Microsoft Entra ID 和 PCI-DSS 需求 5
需求 5:保護所有系統和網路免於惡意軟體
定義的方法需求
5.1 定義並瞭解保護所有系統和網路免於惡意軟體的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 5.1.1 需求 5 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 5.1.2 需求 5 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
5.2 惡意軟體 (惡意程式碼) 已防止或偵測並解決。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 5.2.1 反惡意程式碼解決方案會部署在所有系統元件上,但根據需求 5.2.3 定期評估中所識別的系統元件,認為系統元件不會蒙受惡意程式碼的風險。 | 部署需要裝置合規性的條件式存取原則。 使用合規性政策來設定您使用 Intune 管理之裝置的規則,整合裝置合規性狀態與反惡意程式碼解決方案。 在 Intune Mobile Threat Defense 與 Intune 整合中,使用條件式存取強制執行 適用於端點的 Microsoft Defender 合規性 |
| 5.2.2 已部署的反惡意程式碼解決方案: 偵測所有已知的惡意程式碼類型。 移除、封鎖或遏制所有已知類型的惡意程式碼。 |
不適用於 Microsoft Entra ID。 |
| 5.2.3 任何不具惡意程式碼風險的系統元件都會定期評估以包含下列內容: 記錄所有未面臨惡意程式碼風險的系統元件的清單。 識別和評估這些系統元件不斷演進的惡意程式碼威脅。 確認這類系統元件是否繼續不需要反惡意程式碼防護。 |
不適用於 Microsoft Entra ID。 |
| 5.2.3.1 根據需求 12.3.1 中指定的所有元素,定義實體目標風險分析中識別為不具惡意程式碼風險的系統元件定期評估頻率。 | 不適用於 Microsoft Entra ID。 |
5.3 反惡意程式碼機制和程序為作用中、有維護及監視。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 5.3.1 反惡意程式碼解決方案會透過自動更新保持最新狀態。 | 不適用於 Microsoft Entra ID。 |
| 5.3.2 反惡意程式碼解決方案: 執行定期掃描和作用中或實時掃描。 或 執行系統或程式的連續行為分析。 |
不適用於 Microsoft Entra ID。 |
| 5.3.2.1 如果定期執行惡意程式碼掃描以滿足需求 5.3.2,則會在實體的目標風險分析中定義掃描頻率,這會根據需求 12.3.1 中指定的所有元素來執行。 | 不適用於 Microsoft Entra ID。 |
| 5.3.3 針對卸除式電子媒體,反惡意程式碼解決方案: 在媒體插入、連線或邏輯掛接時執行自動掃描, 或 在插入、連線或邏輯掛接媒體時執行系統或程序的連續行為分析。 |
不適用於 Microsoft Entra ID。 |
| 5.3.4 反惡意程式碼解決方案的稽核記錄會根據需求 10.5.1 啟用並保留。 | 不適用於 Microsoft Entra ID。 |
| 5.3.5 確保防毒機制目前正在執行,而且,除非管理部門在一段有限的期間內明確地個別授權,否則使用者無法停用或更改。 | 不適用於 Microsoft Entra ID。 |
5.4 防網路釣魚機制可保護使用者免受網路釣魚攻擊。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 5.4.1 流程和自動化機制已就緒,以偵測和保護人員免受網路釣魚攻擊。 | 將 Microsoft Entra ID 設定為使用網路釣魚防護認證。 網路釣魚防護 MFA 的實作考慮 使用條件式存取中的控件,以要求使用網路釣魚防護認證進行驗證。 條件式存取驗證強度 指引與身分識別和存取管理設定相關。 若要減輕網路釣魚攻擊,請部署工作負載功能,例如在 Microsoft 365 中。 Microsoft 365 中的防網路釣魚防護 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。