Microsoft Entra ID 和 PCI-DSS 需求 10
需求 10:記錄和監視系統元件和持卡人資料的所有存取權
定義方法需求
10.1 定義並記載記錄和監視對系統元件與持卡人資料的所有存取的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.1.1 需求 10 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 10.1.2 需求 10 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
10.2 實作稽核記錄以支援異常和可疑活動的偵測,以及事件的鑑識分析。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.2.1 稽核記錄會針對所有系統元件和持卡人資料啟用且在作用中。 | 封存 Microsoft Entra 稽核記錄,以取得安全策略和 Microsoft Entra 租用戶設定的變更。 封存安全性資訊和事件管理 (SIEM) 系統中的 Microsoft Entra 活動記錄,以瞭解使用量。 Azure 監視器中的 Microsoft Entra 活動記錄 |
| 10.2.1.1 稽核記錄擷取所有個別使用者針對持卡人資料的存取。 | 不適用於 Microsoft Entra ID。 |
| 10.2.1.2 稽核記錄會擷取任何具有系統管理存取權的個人所採取的所有動作,包括任何應用程式或系統帳戶的互動式使用。 | 不適用於 Microsoft Entra ID。 |
| 10.2.1.3 稽核記錄會擷取稽核記錄的所有存取。 | 在 Microsoft Entra ID 中,您無法抹除或修改記錄。 具有權限的使用者可以從 Microsoft Entra ID 查詢記錄。 稽核記錄導出至 Azure Log Analytics 工作區、儲存器帳戶或第三方 SIEM 系統等系統時,依工作Microsoft Entra ID 中的最低特殊許可權角色,請加以監視以取得存取權。 |
| 10.2.1.4 稽核記錄會擷取所有無效的邏輯存取嘗試。 | 當使用者嘗試使用無效認證登入時,Microsoft Entra ID 會產生活動記錄。 因為條件式存取原則而拒絕存取時,它會產生活動記錄。 |
| 10.2.1.5 稽核記錄會擷取識別和驗證認證的所有變更,包括但不限於: 建立新帳戶 提高權限 具有系統管理存取權的帳戶變更、新增或刪除 |
Microsoft Entra ID 會產生此需求中事件的稽核記錄。 |
| 10.2.1.6 稽核記錄會擷取下列項目: 所有新稽核記錄的初始化,以及 所有啟動、停止或暫停現有稽核記錄。 |
不適用於 Microsoft Entra ID。 |
| 10.2.1.7 稽核記錄擷取所有系統層級物件的建立和刪除。 | Microsoft Entra ID 會產生此需求中事件的稽核記錄。 |
| 10.2.2 稽核記錄會記錄每個可稽核事件的詳細資料: 使用者識別。 事件類別。 日期及時間。 指出成功和失敗。 事件的起源。 受影響的資料、系統元件、資源或服務的身分識別或名稱 (例如名稱和通訊協定)。 |
請參閱在 Microsoft Entra ID 中稽核記錄 |
10.3 稽核記錄受到保護,不會遭到毀損和未經授權的修改。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.3.1 稽核記錄檔的讀取存取限於具有作業相關需求的記錄檔。 | 具有權限的使用者可以從 Microsoft Entra ID 查詢記錄。 Microsoft Entra ID 中工作的最低特殊權限角色 |
| 10.3.2 稽核記錄檔受到保護,以防止個人修改。 | 在 Microsoft Entra ID 中,您無法抹除或修改記錄。 當稽核記錄匯出到 Azure Log Analytics 工作區、儲存體帳戶或第三方 SIEM 系統等系統時,請對其進行存取監視。 |
| 10.3.3 稽核記錄檔,包括外部技術,會立即備份到難以修改的安全、中央、內部記錄伺服器或其他媒體。 | 在 Microsoft Entra ID 中,您無法抹除或修改記錄。 當稽核記錄匯出到 Azure Log Analytics 工作區、儲存體帳戶或第三方 SIEM 系統等系統時,請對其進行存取監視。 |
| 10.3.4 稽核記錄上使用檔案完整性監視或變更偵測機制,以確保在不會產生警示的情況下,無法變更現有的記錄資料。 | 在 Microsoft Entra ID 中,您無法抹除或修改記錄。 當稽核記錄匯出到 Azure Log Analytics 工作區、儲存體帳戶或第三方 SIEM 系統等系統時,請對其進行存取監視。 |
10.4 檢閱稽核記錄,識別異常或可疑活動。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.4.1 下列稽核記錄至少每天檢閱一次: 所有安全性事件。 儲存、處理或傳輸持卡人資料的所有系統元件記錄 (CHD) 和/或敏感資料 (SAD)。 所有重要系統元件的記錄。 執行安全性功能 (例如網路安全性控制、入侵偵測系統/入侵防護系統 (IDS/IPS)、驗證伺服器等) 之所有伺服器和系統元件的記錄。 |
此流程中包含 Microsoft Entra 記錄。 |
| 10.4.1.1 自動化機制可用來執行稽核記錄檢閱。 | 此流程中包含 Microsoft Entra 記錄。 當 Microsoft Entra 記錄與 Azure 監視器整合時,設定自動化動作和警示。 部署 Azure 監視器:警示和自動化動作 |
| 10.4.2 定期檢閱所有其他系統元件 (需求 10.4.1 中未指定的元件) 的日誌。 | 不適用於 Microsoft Entra ID。 |
| 10.4.2.1 所有其他系統元件定期記錄檢閱的頻率 (未定義於需求 10.4.1) 定義於實體的目標風險分析中,這會根據需求 12.3.1 中指定的所有元素執行 | 不適用於 Microsoft Entra ID。 |
| 10.4.3 檢閱處理期間所識別的例外狀況與異常狀況將得到解決。 | 不適用於 Microsoft Entra ID。 |
10.5 保留稽核記錄歷程記錄,供分析之用。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.5.1 至少保留稽核記錄記錄 12 個月,至少最近三個月立即可供分析。 | 與 Azure 監視器整合並導出長期封存的記錄。 整合 Microsoft Entra 記錄與 Azure 監視器記錄 瞭解Microsoft Entra 記錄數據保留原則。 Microsoft Entra 資料保留 |
10.6 時間同步化機制支援所有系統的一致時間設定。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.6.1 系統時鐘與時間會使用時間同步處理技術進行同步處理。 | 瞭解 Azure 服務中的時間同步處理機制。 Azure 中財經服務的時間同步處理 |
| 10.6.2 系統設定為正確且一致的時間,如下所示: 一或多個指定的時間伺服器正在使用中。 只有指定的中央時間伺服器從外部來源接收時間。 從外部來源收到的時間是以國際原子時間或國際標準時間 (UTC) 為基礎。 指定的時間伺服器只接受來自特定業界接受的外部來源的時間更新。 其中有多個指定的時間伺服器,時間伺服器會彼此對等互連,以保持精確的時間。 內部系統只會從指定的中央時間伺服器接收時間資訊。 |
瞭解 Azure 服務中的時間同步處理機制。 Azure 中財經服務的時間同步處理 |
| 10.6.3 時間同步處理設定和資料會受到保護,如下所示: 只有具備商務需求的人員才能存取時間資料。 記錄、監視及檢閱重要系統上時間設定的任何變更。 |
Microsoft Entra ID 依賴 Azure 中的時間同步處理機制。 Azure 程序會將伺服器和網路裝置與 NTP Stratum 1-time 伺服器同步處理到全球定位系統 (GPS) 衛星。 同步處理每五分鐘執行一次。 Azure 可確保服務主機同步時間。 Microsoft Entra ID 中 Azure 混合式元件中的金融服務時間同步處理,例如Microsoft Entra Connect 伺服器,與內部部署基礎結構互動。 客戶擁有內部部署伺服器的時間同步處理。 |
10.7 偵測、報告並及時回應重大安全性控制系統的失敗。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 10.7.2 僅限服務提供者的其他需求:偵測到重大安全性控制系統失敗、警示並立即解決,包括但不限於下列重要安全性控制系統的失敗: 網路安全性控制 標識符/IPS 檔案完整性監視 (FIM) 反惡意代碼解決方案 實體訪問控制 邏輯訪問控制 稽核記錄機制 分割控件(如果使用) |
Microsoft Entra ID 依賴 Azure 中的時間同步處理機制。 Azure 在其操作環境中支持即時事件分析。 內部 Azure 基礎結構系統會產生近即時的事件警示,以警示潛在危害。 |
| 10.7.2 重大安全性控制系統失敗時,會立即偵測、警示和解決,包括但不限於下列重要安全性控制系統失敗: 網路安全控制 IDS/IP 變更偵測機制 反惡意程式碼解決方案 實體存取控制 邏輯存取控制 稽核記錄機制 分割稽核記錄機制控制項 (如果使用) 稽核記錄檢閱機制 自動化安全性測試工具 (如果使用) |
請參閱 Microsoft Entra 安全性作業指南 |
| 10.7.3 任何重要安全性控制系統的失敗都會立即回應,包括但不限於: 還原安全性功能。 識別並記錄安全性失敗的持續時間 (從開始至結束的日期和時間)。 識別並記錄失敗原因,並記錄必要的補救。 識別並解決在失敗期間引發的安全性問題。 判斷是否因安全性失敗而需要進行進一步的動作。 實作控件以防止發生失敗的原因。 繼續監視安全性控制。 |
請參閱 Microsoft Entra 安全性作業指南 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。