Microsoft Entra ID 和 PCI-DSS 要求 10
要求 10:记录和监视对系统组件和持卡人数据的所有访问
定义的方法要求
10.1 定义和记录用于记录和监视对系统组件和持卡人数据的所有访问的过程和机制。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.1.1 要求 10 中确定的所有安全策略和操作过程包括: 已记录 已保持最新 正在使用 所有受影响方已知 |
根据环境配置,使用此处的指导和链接生成文档以满足要求。 |
| 10.1.2 记录、分配和理解要求 10 中执行活动的角色和职责。 | 根据环境配置,使用此处的指导和链接生成文档以满足要求。 |
10.2 实施审核日志以支持检测异常和可疑活动,以及对事件进行取证分析。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.2.1 为所有系统组件和持卡人数据启用并激活审核日志。 | 存档 Microsoft Entra 审核日志,以获取对安全策略和 Microsoft Entra 租户配置的更改。 将 Microsoft Entra 活动日志存档到安全信息和事件管理 (SIEM) 系统中,以了解使用情况。 Azure Monitor 中的 Microsoft Entra 活动日志 |
| 10.2.1.1 审核日志捕获所有单个用户对持卡人数据的访问。 | 不适用于 Microsoft Entra ID。 |
| 10.2.1.2 审核日志捕获任何具有管理访问权限的个人执行的所有操作,包括以交互方式使用应用程序或系统帐户。 | 不适用于 Microsoft Entra ID。 |
| 10.2.1.3 审核日志捕获对审核日志的所有访问。 | 在 Microsoft Entra ID 中,无法擦除或修改日志。 特权用户可以从 Microsoft Entra ID 查询日志。 Microsoft Entra ID 中按任务划分的最低特权角色 在将审核日志导出到 Azure Log Analytics 工作区、存储帐户或第三方 SIEM 系统等系统时,监视它们的访问。 |
| 10.2.1.4 审核日志捕获所有无效的逻辑访问尝试。 | 当用户尝试使用无效凭据登录时,Microsoft Entra ID 会生成活动日志。 当由于条件访问策略而拒绝访问时,它会生成活动日志。 |
| 10.2.1.5 审核日志捕获对标识和身份验证凭据的所有更改,包括但不限于: 创建新帐户 特权提升 对具有管理权限的帐户进行的所有更改、添加或删除操作 |
Microsoft Entra ID 将为此要求中的事件生成审核日志。 |
| 10.2.1.6 审核日志捕获以下内容: 新审核日志的所有初始化,以及 现有审核日志的所有启动、停止或暂停。 |
不适用于 Microsoft Entra ID。 |
| 10.2.1.7 审核日志捕获系统级对象的所有创建和删除。 | Microsoft Entra ID 将为此要求中的事件生成审核日志。 |
| 10.2.2 审核日志记录每个可审核事件的以下详细信息: 用户标识。 事件类型。 日期和时间。 成功或失败指示。 事件起源。 受影响数据、系统组件、资源或服务的标识或名称(例如名称和协议)。 |
请参阅 Microsoft Entra ID 中的审核日志 |
10.3 保护审核日志,以免遭破坏和未经授权的修改。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.3.1 审核日志文件的读取访问权限仅限于与作业相关的人员。 | 特权用户可以从 Microsoft Entra ID 查询日志。 Microsoft Entra ID 中按任务显示的最低特权角色 |
| 10.3.2 保护审核日志文件,以防止个人修改。 | 在 Microsoft Entra ID 中,无法擦除或修改日志。 在将审核日志导出到 Azure Log Analytics 工作区、存储帐户或第三方 SIEM 系统等系统时,监视它们的访问。 |
| 10.3.3 立即将审核日志文件(包括面向外部技术的日志文件)备份到安全的中心内部日志服务器或其他难以修改的媒体。 | 在 Microsoft Entra ID 中,无法擦除或修改日志。 在将审核日志导出到 Azure Log Analytics 工作区、存储帐户或第三方 SIEM 系统等系统时,监视它们的访问。 |
| 10.3.4 在审核日志上使用文件完整性监视或更改检测机制,以确保在不生成警报的情况下无法更改现有日志数据。 | 在 Microsoft Entra ID 中,无法擦除或修改日志。 在将审核日志导出到 Azure Log Analytics 工作区、存储帐户或第三方 SIEM 系统等系统时,监视它们的访问。 |
10.4 审阅审核日志,以确定异常或可疑活动。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.4.1 每天至少查看一次以下审核日志: 所有安全事件。 存储、处理或传输持卡人数据 (CHD) 和/或敏感的身份验证数据 (SAD) 的所有系统组件日志。 所有关键系统组件的日志。 所有执行安全性函数(例如,网络安全控件、入侵检测系统/入侵防护系统 [IDS/IPS]、身份验证服务器)的服务器和系统组件的日志。 |
此过程中包括 Microsoft Entra 日志。 |
| 10.4.1.1 使用自动化机制执行审核日志审核。 | 此过程中包括 Microsoft Entra 日志。 配置 Microsoft Entra 日志与 Azure Monitor 集成时的自动操作和警报。 部署 Azure Monitor:警报和自动化操作 |
| 10.4.2 定期审核所有其他系统组件(要求 10.4.1 中未指定的组件)的日志。 | 不适用于 Microsoft Entra ID。 |
| 10.4.2.1 在实体的目标风险分析(根据要求 12.3.1 中指定的所有元素执行)中定义对所有其他系统组件(要求 10.4.1 中未定义的组件)的定期日志审核频率 | 不适用于 Microsoft Entra ID。 |
| 10.4.3 解决审核过程中发现的异常。 | 不适用于 Microsoft Entra ID。 |
10.5 保留审核日志历史记录以用于分析。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.5.1 将审核日志历史记录保留至少 12 个月,其中至少最近三个月可立即用于分析。 | 与 Azure Monitor 集成并导出日志以供长期存档。 将 Microsoft Entra 日志与 Azure Monitor 日志集成 了解 Microsoft Entra 日志数据保留策略。 Microsoft Entra数据保留 |
10.6 时间同步机制支持所有系统中的一致时间设置。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.6.1 使用时间同步技术同步系统时钟和时间。 | 了解 Azure 服务中的时间同步机制。 Azure 中面向金融服务的时间同步 |
| 10.6.2 将系统配置为正确且一致的时间,如下所示: 正在使用一个或多个指定的时间服务器。 只有指定的中央时间服务器可从外部源接收时间。 从外部源接收的时间基于国际原子时或协调世界时 (UTC)。 指定的时间服务器仅接受来自特定的行业认可外部源的时间更新。 如果存在多个指定的时间服务器,则时间服务器相互对等,以保持时间准确。 内部系统仅从指定的中央时间服务器接收时间信息。 |
了解 Azure 服务中的时间同步机制。 Azure 中面向金融服务的时间同步 |
| 10.6.3 保护时间同步设置和数据,如下所示: 对时间数据的访问仅限于具有业务需求的人员。 记录、监视和审核对关键系统上的时间设置所做的任何更改。 |
Microsoft Entra ID 依赖于 Azure 中的时间同步机制。 Azure 过程会将服务器和网络设备与已同步到全球定位系统 (GPS) 卫星的 NTP Stratum 1 时间服务器同步。 同步每五分钟进行一次。 Azure 将确保服务主机同步时间。 Azure 中面向金融服务的时间同步 Microsoft Entra ID 中的混合组件(例如 Microsoft Entra Connect 服务器)与本地基础结构交互。 客户拥有本地服务器的时间同步。 |
10.7 检测、报告关键安全控制系统故障并立即作出响应。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 10.7.2 仅面向服务提供商的其他要求:检测关键安全控制系统故障并立即发出警报和解决包括但不限于以下关键安全控制系统的故障: 网络安全控件 IDS/IPS 文件完整性监视 (FIM) 反恶意软件解决方案 物理访问控制 逻辑访问控制 审核日志记录机制 分段控制(如果使用) |
Microsoft Entra ID 依赖于 Azure 中的时间同步机制。 Azure 支持在其运营环境中进行实时事件分析。 内部 Azure 基础结构系统将生成有关潜在入侵的准实时事件警报。 |
| 10.7.2 检测关键安全控制系统的故障并立即发出警报和解决,其中包括但不限于以下关键安全控制系统的故障: 网络安全控件 IDS/IP 更改检测机制 反恶意软件解决方案 物理访问控制 逻辑访问控制 审核日志记录机制 分段控制(如果使用) 审核日志审核机制 自动安全测试工具(如果使用) |
请参阅 Microsoft Entra安全操作指南 |
| 10.7.3 立即响应任何关键安全控制系统的故障,包括但不限于: 还原安全性函数。 确定并记录安全故障的持续时间(从开始到结束的日期和时间)。 确定和记录故障原因,并记录所需的修正。 确定并解决在故障期间出现的任何安全问题。 确定是否需要采取进一步措施来解决安全故障。 实施控制措施以防止故障原因再次出现。 恢复对安全控制的监视。 |
请参阅 Microsoft Entra安全操作指南 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。