사용 안 함, 제거 작업)은 Microsoft Entra 감사 로그 내에서 감사됩니다. 모든 인증 및 권한 부여 이벤트는 Microsoft Entra 로그인 로그 내에서 감사되며 탐지된 모든 위험은 Microsoft Entra ID Protection 로그에서 감사됩니다. 이러한 각 로그를 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션으로 직접 스트리밍할 수 있습니다. 또는 Azure Event Hubs를 사용하여 타사 SIEM 솔루션과 로그를 통합합니다. 감사 이벤트 Microsoft Entra 관리 센터의 감사 활동 보고서 Microsoft Entra 관리 센터의 로그인 활동 보고서 방법: 위험 조사 SIEM 통합 Microsoft Sentinel : Microsoft Entra ID에서 데이터 연결 Azure 이벤트 허브 및 기타 SIEM으로 스트림
AU-6 감사 검토, 분석, 보고 조직의 역할: (a.) [할당: 조직이 정의한 부적절하거나 비정상적인 활동]을 나타내기 위해 정보 시스템 감사 레코드를 [FedRAMP 할당: 적어도 매주] 검토하고 분석합니다. (b.) 결과를 [할당: 조직 정의 직원 또는 역할]에 보고합니다. AU-6 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자와 소비자 간의 조정은 권한 부여 담당자가 문서화하고 수락해야 합니다. 다중 테넌트 환경에서는 소비자와 관련된 데이터를 검토 및 분석하고 소비자에게 보고하기 위한 기능 및 수단을 문서화해야 합니다. AU-6(1) 조직은 자동화된 메커니즘을 사용하여 감사 검토, 분석 및 보고 프로세스를 통합하여 의심스러운 활동에 대해 조사 및 대응하도록 조직 프로세스를 지원합니다. AU-6(3) 조직은 서로 다른 리포지토리에서 감사 레코드를 분석하고 상호 연결시켜 조직 전체의 상황 인식을 지원합니다. AU-6(4) 정보 시스템은 시스템 내의 여러 구성 요소에 대한 감사 레코드를 중앙에서 검토하고 분석할 수 있는 기능을 제공합니다. AU-6(5) 조직은 감사 레코드 분석을 [FedRAMP 선택(하나 이상): 취약성 검색 정보, 성능 데이터, 정보 시스템 모니터링 정보, 침투 테스트 데이터, [할당: 조직에서 정의한 데이터/다른 원본에서 수집한 정보]] 분석과 통합하여 부적절하거나 비정상적인 활동을 식별하는 기능을 더욱 향상시킵니다. AU-6(6) 조직은 감사 레코드의 정보를 물리적 액세스 모니터링으로 얻은 정보와 상호 연결시켜 의심스럽거나 부적절하거나 비정상적이거나 악의적인 활동을 식별하는 기능을 더욱 향상시킵니다. AU-6 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자와 소비자 간의 조정은 JAB/AO에서 문서화하고 수락해야 합니다. AU-6(7) 조직은 감사 정보의 검토, 분석 및 보고와 관련된 각 [FedRAMP 선택(하나 이상): 정보 시스템 프로세스, 역할, 사용자]에 대해 허용된 작업을 지정합니다. AU-6(10) 조직은 법 적용 정보, 인텔리전스 정보 또는 정보의 기타 신뢰할 수 있는 원본을 기반으로 위험이 변경되는 경우 정보 시스템 내에서 감사 검토, 분석 및 보고의 수준을 조정합니다.	매주 한 번 이상 감사 레코드를 검토하고 분석하여 부적절하거나 비정상적인 활동을 파악하여 결과를 담당 직원에게 보고합니다. AU-02 및 AU-03에 대해 제공된 이전 지침에서는 감사 기록을 매주 검토하고 해당 담당자에게 보고할 수 있습니다. Microsoft Entra ID만 사용하여 이러한 요구 사항을 충족할 수는 없습니다. Microsoft Sentinel과 같은 SIEM 솔루션도 사용해야 합니다. 자세한 내용은 Microsoft Sentinel이란?을 참조하세요.

FedRAMP 컨트롤 ID 및 설명

Microsoft Entra 지침 및 권장 사항

AU-2 감사 이벤트
조직의 역할:
(a.) 정보 시스템이 다음 이벤트를 감사할 수 있는지 확인합니다. [FedRAMP 할당: [성공 및 실패 계정 로그온 이벤트, 계정 관리 이벤트, 개체 액세스, 정책 변경, 권한 함수, 프로세스 추적 및 시스템 이벤트. 웹 애플리케이션의 경우 모든 관리자 작업, 인증 검사, 권한 부여 검사, 데이터 삭제, 데이터 액세스, 데이터 변경 및 사용 권한 변경];을 감사합니다.
(b.) 감사 관련 정보를 필요로 하는 다른 조직 엔터티를 사용하여 보안 감사 기능을 조정하여 상호 지원을 강화하고 감사 가능 이벤트 선택을 돕습니다.
(c.) 감사 가능 이벤트가 보안 인시던트에 대한 사후 조사를 지원하기에 충분한 것으로 간주되는 이유에 대한 근거를 제공합니다.
(d.) 정보 시스템에서 다음 이벤트를 감사하도록 결정합니다. [FedRAMP 할당: 식별된 각 이벤트에 대해 지속적으로 감사하도록 AU-2 a에 정의된 감사 가능 이벤트의 조직 정의 하위 집합].

AU-2 추가 FedRAMP 요구 사항 및 지침:
요구 사항: 서비스 공급자와 소비자 간의 조정은 JAB/AO에서 문서화하고 수락해야 합니다.

AU-3 콘텐츠 및 감사 레코드
정보 시스템은 발생한 이벤트의 유형, 이벤트가 발생한 시기, 이벤트가 발생한 위치, 이벤트 원본, 이벤트 결과 및 이벤트와 관련된 개인 또는 주체의 ID를 설정하는 정보가 포함된 감사 레코드를 생성합니다.

AU-3(1)
정보 시스템은 [FedRAMP 할당: 조직에서 정의한 추가 세부 정보]와 같은 추가 정보를 포함하는 감사 레코드를 생성합니다.

AU-3 (1) 추가 FedRAMP 요구 사항 및 지침:
요구 사항: 서비스 공급자는 감사 레코드 유형을 정의합니다. [FedRAMP 할당: 세션, 연결, 트랜잭션 또는 활동 기간, 클라이언트 서버 트랜잭션의 경우 수신 및 전송된 바이트 수, 이벤트를 진단하거나 식별하기 위한 추가 정보 메시지, 동작 중인 개체 또는 리소스를 설명하거나 식별하는 특성, 그룹 계정 사용자의 개별 ID, 권한 있는 명령의 전체 텍스트] 감사 레코드 유형은 JAB/AO에서 승인 및 수락합니다.
지침: 클라이언트-서버 트랜잭션의 경우 전송 및 수신된 바이트 수는 조사 또는 조회 중에 유용할 수 있는 양방향 전송 정보를 제공합니다.

AU-3(2)
정보 시스템은 [FedRAMP 할당: 모든 네트워크, 데이터 스토리지 및 컴퓨팅 디바이스]에서 생성된 감사 레코드에서 캡처할 콘텐츠의 중앙 집중식 관리 및 구성을 제공합니다.

시스템이 AU-2 파트 a에 정의된 이벤트를 감사할 수 있는지 확인합니다. 사후 조사를 지원하기 위해 조직의 감사 가능한 이벤트 하위 집합 내의 다른 엔터티와 조정합니다. 감사 레코드의 중앙 집중식 관리를 구현합니다.

모든 계정 수명 주기 작업(계정 만들기, 수정, 사용, 사용 안 함, 제거 작업)은 Microsoft Entra 감사 로그 내에서 감사됩니다. 모든 인증 및 권한 부여 이벤트는 Microsoft Entra 로그인 로그 내에서 감사되며 탐지된 모든 위험은 Microsoft Entra ID Protection 로그에서 감사됩니다. 이러한 각 로그를 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션으로 직접 스트리밍할 수 있습니다. 또는 Azure Event Hubs를 사용하여 타사 SIEM 솔루션과 로그를 통합합니다.

감사 이벤트

Microsoft Entra 관리 센터의 감사 활동 보고서

Microsoft Entra 관리 센터의 로그인 활동 보고서

방법: 위험 조사

SIEM 통합

Microsoft Sentinel : Microsoft Entra ID에서 데이터 연결

Azure 이벤트 허브 및 기타 SIEM으로 스트림

AU-6 감사 검토, 분석, 보고
조직의 역할:
(a.) [할당: 조직이 정의한 부적절하거나 비정상적인 활동]을 나타내기 위해 정보 시스템 감사 레코드를 [FedRAMP 할당: 적어도 매주] 검토하고 분석합니다.
(b.) 결과를 [할당: 조직 정의 직원 또는 역할]에 보고합니다.
AU-6 추가 FedRAMP 요구 사항 및 지침:
요구 사항: 서비스 공급자와 소비자 간의 조정은 권한 부여 담당자가 문서화하고 수락해야 합니다. 다중 테넌트 환경에서는 소비자와 관련된 데이터를 검토 및 분석하고 소비자에게 보고하기 위한 기능 및 수단을 문서화해야 합니다.

AU-6(1)
조직은 자동화된 메커니즘을 사용하여 감사 검토, 분석 및 보고 프로세스를 통합하여 의심스러운 활동에 대해 조사 및 대응하도록 조직 프로세스를 지원합니다.

AU-6(3)
조직은 서로 다른 리포지토리에서 감사 레코드를 분석하고 상호 연결시켜 조직 전체의 상황 인식을 지원합니다.

AU-6(4)
정보 시스템은 시스템 내의 여러 구성 요소에 대한 감사 레코드를 중앙에서 검토하고 분석할 수 있는 기능을 제공합니다.

AU-6(5)
조직은 감사 레코드 분석을 [FedRAMP 선택(하나 이상): 취약성 검색 정보, 성능 데이터, 정보 시스템 모니터링 정보, 침투 테스트 데이터, [할당: 조직에서 정의한 데이터/다른 원본에서 수집한 정보]] 분석과 통합하여 부적절하거나 비정상적인 활동을 식별하는 기능을 더욱 향상시킵니다.

AU-6(6)
조직은 감사 레코드의 정보를 물리적 액세스 모니터링으로 얻은 정보와 상호 연결시켜 의심스럽거나 부적절하거나 비정상적이거나 악의적인 활동을 식별하는 기능을 더욱 향상시킵니다.
AU-6 추가 FedRAMP 요구 사항 및 지침:
요구 사항: 서비스 공급자와 소비자 간의 조정은 JAB/AO에서 문서화하고 수락해야 합니다.

AU-6(7)
조직은 감사 정보의 검토, 분석 및 보고와 관련된 각 [FedRAMP 선택(하나 이상): 정보 시스템 프로세스, 역할, 사용자]에 대해 허용된 작업을 지정합니다.

AU-6(10)
조직은 법 적용 정보, 인텔리전스 정보 또는 정보의 기타 신뢰할 수 있는 원본을 기반으로 위험이 변경되는 경우 정보 시스템 내에서 감사 검토, 분석 및 보고의 수준을 조정합니다.

매주 한 번 이상 감사 레코드를 검토하고 분석하여 부적절하거나 비정상적인 활동을 파악하여 결과를 담당 직원에게 보고합니다.

AU-02 및 AU-03에 대해 제공된 이전 지침에서는 감사 기록을 매주 검토하고 해당 담당자에게 보고할 수 있습니다. Microsoft Entra ID만 사용하여 이러한 요구 사항을 충족할 수는 없습니다. Microsoft Sentinel과 같은 SIEM 솔루션도 사용해야 합니다. 자세한 내용은 Microsoft Sentinel이란?을 참조하세요.

인시던트 대응

다음 표의 지침은 다음과 관련이 있습니다.

IR-4 인시던트 처리
IR-5 인시던트 모니터링

FedRAMP 컨트롤 ID 및 설명	Microsoft Entra 지침 및 권장 사항
IR-4 인시던트 처리 조직의 역할: (a.) 준비, 검색, 분석, 방지, 삭제 및 복구를 포함하는 보안 인시던트에 대한 인시던트 처리 기능을 구현합니다. (b.) 인시던트 처리 작업을 대체 계획 작업에 맞게 조정합니다. (c.) 계속되는 인시던트 처리 작업에서 진행 중 얻은 개선 사항을 인시던트 응답 절차, 교육 및 테스트/연습에 통합하고 그에 맞게 결과 변경을 구현합니다. IR-4 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자는 인시던트 처리를 수행하는 개인이 정보 시스템에서 처리, 저장 및 전송하는 정보의 중요도/민감도에 상응하는 직원 보안 요구 사항을 충족하도록 보장합니다. IR-04(1) 조직은 인시던트 처리 프로세스를 지원하는 자동화된 메커니즘을 사용합니다. IR-04(2) 조직은 인시던트 대응 기능의 일부로 [FedRAMP 할당: 모든 네트워크, 데이터 스토리지 및 컴퓨팅 디바이스]의 동적 재구성을 포함합니다. IR-04(3) [할당: 조직이 정의한 인시던트 클래스] 및 [할당: 인시던트 클래스에 대한 응답으로 수행할 조직이 정의한 작업]을 식별하여 조직의 임무 및 비즈니스 기능이 지속되도록 합니다. IR-04(4) 조직은 인시던트 정보 및 개별 인시던트 응답 간의 상관 관계를 분석하여 인시던트 인식 및 응답을 조직 차원에서 파악할 수 있습니다. IR-04(6) 조직은 내부자 위협에 대한 인시던트 처리 기능을 구현합니다. IR-04(8) 조직은 내부자 위협에 대한 인시던트 처리 기능을 구현합니다. 조직은 [FedRAMP 할당: 소비자 인시던트 대응자 및 네트워크 수비수를 포함한 외부 조직 및 적절한 CIRT(소비자 인시던트 대응 팀)/CERT(컴퓨터 비상 대응 팀)(예: US-CERT, DoD CERT, IC CERT)]와 협력하여 [할당: 조직이 정의한 인시던트 정보]의 상관 관계를 파악하고 공유하여 인시던트 인식 및 보다 효과적인 인시던트 대응에 대한 조직 관점을 결정합니다. IR-05 인시던트 모니터링 조직은 정보 시스템 보안 인시던트를 추적하고 문서화합니다. IR-05(1) 조직은 자동화된 메커니즘을 사용하여 보안 인시던트의 추적과 인시던트 정보의 수집 및 분석에 도움을 줍니다.	인시던트 처리 및 모니터링 기능을 구현합니다. 여기에는 자동 인시던트 처리, 동적 재구성, 작업 연속성, 정보 상관 관계, 내부자 위협, 외부 조직과의 상관 관계, 인시던트 모니터링 및 자동 추적이 포함됩니다. 감사 로그는 모든 구성 변경 내용을 기록합니다. 인증 및 권한 부여 이벤트는 로그인 로그 내에서 감사되며 탐지된 모든 위험은 Microsoft Entra ID Protection 로그에서 감사됩니다. 이러한 각 로그를 Microsoft Sentinel과 같은 SIEM 솔루션으로 직접 스트리밍할 수 있습니다. 또는 Azure Event Hubs를 사용하여 타사 SIEM 솔루션과 로그를 통합합니다. Microsoft Graph PowerShell을 사용하여 SIEM의 이벤트를 기반으로 동적 다시 구성을 자동화합니다. 감사 이벤트 Microsoft Entra 관리 센터의 감사 활동 보고서 Microsoft Entra 관리 센터의 로그인 활동 보고서 방법: 위험 조사 SIEM 통합 Microsoft Sentinel : Microsoft Entra ID에서 데이터 연결 Azure 이벤트 허브 및 기타 SIEM으로 스트림

FedRAMP 컨트롤 ID 및 설명

Microsoft Entra 지침 및 권장 사항

IR-4 인시던트 처리
조직의 역할:
(a.) 준비, 검색, 분석, 방지, 삭제 및 복구를 포함하는 보안 인시던트에 대한 인시던트 처리 기능을 구현합니다.
(b.) 인시던트 처리 작업을 대체 계획 작업에 맞게 조정합니다.
(c.) 계속되는 인시던트 처리 작업에서 진행 중 얻은 개선 사항을 인시던트 응답 절차, 교육 및 테스트/연습에 통합하고 그에 맞게 결과 변경을 구현합니다.
IR-4 추가 FedRAMP 요구 사항 및 지침:
요구 사항: 서비스 공급자는 인시던트 처리를 수행하는 개인이 정보 시스템에서 처리, 저장 및 전송하는 정보의 중요도/민감도에 상응하는 직원 보안 요구 사항을 충족하도록 보장합니다.

IR-04(1)
조직은 인시던트 처리 프로세스를 지원하는 자동화된 메커니즘을 사용합니다.

IR-04(2)
조직은 인시던트 대응 기능의 일부로 [FedRAMP 할당: 모든 네트워크, 데이터 스토리지 및 컴퓨팅 디바이스]의 동적 재구성을 포함합니다.

IR-04(3)
[할당: 조직이 정의한 인시던트 클래스] 및 [할당: 인시던트 클래스에 대한 응답으로 수행할 조직이 정의한 작업]을 식별하여 조직의 임무 및 비즈니스 기능이 지속되도록 합니다.

IR-04(4)
조직은 인시던트 정보 및 개별 인시던트 응답 간의 상관 관계를 분석하여 인시던트 인식 및 응답을 조직 차원에서 파악할 수 있습니다.

IR-04(6)
조직은 내부자 위협에 대한 인시던트 처리 기능을 구현합니다.

IR-04(8)
조직은 내부자 위협에 대한 인시던트 처리 기능을 구현합니다.
조직은 [FedRAMP 할당: 소비자 인시던트 대응자 및 네트워크 수비수를 포함한 외부 조직 및 적절한 CIRT(소비자 인시던트 대응 팀)/CERT(컴퓨터 비상 대응 팀)(예: US-CERT, DoD CERT, IC CERT)]와 협력하여 [할당: 조직이 정의한 인시던트 정보]의 상관 관계를 파악하고 공유하여 인시던트 인식 및 보다 효과적인 인시던트 대응에 대한 조직 관점을 결정합니다.

IR-05 인시던트 모니터링
조직은 정보 시스템 보안 인시던트를 추적하고 문서화합니다.

IR-05(1)
조직은 자동화된 메커니즘을 사용하여 보안 인시던트의 추적과 인시던트 정보의 수집 및 분석에 도움을 줍니다.

인시던트 처리 및 모니터링 기능을 구현합니다. 여기에는 자동 인시던트 처리, 동적 재구성, 작업 연속성, 정보 상관 관계, 내부자 위협, 외부 조직과의 상관 관계, 인시던트 모니터링 및 자동 추적이 포함됩니다.

감사 로그는 모든 구성 변경 내용을 기록합니다. 인증 및 권한 부여 이벤트는 로그인 로그 내에서 감사되며 탐지된 모든 위험은 Microsoft Entra ID Protection 로그에서 감사됩니다. 이러한 각 로그를 Microsoft Sentinel과 같은 SIEM 솔루션으로 직접 스트리밍할 수 있습니다. 또는 Azure Event Hubs를 사용하여 타사 SIEM 솔루션과 로그를 통합합니다. Microsoft Graph PowerShell을 사용하여 SIEM의 이벤트를 기반으로 동적 다시 구성을 자동화합니다.

감사 이벤트

Microsoft Entra 관리 센터의 감사 활동 보고서

Microsoft Entra 관리 센터의 로그인 활동 보고서

방법: 위험 조사

SIEM 통합

Microsoft Sentinel : Microsoft Entra ID에서 데이터 연결

Azure 이벤트 허브 및 기타 SIEM으로 스트림

직원 보안

다음 표의 지침은 다음과 관련이 있습니다.

PS-4 직원 고용 종료

FedRAMP 컨트롤 ID 및 설명	Microsoft Entra 지침 및 권장 사항
PS-4 직원 고용 종료 개인 고용 종료 시 조직: (a.) [FedRAMP 할당: 8시간] 내에 정보 시스템 액세스를 사용하지 않도록 설정합니다. (b.) 개인과 연결된 인증자/자격 증명을 종료/해지합니다. (c.) [할당: 조직이 정의한 정보 보안 항목]에 대한 논의가 포함된 종료 인터뷰를 수행합니다. (d.) 모든 보안 관련 조직 정보 시스템 관련 속성을 검색합니다. (e.) 이전에 채용이 종료된 개인이 관리했던 조직 정보 및 정보 시스템에 대한 액세스를 유지합니다. (f.) [할당: 조직에서 정의한 기간] 내에 [할당: 조직에서 정의한 담당자 또는 역할]에 알립니다. PS-4(2) 이 조직은 자동화된 메커니즘을 사용하여 개인 채용이 끝날 때 [FedRAMP 할당: 시스템에 대한 액세스를 비활성화할 책임이 있는 액세스 제어 담당자]에게 알립니다.	시스템에 대한 액세스 비활성화를 담당하는 직원에게 자동으로 알립니다. 계정을 사용하지 않도록 설정하고 8시간 이내에 연결된 모든 인증자 및 자격 증명을 해지합니다. 외부 HR 시스템, 온-프레미스 Active Directory 또는 클라우드에서 직접 Microsoft Entra ID의 계정 프로비전(종료 시 비활성화 포함)을 구성합니다. 기존 세션을 해지하여 모든 시스템 액세스를 종료합니다. 계정 프로비전 AC-02의 자세한 지침을 참조하세요. 연결된 모든 인증자 해지 Microsoft Entra ID의 응급 상황에서 사용자 액세스 철회

FedRAMP 컨트롤 ID 및 설명

Microsoft Entra 지침 및 권장 사항

PS-4
직원 고용 종료
개인 고용 종료 시 조직:
(a.) [FedRAMP 할당: 8시간] 내에 정보 시스템 액세스를 사용하지 않도록 설정합니다.
(b.) 개인과 연결된 인증자/자격 증명을 종료/해지합니다.
(c.) [할당: 조직이 정의한 정보 보안 항목]에 대한 논의가 포함된 종료 인터뷰를 수행합니다.
(d.) 모든 보안 관련 조직 정보 시스템 관련 속성을 검색합니다.
(e.) 이전에 채용이 종료된 개인이 관리했던 조직 정보 및 정보 시스템에 대한 액세스를 유지합니다.
(f.) [할당: 조직에서 정의한 기간] 내에 [할당: 조직에서 정의한 담당자 또는 역할]에 알립니다.

PS-4(2)
이 조직은 자동화된 메커니즘을 사용하여 개인 채용이 끝날 때 [FedRAMP 할당: 시스템에 대한 액세스를 비활성화할 책임이 있는 액세스 제어 담당자]에게 알립니다.

시스템에 대한 액세스 비활성화를 담당하는 직원에게 자동으로 알립니다.

계정을 사용하지 않도록 설정하고 8시간 이내에 연결된 모든 인증자 및 자격 증명을 해지합니다.

외부 HR 시스템, 온-프레미스 Active Directory 또는 클라우드에서 직접 Microsoft Entra ID의 계정 프로비전(종료 시 비활성화 포함)을 구성합니다. 기존 세션을 해지하여 모든 시스템 액세스를 종료합니다.

계정 프로비전

AC-02의 자세한 지침을 참조하세요.

연결된 모든 인증자 해지

Microsoft Entra ID의 응급 상황에서 사용자 액세스 철회

시스템 및 정보 무결성

다음 표의 지침은 다음과 관련이 있습니다.

SI-4 정보 시스템 모니터링

FedRAMP 컨트롤 ID 및 설명	Microsoft Entra 지침 및 권장 사항
SI-4 정보 시스템 모니터링 조직의 역할: (a.) 정보 시스템을 모니터링하여 다음을 검색합니다. (1.) [할당: 조직이 정의한 모니터링 목표]에 따른 공격 및 잠재적 공격의 지표 (2.) 권한 없는 로컬, 네트워크 및 원격 연결 (b.) [할당: 조직에서 정의한 기술 및 방법]을 통해 정보 시스템의 무단 사용을 식별합니다. (c.) (i) 정보 시스템 내에 모니터링 디바이스를 전략적으로 배포하여 조직에서 지정한 필수 정보를 수집하고 (ii) 시스템 내의 임시 위치에 배포하여 조직에서 원하는 특정 유형의 트랜잭션을 추적합니다. (d.) 침입 모니터링 도구에서 가져온 정보를 권한이 없는 액세스, 수정 및 삭제로부터 보호합니다. (e.) 법 적용 정보, 인텔리전스 정보 또는 정보의 기타 신뢰할 수 있는 원본을 기반으로 조직의 운영과 자산, 개인, 다른 조직 또는 국가에 대한 위험이 증가된 것으로 표시될 때마다 정보 시스템 모니터링 작업의 수준을 강화합니다. (f.) 적용 가능한 연방 법률, 행정 명령, 지시, 정책 또는 규정에 따른 정보 시스템 모니터링 작업과 관련하여 법적 견해를 얻습니다. (d.) [할당: 조직에서 정의한 정보 시스템 모니터링 정보]를 [할당: 조직에서 정의한 담당자 또는 역할]에 [선택(하나 이상): 필요에 따라, [할당: 조직에서 정의한 빈도]마다] 제공합니다. SI-4 추가 FedRAMP 요구 사항 및 지침: 지침: US-CERT 인시던트 대응 보고 지침을 참조하세요. SI-04(1) 조직은 정보 시스템 차원의 침입 검색 시스템에 개별 침입 검색 도구를 연결하고 구성합니다.	정보 시스템 전체 모니터링 및 침입 탐지 시스템을 구현합니다. 정보 시스템 모니터링 솔루션 내에 모든 Microsoft Entra 로그(감사, 로그인, ID 보호)를 포함합니다. Microsoft Entra 로그인을 SIEM 솔루션으로 스트리밍합니다(IA-04 참조).

FedRAMP 컨트롤 ID 및 설명

Microsoft Entra 지침 및 권장 사항

SI-4 정보 시스템 모니터링
조직의 역할:
(a.) 정보 시스템을 모니터링하여 다음을 검색합니다.
(1.) [할당: 조직이 정의한 모니터링 목표]에 따른 공격 및 잠재적 공격의 지표
(2.) 권한 없는 로컬, 네트워크 및 원격 연결
(b.) [할당: 조직에서 정의한 기술 및 방법]을 통해 정보 시스템의 무단 사용을 식별합니다.
(c.) (i) 정보 시스템 내에 모니터링 디바이스를 전략적으로 배포하여 조직에서 지정한 필수 정보를 수집하고 (ii) 시스템 내의 임시 위치에 배포하여 조직에서 원하는 특정 유형의 트랜잭션을 추적합니다.
(d.) 침입 모니터링 도구에서 가져온 정보를 권한이 없는 액세스, 수정 및 삭제로부터 보호합니다.
(e.) 법 적용 정보, 인텔리전스 정보 또는 정보의 기타 신뢰할 수 있는 원본을 기반으로 조직의 운영과 자산, 개인, 다른 조직 또는 국가에 대한 위험이 증가된 것으로 표시될 때마다 정보 시스템 모니터링 작업의 수준을 강화합니다.
(f.) 적용 가능한 연방 법률, 행정 명령, 지시, 정책 또는 규정에 따른 정보 시스템 모니터링 작업과 관련하여 법적 견해를 얻습니다.
(d.) [할당: 조직에서 정의한 정보 시스템 모니터링 정보]를 [할당: 조직에서 정의한 담당자 또는 역할]에 [선택(하나 이상): 필요에 따라, [할당: 조직에서 정의한 빈도]마다] 제공합니다.
SI-4 추가 FedRAMP 요구 사항 및 지침:
지침: US-CERT 인시던트 대응 보고 지침을 참조하세요.

SI-04(1)
조직은 정보 시스템 차원의 침입 검색 시스템에 개별 침입 검색 도구를 연결하고 구성합니다.

정보 시스템 전체 모니터링 및 침입 탐지 시스템을 구현합니다.

정보 시스템 모니터링 솔루션 내에 모든 Microsoft Entra 로그(감사, 로그인, ID 보호)를 포함합니다.

Microsoft Entra 로그인을 SIEM 솔루션으로 스트리밍합니다(IA-04 참조).

다음 단계

액세스 제어 구성

식별 및 인증 컨트롤 구성

기타 컨트롤 구성

다음을 통해 공유

FedRAMP High Impact 수준을 충족하도록 추가 컨트롤 구성

감사 및 책임

인시던트 대응

직원 보안

시스템 및 정보 무결성

다음 단계

피드백

추가 리소스