Microsoft Entra ID i PCI-DSS Wymaganie 10
Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i wymagań dotyczących podejścia zdefiniowanego przez karty
10.1 Procesy i mechanizmy rejestrowania i monitorowania całego dostępu do składników systemowych i danych posiadaczy kart są definiowane i udokumentowane.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 10, to: Udokumentowano aktualną datę W użyciu znane dla wszystkich dotkniętych stron |
Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
10.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 10 są udokumentowane, przypisane i zrozumiałe. | Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
10.2 Dzienniki inspekcji są implementowane w celu obsługi wykrywania anomalii i podejrzanych działań oraz analizy śledczej zdarzeń.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.2.1 Dzienniki inspekcji są włączone i aktywne dla wszystkich składników systemowych i danych karty. | Archiwizowanie dzienników inspekcji firmy Microsoft Entra w celu uzyskania zmian w zasadach zabezpieczeń i konfiguracji dzierżawy firmy Microsoft Entra. Zarchiwizuj dzienniki aktywności firmy Microsoft w systemie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby dowiedzieć się więcej o użyciu. Dzienniki aktywności firmy Microsoft Entra w usłudze Azure Monitor |
10.2.1.1 Dzienniki inspekcji przechwytują cały dostęp poszczególnych użytkowników do danych posiadaczy kart. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.2.1.2 Dzienniki inspekcji przechwytują wszystkie akcje podejmowane przez każdą osobę z dostępem administracyjnym, w tym wszelkie interaktywne korzystanie z aplikacji lub kont systemowych. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.2.1.3 Dzienniki inspekcji przechwytują cały dostęp do dzienników inspekcji. | W usłudze Microsoft Entra ID nie można wyczyścić ani zmodyfikować dzienników. Uprzywilejowani użytkownicy mogą wykonywać zapytania dotyczące dzienników z identyfikatora Entra firmy Microsoft. Najmniej uprzywilejowane role według zadania w identyfikatorze Entra firmy Microsoft, gdy dzienniki inspekcji są eksportowane do systemów, takich jak obszar roboczy usługi Azure Log Analytics, konta magazynu lub systemy SIEM innych firm, monitoruj je pod kątem dostępu. |
10.2.1.4 Dzienniki inspekcji przechwytują wszystkie nieprawidłowe próby dostępu logicznego. | Identyfikator Entra firmy Microsoft generuje dzienniki aktywności, gdy użytkownik próbuje zalogować się przy użyciu nieprawidłowych poświadczeń. Generuje dzienniki aktywności, gdy odmowa dostępu jest spowodowana zasadami dostępu warunkowego. |
10.2.1.5 Dzienniki inspekcji przechwytują wszystkie zmiany w poświadczeniach identyfikacji i uwierzytelniania, w tym, ale nie tylko: Tworzenie nowych kont Podniesienie uprawnień Wszystkie zmiany, dodatki lub usunięcia do kont z dostępem administracyjnym |
Identyfikator entra firmy Microsoft generuje dzienniki inspekcji dla zdarzeń w tym wymaganiu. |
10.2.1.6 Dzienniki inspekcji przechwytują następujące dane: Wszystkie inicjowanie nowych dzienników inspekcji oraz Wszystkie uruchamianie, zatrzymywanie lub wstrzymywanie istniejących dzienników inspekcji. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.2.1.7 Dzienniki inspekcji przechwytują wszystkie operacje tworzenia i usuwania obiektów na poziomie systemu. | Identyfikator entra firmy Microsoft generuje dzienniki inspekcji dla zdarzeń w tym wymaganiu. |
10.2.2 Dzienniki inspekcji rejestrują następujące szczegóły dla każdego zdarzenia z możliwością inspekcji: Identyfikacja użytkownika. Typ zdarzenia. Data i godzina. Wskazanie powodzenia i niepowodzenia. Pochodzenie zdarzenia. Tożsamość lub nazwa danych, których dotyczy problem, składnik systemu, zasób lub usługa (na przykład nazwa i protokół). |
Zobacz Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft |
10.3 Dzienniki inspekcji są chronione przed zniszczeniem i nieautoryzowanymi modyfikacjami.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.3.1 Dostęp do odczytu do plików dzienników inspekcji jest ograniczony do tych, którzy potrzebują zadania. | Uprzywilejowani użytkownicy mogą wykonywać zapytania dotyczące dzienników z identyfikatora Entra firmy Microsoft. Role o najniższych uprawnieniach według zadania w usłudze Microsoft Entra ID |
10.3.2 Pliki dziennika inspekcji są chronione, aby zapobiec modyfikacjom przez osoby. | W usłudze Microsoft Entra ID nie można wyczyścić ani zmodyfikować dzienników. Gdy dzienniki inspekcji są eksportowane do systemów, takich jak obszar roboczy usługi Azure Log Analytics, konta magazynu lub systemy SIEM innych firm, monitoruj je pod kątem dostępu. |
10.3.3 Pliki dziennika inspekcji, w tym pliki dla technologii zewnętrznych, są natychmiast tworzone kopie zapasowe bezpiecznych, centralnych, wewnętrznych serwerów dzienników lub innych nośników, które są trudne do zmodyfikowania. | W usłudze Microsoft Entra ID nie można wyczyścić ani zmodyfikować dzienników. Gdy dzienniki inspekcji są eksportowane do systemów, takich jak obszar roboczy usługi Azure Log Analytics, konta magazynu lub systemy SIEM innych firm, monitoruj je pod kątem dostępu. |
10.3.4 Mechanizmy monitorowania integralności plików lub wykrywania zmian są używane w dziennikach inspekcji, aby upewnić się, że istniejące dane dziennika nie mogą zostać zmienione bez generowania alertów. | W usłudze Microsoft Entra ID nie można wyczyścić ani zmodyfikować dzienników. Gdy dzienniki inspekcji są eksportowane do systemów, takich jak obszar roboczy usługi Azure Log Analytics, konta magazynu lub systemy SIEM innych firm, monitoruj je pod kątem dostępu. |
10.4 Dzienniki inspekcji są przeglądane w celu zidentyfikowania anomalii lub podejrzanych działań.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.4.1 Następujące dzienniki inspekcji są przeglądane co najmniej raz dziennie: Wszystkie zdarzenia zabezpieczeń. Dzienniki wszystkich składników systemu, które przechowują, przetwarzają lub przesyłają dane CHD (CHD) i/lub poufne dane uwierzytelniania (SAD). Dzienniki wszystkich krytycznych składników systemu. Dzienniki wszystkich serwerów i składników systemowych, które wykonują funkcje zabezpieczeń (na przykład sieciowe mechanizmy kontroli zabezpieczeń, systemy wykrywania włamań/systemy zapobiegania włamaniom (IDS/IPS), serwery uwierzytelniania). |
Dołącz dzienniki firmy Microsoft Entra w tym procesie. |
10.4.1.1 Zautomatyzowane mechanizmy służą do przeprowadzania przeglądów dzienników inspekcji. | Dołącz dzienniki firmy Microsoft Entra w tym procesie. Skonfiguruj zautomatyzowane akcje i alerty, gdy dzienniki firmy Microsoft Entra są zintegrowane z usługą Azure Monitor. Wdrażanie usługi Azure Monitor: alerty i zautomatyzowane akcje |
10.4.2 Dzienniki wszystkich innych składników systemowych (nieokreślone w wymaganiach 10.4.1) są okresowo przeglądane. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.4.2.1 Częstotliwość okresowych przeglądów dzienników dla wszystkich innych składników systemu (niezdefiniowanych w wymaganiach 10.4.1) jest zdefiniowana w docelowej analizie ryzyka jednostki, która jest wykonywana zgodnie ze wszystkimi elementami określonymi w wymaganiach 12.3.1 | Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.4.3 Wyjątki i anomalie zidentyfikowane podczas procesu przeglądu są rozwiązywane. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
10.5 Historia dziennika inspekcji jest zachowywana i dostępna do analizy.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.5.1 Zachowaj historię dziennika inspekcji przez co najmniej 12 miesięcy, a co najmniej ostatnie trzy miesiące są natychmiast dostępne do analizy. | Integracja z usługą Azure Monitor i eksportowanie dzienników na potrzeby długoterminowego archiwizowania. Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor Dowiedz się więcej o zasadach przechowywania danych dzienników firmy Microsoft Entra. Przechowywanie danych w usłudze Microsoft Entra |
10.6 Mechanizmy synchronizacji czasu obsługują spójne ustawienia czasu we wszystkich systemach.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.6.1 Zegary systemowe i czas są synchronizowane przy użyciu technologii synchronizacji czasu. | Dowiedz się więcej o mechanizmie synchronizacji czasu w usługach platformy Azure. Synchronizacja czasu dla usług finansowych na platformie Azure |
Systemy 10.6.2 są skonfigurowane do poprawnego i spójnego czasu w następujący sposób: Co najmniej jeden wyznaczony serwer czasu jest używany. Tylko wyznaczone serwery czasu centralnego odbierają czas ze źródeł zewnętrznych. Czas otrzymany ze źródeł zewnętrznych jest oparty na czasie międzynarodowym lub koordynowanym uniwersalnym czasie (UTC). Wyznaczone serwery czasowe akceptują aktualizacje czasu tylko z określonych źródeł zewnętrznych akceptowanych przez branżę. Jeśli istnieje więcej niż jeden wyznaczony serwer czasu, serwery czasowe są ze sobą równorzędne, aby zachować dokładny czas. Systemy wewnętrzne otrzymują informacje o czasie tylko z wyznaczonych serwerów czasu centralnego. |
Dowiedz się więcej o mechanizmie synchronizacji czasu w usługach platformy Azure. Synchronizacja czasu dla usług finansowych na platformie Azure |
10.6.3 Ustawienia synchronizacji czasu i dane są chronione w następujący sposób: Dostęp do danych czasu jest ograniczony tylko do pracowników potrzeb biznesowych. Wszelkie zmiany ustawień czasu w systemach krytycznych są rejestrowane, monitorowane i przeglądane. |
Identyfikator Entra firmy Microsoft opiera się na mechanizmach synchronizacji czasu na platformie Azure. Procedury platformy Azure synchronizują serwery i urządzenia sieciowe z serwerami NTP Stratum 1-time synchronizowanymi z satelitami systemu pozycjonowania globalnego (GPS). Synchronizacja odbywa się co pięć minut. Platforma Azure zapewnia czas synchronizacji hostów usług. Synchronizacja czasu usług finansowych w składnikach hybrydowych platformy Azure w usłudze Microsoft Entra ID, takich jak serwery Microsoft Entra Connect, współdziała z infrastrukturą lokalną. Klient jest właścicielem synchronizacji czasu serwerów lokalnych. |
10.7 Błędy krytycznych systemów kontroli zabezpieczeń są wykrywane, zgłaszane i szybko reagują.
Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
---|---|
10.7.2 Dodatkowe wymaganie tylko dla dostawców usług: wykryto błędy krytycznych systemów kontroli zabezpieczeń, alerty i rozwiązano je natychmiast, w tym nie tylko awarie następujących krytycznych systemów kontroli zabezpieczeń: Sieciowe mechanizmy kontroli integralności plików IDS/IPS (FIM) Rozwiązania chroniące przed złośliwym oprogramowaniem Rozwiązania kontroli dostępu fizycznego kontroli dostępu Kontrola dostępu logicznego Mechanizm segmentacji rejestrowania (jeśli jest używany) |
Identyfikator Entra firmy Microsoft opiera się na mechanizmach synchronizacji czasu na platformie Azure. pomoc techniczna platformy Azure analizy zdarzeń w czasie rzeczywistym w środowisku operacyjnym. Wewnętrzne systemy infrastruktury platformy Azure generują niemal w czasie rzeczywistym alerty o potencjalnym naruszeniu zdarzeń. |
10.7.2 Wykryto błędy krytycznych systemów kontroli zabezpieczeń, alerty i zostały natychmiast rozwiązane, w tym nie tylko w przypadku awarii następujących krytycznych systemów kontroli zabezpieczeń: Mechanizmy kontroli zabezpieczeń sieci IDS/MECHANIZMY wykrywania zmian IP Rozwiązania ochrony przed złośliwym oprogramowaniem Fizyczne mechanizmy kontroli dostępu kontroli dostępu logicznego Mechanizmy rejestrowania dostępu inspekcji Mechanizmy segmentacji (jeśli są używane) Mechanizmy przeglądu dziennika inspekcji Zautomatyzowane narzędzia do testowania zabezpieczeń (jeśli są używane) |
Zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
10.7.3 Awarie wszystkich krytycznych systemów kontroli zabezpieczeń są natychmiast reagowane, w tym między innymi: Przywracanie funkcji zabezpieczeń. Identyfikowanie i dokumentowanie czasu trwania (data i godzina od początku do końca) błędu zabezpieczeń. Identyfikowanie i dokumentowanie przyczyn awarii i dokumentowanie wymaganych działań naprawczych. Identyfikowanie i rozwiązywanie wszelkich problemów z zabezpieczeniami, które wystąpiły podczas awarii. Określenie, czy w wyniku awarii zabezpieczeń są wymagane dalsze działania. Implementowanie kontrolek, aby zapobiec ponownemu wystąpieniu awarii. Wznawianie monitorowania mechanizmów kontroli zabezpieczeń. |
Zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty (jesteś tutaj)
- Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)