Andere gebieden van Zero Trust behandeld in memorandum 22-09

De andere artikelen in deze richtlijnen hebben betrekking op de identiteitspijler van Zero Trust-principes, zoals beschreven in het Amerikaanse Office of Management and Budget (OMB) M 22-09 Memorandum voor de hoofden van de directieafdelingen en agentschappen. In dit artikel worden modelgebieden van Zero Trust besproken die buiten de identiteitspijler vallen en worden de volgende thema's behandeld:

• Visibility
• Analyse
• Automatisering en indeling
• Beheer

Visibility

Het is belangrijk om uw Microsoft Entra-tenant te bewaken. Stel dat er sprake is van een schending en voldoet aan nalevingsstandaarden in memorandum 22-09 en Memorandum 21-31. Er worden drie primaire logboektypen gebruikt voor beveiligingsanalyse en -opname:

• Azure-auditlogboeken voor het bewaken van operationele activiteiten van de directory, zoals het maken, verwijderen, bijwerken van objecten zoals gebruikers of groepen
  • Gebruik ook om wijzigingen aan te brengen in Microsoft Entra-configuraties, zoals wijzigingen in een beleid voor voorwaardelijke toegang
  • Zie, auditlogboeken in Microsoft Entra-id
• Inrichtingslogboeken bevatten informatie over objecten die vanuit Microsoft Entra ID zijn gesynchroniseerd met toepassingen zoals Service Now met Microsoft Identity Manager
  • Zie, Inrichtingslogboeken in Microsoft Entra-id
• Aanmeldingslogboeken van Microsoft Entra voor het bewaken van aanmeldingsactiviteiten die zijn gekoppeld aan gebruikers, toepassingen en service-principals.
  • Aanmeldingslogboeken hebben categorieën voor differentiatie
  • Interactieve aanmeldingen tonen geslaagde en mislukte aanmeldingen, toegepaste beleidsregels en andere metagegevens
  • Niet-interactieve gebruikersaanmeldingen geven geen interactie weer tijdens het aanmelden: clients die zich aanmelden namens de gebruiker, zoals mobiele toepassingen of e-mailclients
  • Aanmeldingen voor service-principals geven service-principal of aanmelding van toepassingen weer: services of toepassingen die toegang hebben tot services, toepassingen of de Microsoft Entra-directory via de REST API
  • Beheerde identiteiten voor aanmelding bij Azure-resources: Azure-resources of -toepassingen die toegang hebben tot Azure-resources, zoals een webtoepassingsservice die wordt geverifieerd bij een Azure SQL-back-end.
  • Zie de aanmeldingslogboeken in Microsoft Entra ID (preview)

In Microsoft Entra ID Free-tenants worden logboekvermeldingen zeven dagen opgeslagen. Tenants met een Microsoft Entra ID P1- of P2-licentie behouden logboekvermeldingen gedurende 30 dagen.

Zorg ervoor dat een SIEM-hulpprogramma (Security Information and Event Management) logboeken opneemt. Gebruik aanmeldings- en controlegebeurtenissen om te correleren met toepassings-, infrastructuur-, gegevens-, apparaat- en netwerklogboeken.

U wordt aangeraden Microsoft Entra-logboeken te integreren met Microsoft Sentinel. Configureer een connector voor het opnemen van Microsoft Entra-tenantlogboeken.

Meer informatie:

• Wat is Microsoft Sentinel?
• Microsoft Entra-id verbinden met Microsoft Sentinel

Voor de Microsoft Entra-tenant kunt u de diagnostische instellingen configureren om de gegevens te verzenden naar een Azure Storage-account, Azure Event Hubs of een Log Analytics-werkruimte. Gebruik deze opslagopties om andere SIEM-hulpprogramma's te integreren om gegevens te verzamelen.

Meer informatie:

• Wat is Microsoft Entra-bewaking?
• Microsoft Entra-rapportage- en bewakingsafhankelijkheden voor implementatie

Analyse

U kunt analyses in de volgende hulpprogramma's gebruiken om informatie van Microsoft Entra ID samen te voegen en trends in uw beveiligingspostuur weer te geven in vergelijking met uw basislijn. U kunt ook analyses gebruiken om patronen of bedreigingen in Microsoft Entra-id te beoordelen en te zoeken.

• Microsoft Entra ID Protection analyseert aanmeldingen en andere telemetriebronnen voor riskant gedrag
  • Id Protection wijst een risicoscore toe aan aanmeldingsgebeurtenissen
  • Aanmeldingen voorkomen of een stapsgewijze verificatie afdwingen, toegang krijgen tot een resource of toepassing op basis van de risicoscore
  • Wat is ID-beveiliging?
• Microsoft Entra-rapporten over gebruik en inzichten hebben informatie die vergelijkbaar is met Azure Sentinel-werkmappen, waaronder toepassingen met de hoogste gebruiks- of aanmeldingstrends.
  • Rapporten gebruiken om geaggregeerde trends te begrijpen die kunnen duiden op een aanval of andere gebeurtenissen
  • Zie, gebruik en inzichten in Microsoft Entra-id
• Microsoft Sentinel analyseert gegevens van Microsoft Entra-id:
  • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) levert intelligentie over mogelijke bedreigingen van gebruikers-, host-, IP-adres- en toepassingsentiteiten.
  • Gebruik sjablonen voor analyseregels om bedreigingen en waarschuwingen in uw Microsoft Entra-logboeken te zoeken. Uw beveiligings- of bewerkingsanalist kan bedreigingen sorteren en oplossen.
  • Microsoft Sentinel-werkmappen helpen bij het visualiseren van Microsoft Entra-gegevensbronnen. Zie aanmeldingen per land/regio of toepassingen.
  • Zie veelgebruikte Microsoft Sentinel-werkmappen
  • Zie verzamelde gegevens visualiseren
  • Zie geavanceerde bedreigingen identificeren met UEBA in Microsoft Sentinel

Automatisering en indeling

Automatisering in Zero Trust helpt waarschuwingen te herstellen vanwege bedreigingen of beveiligingswijzigingen. In Microsoft Entra ID helpen automatiseringsintegraties om acties te verduidelijken om uw beveiligingspostuur te verbeteren. Automatisering is gebaseerd op informatie die is ontvangen van bewaking en analyse.

Gebruik Microsoft Graph API REST-aanroepen om programmatisch toegang te krijgen tot Microsoft Entra ID. Voor deze toegang is een Microsoft Entra-identiteit met autorisaties en een bereik vereist. Integreer met de Graph API andere hulpprogramma's.

U wordt aangeraden een Azure-functie of een logische Azure-app in te stellen voor het gebruik van een door het systeem toegewezen beheerde identiteit. De logische app of functie bevat stappen of code om acties te automatiseren. Wijs machtigingen toe aan de beheerde identiteit om de service-principal directorymachtigingen te verlenen om acties uit te voeren. Geef beheerde identiteiten minimale rechten.

Meer informatie: Wat zijn beheerde identiteiten voor Azure-resources?

Een ander automatiseringsintegratiepunt is Microsoft Graph PowerShell-modules. Gebruik Microsoft Graph PowerShell om algemene taken of configuraties uit te voeren in Microsoft Entra ID, of om deze op te nemen in Azure Functions- of Azure Automation-runbooks.

Beheer

Documenteer uw processen voor het gebruik van de Microsoft Entra-omgeving. Microsoft Entra-functies gebruiken voor governancefunctionaliteit die is toegepast op bereiken in Microsoft Entra-id.

Meer informatie:

• Naslaggids voor Microsoft Entra ID-governance bewerkingen
• Handleiding voor microsoft Entra-beveiligingsbewerkingen
• Wat is Microsoft Entra ID-governance?
• Voldoen aan autorisatievereisten van memorandum 22-09.

Volgende stappen

• Voldoen aan identiteitsvereisten van memorandum 22-09 met Microsoft Entra ID
• Bedrijfsbreed identiteitsbeheersysteem
• Voldoen aan meervoudige verificatievereisten van memorandum 22-09
• Voldoen aan autorisatievereisten van memorandum 22-09
• Identiteit beveiligen met Zero Trust