你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel 监视零信任 (TIC 3.0) 安全体系结构
零信任是一种安全策略,用于设计和实现以下安全原则集:
| 显式验证 | 使用最低特权访问 | 假定数据泄露 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 |
本文介绍如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解决方案,该解决方案可帮助治理和合规性团队根据受信任的 INTERNET 连接 (TIC) 3.0 计划监视和响应零信任要求。
Microsoft Sentinel 解决方案是针对一组特定数据集预先配置的捆绑内容。 零信任 (TIC 3.0) 解决方案包括一个工作簿、分析规则和一个 playbook,它们提供零信任原则的自动可视化效果,可交叉访问信任 Internet 连接框架,帮助组织持续监视配置。
注意
通过 Microsoft 公开管理中的零信任计划,全面了解组织的零信任状态。 有关详细信息,请参阅快速现代化零信任的安全状况 | Microsoft Learn。
零信任解决方案和 TIC 3.0 框架
虽然零信任和 TIC 3.0 并不相同,但它们有许多共同的主题,并一起提供了一个共同的故事。 适用于 零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案使用 TIC 3.0 框架在 Microsoft Sentinel 和零信任模型之间提供详细的人行横道。 这些人行横道可帮助用户更好地了解两者之间的重叠。
虽然适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案提供了最佳做法指导,但 Microsoft 不保证也不暗示合规性。 所有受信任的 Internet 连接 (TIC) 要求、验证和控制均由网络安全和基础结构安全机构管理。
零信任 (TIC 3.0) 解决方案提供对 Microsoft 技术在主要基于云的环境中提供的控制要求的可见性和态势感知。 客户体验因用户而异,某些窗格可能需要额外的配置和查询修改才能进行操作。
“建议”并不意味着覆盖各自的控制,因为这些建议通常是处理需求的几个行动过程之一,对每个客户来说都是独一无二的。 应将建议视为规划相应控制要求的完全或部分覆盖的起点。
适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案可用于以下任何用户和用例:
- 安全治理、风险和合规性专业人员,用于合规性状况评估和报告
- 工程师和架构师,他们需要设计零信任和 TIC 3.0 一致的工作负载
- 安全分析师,用于警报和自动化构建
- 托管安全服务提供商 (MSSP),负责提供咨询服务
- 安全经理,需要查看要求、分析报告、评估功能
先决条件
在安装零信任 (TIC 3.0) 解决方案之前,请确保你具备以下先决条件:
载入 Microsoft 服务:确保在 Azure 订阅中同时启用了 Microsoft Sentinel 和 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 要求:在 Microsoft Defender for Cloud 中:
将所需的法规标准添加到仪表板。 确保将 Microsoft Cloud 安全基准和 NIST SP 800-53 R5 评估添加到 Microsoft Defender for Cloud 仪表板。 有关详细信息,请参阅 Microsoft Defender for Cloud 文档中的向仪表板添加法规标准。
将 Microsoft Defender for Cloud 数据持续导出到 Log Analytics 工作区。 有关详细信息,请参阅连续导出 Microsoft Defender for Cloud 数据。
所需的用户权限。 若要安装零信任 (TIC 3.0) 解决方案,必须能够以“安全读取者”权限访问你的 Microsoft Sentinel 工作区。
零信任 (TIC 3.0) 解决方案还通过与其他 Microsoft 服务的集成得到增强,例如:
- Microsoft Defender XDR
- Microsoft 信息保护
- Microsoft Entra ID
- Microsoft Defender for Cloud
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Office 365
安装零信任 (TIC 3.0) 解决方案
若要从 Azure 门户部署零信任 (TIC 3.0) 解决方案,请执行以下操作:
在 Microsoft Sentinel 中,选择“内容中心”并找到零信任 (TIC 3.0) 解决方案。
在右下方,选择“查看详细信息”,然后选择“创建”。 选择要安装解决方案的订阅、资源组和工作区,然后查看将要部署的相关安全内容。
完成后,选择“查看 + 创建”来安装解决方案。
有关更多信息,请参阅部署现成内容和解决方案。
使用方案示例
以下部分显示了安全运营分析师如何使用通过 Zero Trust (TIC 3.0) 解决方案部署的资源来审查需求、浏览查询、配置警报和实现自动化。
安装零信任 (TIC 3.0) 解决方案后,使用部署到 Microsoft Sentinel 工作区的工作簿、分析规则和 playbook 来管理网络中的零信任。
可视化零信任数据
导航到 Microsoft Sentinel 的“工作簿”>“零信任 (TIC 3.0)”工作簿,然后选择“查看保存的工作簿”。
在“零信任 (TIC 3.0) 工作簿”页中,选择要查看的 TIC 3.0 功能。 对于此过程,请选择“入侵检测”。
提示
使用页面顶部的“指南”开关可显示或隐藏建议和指南窗格。 确保在“订阅”、“工作区”和“时间范围”选项中选择了正确的详细信息,以便可以查看要查找的特定数据。
选择要显示的控件卡。 对于此过程,请选择自适应访问控制,然后继续滚动以查看显示的卡片。
提示
使用左上角的“指南”开关可查看或隐藏建议和指南窗格。 例如,首次访问工作簿时,这些可能很有帮助,但一旦你理解了相关概念,这些就没有必要了。
浏览查询. 例如,在“自适应访问控制”卡的右上角,选择三点“选项”菜单,然后选择“打开日志视图中的最后一个运行查询”。
查询在 Microsoft Sentinel 日志页中打开:
配置与零信任相关的警报
在 Microsoft Sentinel 中,导航到“分析”区域。 搜索 TIC3.0,以查看使用零信任 (TIC 3.0) 解决方案部署的开箱即用分析规则。
默认情况下,零信任 (TIC 3.0) 解决方案安装一组分析规则,这些规则配置为按控制系列监控零信任 (TIC3.0) 态势,并且你可以自定义阈值,以提醒合规团队注意态势的变化。
例如,如果你的工作负载的弹性状态在一周内低于指定的百分比,Microsoft Sentinel 将生成警报,以详细说明相应的策略状态(通过/失败)、已识别的资产、上次评估时间,并提供到 Microsoft Defender for Cloud 的深层链接,以便采取补救措施。
根据需要更新规则或配置新规则:
有关详细信息,请参阅创建自定义分析规则以检测威胁。
使用 SOAR 进行响应
在 Microsoft Sentinel 中,导航到“自动化”>“活动的 playbook”选项卡,然后找到 Notify-GovernanceComplianceTeam 行动手册。
使用此 playbook 自动监视 CMMC 警报,并通过电子邮件和 Microsoft Teams 消息向治理合规性团队通知相关详细信息。 根据需要修改 playbook:
有关详细信息,请参阅在 Microsoft Sentinel playbook 中使用触发器和操作。
常见问题
是否支持自定义视图和报表?
是的。 您可以自定义零信任 (TIC 3.0) 工作簿,以便按订阅、工作区、时间、控件系列或成熟度级别参数查看数据,并且可以导出和打印工作簿。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化并监视你的数据。
是否需要其他产品?
Microsoft Sentinel 和 Microsoft Defender for Cloud 都是必需的。
除了这些服务之外,每个控制卡都基于来自多个服务的数据,具体取决于卡片中显示的数据类型和可视化效果。 超过 25 个 Microsoft 服务为零信任 (TIC 3.0) 解决方案提供了丰富的内容。
对于没有数据的面板,我该怎么办?
没有数据的面板为解决零信任和 TIC 3.0 控制要求提供了一个起点,包括解决各自控制的建议。
是否支持多个订阅、云和租户?
是的。 你可以使用工作簿参数、Azure Lighthouse 和 Azure Arc 在所有订阅、云和租户中利用零信任 (TIC 3.0) 解决方案。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据以及作为 MSSP 在 Microsoft Sentinel 中管理多个租户。
是否支持合作伙伴集成?
是的。 工作簿和分析规则均可自定义,以便与合作伙伴服务集成。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据以及显示警报中的自定义事件详细信息。
此解决方案是否在政府区域中可用?
是的。 零信任 (TIC 3.0) 解决方案目前为公共预览版,可部署到商业/政府区域。 有关详细信息,请参阅适用于商业和美国政府客户的云功能可用性。
使用此内容需要哪些权限?
Microsoft Sentinel 参与者用户可以创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
Microsoft Sentinel 读取者可查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
有关详细信息,请参阅 Microsoft Sentinel 中的权限。
后续步骤
有关详细信息,请参阅:
观看我们的视频:
阅读我们的博客!