Microsoft Entra ID 和 PCI-DSS 要求 5
要求 5:保护所有系统和网络免受恶意软件侵害
定义的方法要求
5.1 定义并了解保护所有系统和网络免受恶意软件侵害的过程和机制。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 5.1.1 要求 5 中确定的所有安全策略和操作过程需: 已载明 保持最新状态 在使用中 为所有受影响方所知晓 |
根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
| 5.1.2 记录、分配并了解执行要求 5 中的活动的角色和职责。 | 根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
5.2 阻止或检测并解决恶意软件。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 5.2.1 在所有系统组件上部署反恶意软件解决方案,但根据要求 5.2.3 进行的定期评估表明没有恶意软件风险的系统组件除外。 | 部署需要满足设备合规性的条件访问策略。 使用合规性策略为通过 Intune 管理的设备设置规则 将设备合规性状态与反恶意软件解决方案集成。 通过 Intune 中的条件访问强制实现 Microsoft Defender for Endpoint 合规性 移动威胁防御与 Intune 集成 |
| 5.2.2 部署的反恶意软件解决方案需: 检测所有已知类型的恶意软件。 移除、阻止或遏制所有已知类型的恶意软件。 |
不适用于 Microsoft Entra ID。 |
| 5.2.3 定期评估任何没有恶意软件风险的系统组件,以包括以下内容: 记录一份所有没有恶意软件风险的系统组件的列表。 识别和评估影响这些系统组件的不断演变的恶意软件威胁。 确认此类系统组件是否继续不需要反恶意软件保护。 |
不适用于 Microsoft Entra ID。 |
| 5.2.3.1 在实体的目标风险分析(该分析根据要求 12.3.1 中指定的所有元素执行)中定义可将系统组件确定为没有恶意软件风险的定期评估的频率。 | 不适用于 Microsoft Entra ID。 |
5.3 反恶意软件机制和过程处于活动状态,且受到维护和监视。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 5.3.1 反恶意软件解决方案通过自动更新保持最新状态。 | 不适用于 Microsoft Entra ID。 |
| 5.3.2 反恶意软件解决方案需: 执行定期扫描以及活动或实时扫描。 或者 对系统或过程执行持续的行为分析。 |
不适用于 Microsoft Entra ID。 |
| 5.3.2.1如果执行定期恶意软件扫描以满足要求 5.3.2,则需在实体的目标风险分析(该分析根据要求 12.3.1 中指定的所有元素执行)中定义扫描频率。 | 不适用于 Microsoft Entra ID。 |
| 5.3.3 对于可移动电子媒体,反恶意软件解决方案需: 在插入、连接或逻辑装载此类媒体时执行自动扫描, 或者 在插入、连接或逻辑装载此类媒体时对系统或过程执行持续的行为分析。 |
不适用于 Microsoft Entra ID。 |
| 5.3.4 根据要求 10.5.1 启用并保留反恶意软件解决方案的审核日志。 | 不适用于 Microsoft Entra ID。 |
| 5.3.5 确保除非管理部门针对具体情况就特定时间段专门载明和授权,否则用户无法禁用或更改反恶意软件机制。 | 不适用于 Microsoft Entra ID。 |
5.4 反网络钓鱼机制可保护用户免受网络钓鱼攻击。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 5.4.1 已建立检测并保护人员免受网络钓鱼攻击的过程和自动化机制。 | 配置 Microsoft Entra ID 以使用防钓鱼凭据。 防网络钓鱼 MFA 的实现注意事项 使用条件访问中的控件来要求使用防网络钓鱼凭据进行身份验证。 条件访问身份验证强度 此处的指导与标识和访问管理配置相关。 若要缓解网络钓鱼攻击,请部署相应服务(例如 Microsoft 365)中的工作负载功能。 Microsoft 365 中的防网络钓鱼保护 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。