Övervaka säkerhetsarkitekturer för Nolltillit (TIC 3.0) med Microsoft Sentinel

Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:

Verifiera explicit	Använd åtkomst med minst behörighet	Anta intrång
Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter.	Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.	Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

Den här artikeln beskriver hur du använder lösningen Microsoft Sentinel Nolltillit (TIC 3.0), som hjälper styrnings- och efterlevnadsteam att övervaka och svara på Nolltillit krav enligt initiativet TRUSTED INTERNET CONNECTIONS (TIC) 3.0.

Microsoft Sentinel-lösningar är uppsättningar paketerat innehåll som är förkonfigurerat för en specifik uppsättning data. Lösningen Nolltillit (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok som tillhandahåller en automatiserad visualisering av Nolltillit principer, som går över till ramverket För betrodda Internetanslutningar, vilket hjälper organisationer att övervaka konfigurationer över tid.

Kommentar

Få en omfattande vy över organisationens Nolltillit status med initiativet Nolltillit i Microsoft Exposure Management. Mer information finns i Modernisera säkerhetsstatusen snabbt för Nolltillit | Microsoft Learn.

Nolltillit-lösningen och TIC 3.0-ramverket

Nolltillit och TIC 3.0 är inte samma sak, men de delar många vanliga teman och ger tillsammans en gemensam historia. Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) erbjuder detaljerade övergångsställen mellan Microsoft Sentinel och Nolltillit-modellen med TIC 3.0-ramverket. Dessa övergångsställen hjälper användarna att bättre förstå överlappningarna mellan de två.

Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) ger vägledning om bästa praxis, men Microsoft garanterar inte eller antyder inte efterlevnad. Alla krav, valideringar och kontroller för betrodd internetanslutning (TIC) styrs av Byrån för cybersäkerhet och infrastruktursäkerhet.

Lösningen Nolltillit (TIC 3.0) ger synlighet och situationsmedvetenhet för kontrollkrav som levereras med Microsoft-tekniker i övervägande molnbaserade miljöer. Kundupplevelsen varierar beroende på användare, och vissa fönster kan kräva ytterligare konfigurationer och frågeändring för åtgärd.

Rekommendationer innebär inte täckning av respektive kontroller, eftersom de ofta är ett av flera åtgärdssätt för att närma sig krav, vilket är unikt för varje kund. Rekommendationer bör betraktas som utgångspunkt för att planera fullständig eller partiell täckning av respektive kontrollkrav.

Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) är användbar för någon av följande användare och användningsfall:

• Säkerhetsstyrning, risk- och efterlevnadspersonal för utvärdering och rapportering av efterlevnadsstatus
• Tekniker och arkitekter som behöver utforma Nolltillit- och TIC 3.0-anpassade arbetsbelastningar
• Säkerhetsanalytiker för aviserings- och automatiseringsskapande
• Leverantörer av hanterade säkerhetstjänster (MSSP) för konsulttjänster
• Säkerhetschefer som behöver granska krav, analysera rapportering, utvärdera funktioner

Förutsättningar

Kontrollera att du har följande förutsättningar innan du installerar lösningen Nolltillit (TIC 3.0):

• Registrera Microsoft-tjänster: Kontrollera att både Microsoft Sentinel och Microsoft Defender för molnet är aktiverade i din Azure-prenumeration.

• Microsoft Defender för molnet krav: I Microsoft Defender för molnet:

  • Lägg till nödvändiga regelstandarder på instrumentpanelen. Se till att lägga till både Microsoft Cloud Security Benchmark och NIST SP 800-53 R5-utvärderingar på din Microsoft Defender för molnet instrumentpanel. Mer information finns i lägga till en regelstandard på instrumentpanelen i Microsoft Defender för molnet dokumentationen.

  • Exportera kontinuerligt Microsoft Defender för molnet data till din Log Analytics-arbetsyta. Mer information finns i Exportera kontinuerligt Microsoft Defender för molnet data.

• Nödvändiga användarbehörigheter. Om du vill installera lösningen Nolltillit (TIC 3.0) måste du ha åtkomst till din Microsoft Sentinel-arbetsyta med behörigheter för säkerhetsläsare.

Lösningen Nolltillit (TIC 3.0) förbättras också av integreringar med andra Microsoft-tjänster, till exempel:

• Microsoft Defender XDR
• Microsoft Information Protection
• Microsoft Entra ID
• Microsoft Defender för molnet
• Microsoft Defender för Endpoint
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Defender för Office 365

Installera lösningen Nolltillit (TIC 3.0)

Distribuera lösningen Nolltillit (TIC 3.0) från Azure Portal:

1. I Microsoft Sentinel väljer du Innehållshubb och letar upp lösningen Nolltillit (TIC 3.0).

2. Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.

   När du är klar väljer du Granska + Skapa för att installera lösningen.

Mer information finns i Distribuera out-of-the-box-innehåll och lösningar.

Exempel på användningsscenario

Följande avsnitt visar hur en säkerhetsåtgärdsanalytiker kan använda de resurser som distribueras med lösningen Nolltillit (TIC 3.0) för att granska kraven, utforska frågor, konfigurera aviseringar och implementera automatisering.

När du har installerat lösningen Nolltillit (TIC 3.0) använder du arbetsboken, analysregler och spelboken som distribuerats till din Microsoft Sentinel-arbetsyta för att hantera Nolltillit i nätverket.

Visualisera Nolltillit data

1. Gå till arbetsboken Microsoft Sentinel-arbetsböcker Nolltillit (TIC 3.0) och välj Visa sparad arbetsbok.>

   På arbetsbokssidan Nolltillit (TIC 3.0) väljer du de TIC 3.0-funktioner som du vill visa. För den här proceduren väljer du Intrångsidentifiering.

   Dricks

   Använd växlingsknappen Guide överst på sidan för att visa eller dölja rekommendationer och guidefönster. Kontrollera att rätt information har valts i alternativen Prenumeration, Arbetsyta och Tidsintervall så att du kan visa specifika data som du vill hitta.

2. Välj de kontrollkort som du vill visa. För den här proceduren väljer du Anpassningsbar åtkomstkontroll och fortsätter sedan att rulla för att visa det visade kortet.

   

   Dricks

   Använd guiderna längst upp till vänster för att visa eller dölja rekommendationer och guidefönster. Dessa kan till exempel vara användbara när du först kommer åt arbetsboken, men onödiga när du har förstått relevanta begrepp.

3. Utforska frågor. Längst upp till höger på kortet Anpassningsbar åtkomstkontroll väljer du menyn Alternativ med tre punkter och väljer sedan Öppna den senaste körningsfrågan i loggvyn.

   Frågan öppnas på sidan Microsoft Sentinel-loggar:

   

Konfigurera Nolltillit-relaterade aviseringar

I Microsoft Sentinel navigerar du till området Analys . Visa färdiga analysregler som distribuerats med lösningen Nolltillit (TIC 3.0) genom att söka efter TIC3.0.

Som standard installerar Nolltillit-lösningen (TIC 3.0) en uppsättning analysregler som är konfigurerade för att övervaka Nolltillit (TIC3.0) hållning efter kontrollfamilj, och du kan anpassa tröskelvärden för att varna efterlevnadsteam om ändringar i hållningen.

Om din arbetsbelastnings återhämtningsstatus till exempel understiger en angiven procentsats under en vecka genererar Microsoft Sentinel en avisering för att beskriva respektive principstatus (pass/fail), de tillgångar som identifierades, den senaste utvärderingstiden och ger djupa länkar till Microsoft Defender för molnet för reparationsåtgärder.

Uppdatera reglerna efter behov eller konfigurera en ny:

Mer information finns i Skapa anpassade analysregler för att identifiera hot.

Svara med SOAR

I Microsoft Sentinel går du till fliken Automation>Active-spelböcker och letar upp spelboken Notify-GovernanceComplianceTeam .

Använd den här spelboken för att automatiskt övervaka CMMC-aviseringar och meddela teamet för styrningsefterlevnad relevant information via både e-post och Microsoft Teams-meddelanden. Ändra spelboken efter behov:

Mer information finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

Vanliga frågor och svar

Stöds anpassade vyer och rapporter?

Ja. Du kan anpassa din Nolltillit-arbetsbok (TIC 3.0) för att visa data efter prenumeration, arbetsyta, tid, kontrollfamilj eller mognadsnivåparametrar, och du kan exportera och skriva ut arbetsboken.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data.

Krävs det ytterligare produkter?

Både Microsoft Sentinel och Microsoft Defender för molnet krävs.

Förutom dessa tjänster baseras varje kontrollkort på data från flera tjänster, beroende på vilka typer av data och visualiseringar som visas på kortet. Över 25 Microsoft-tjänster ger berikande för lösningen Nolltillit (TIC 3.0).

Vad ska jag göra med paneler utan data?

Paneler utan data ger en startpunkt för att hantera Nolltillit och TIC 3.0-kontrollkrav, inklusive rekommendationer för att hantera respektive kontroller.

Stöds flera prenumerationer, moln och klienter?

Ja. Du kan använda arbetsboksparametrar, Azure Lighthouse och Azure Arc för att utnyttja lösningen Nolltillit (TIC 3.0) i alla dina prenumerationer, moln och klientorganisationer.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och hantera flera klienter i Microsoft Sentinel som en MSSP.

Stöds partnerintegrering?

Ja. Både arbetsböcker och analysregler är anpassningsbara för integreringar med partnertjänster.

Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och anpassad händelseinformation för Surface i aviseringar.

Är detta tillgängligt i myndighetsregioner?

Ja. Lösningen Nolltillit (TIC 3.0) finns i offentlig förhandsversion och kan distribueras till kommersiella/myndighetsregioner. Mer information finns i Tillgänglighet för molnfunktioner för kommersiella och amerikanska myndighetskunder.

Vilka behörigheter krävs för att använda det här innehållet?

• Användare av Microsoft Sentinel-deltagare kan skapa och redigera arbetsböcker, analysregler och andra Microsoft Sentinel-resurser.

• Microsoft Sentinel-läsare kan visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser.

Mer information finns i Behörigheter i Microsoft Sentinel.

Nästa steg

Mer information finns i:

• Kom igång med Microsoft Sentinel
• Visualisera och övervaka dina data med arbetsböcker
• Microsoft Nolltillit-modell
• Nolltillit Distributionscenter

Titta på våra videor:

• Demo: Microsoft Sentinel Nolltillit -lösning (TIC 3.0)
• Microsoft Sentinel: Nolltillit arbetsboksdemo (TIC 3.0)

Läs våra bloggar!

• Meddelande om lösningen Microsoft Sentinel: Nolltillit (TIC3.0)
• Skapa och övervaka arbetsbelastningar för Nolltillit (TIC 3.0) för federala informationssystem med Microsoft Sentinel
• Nolltillit: 7 implementeringsstrategier från säkerhetsledare
• Implementera Nolltillit med Microsoft Azure: Identitets- och åtkomsthantering (6-delserie)