Поделиться через


Настройка идентификатора записи Майкрософт для соответствия CMMC уровня 2

Идентификатор Microsoft Entra помогает соответствовать требованиям, связанным с удостоверениями, в каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям на уровне 2 cmMC версии 2.0, это ответственность компаний, выполняющих работу с, а также от имени министерства обороны США (DoD) для выполнения других конфигураций или процессов.

На уровне 2 CMMC есть 13 доменов, которые имеют одну или несколько методик, связанных с удостоверением:

  • Управление доступом (AC)
  • Аудит и подотчетность (AU)
  • Управление конфигурацией (CM)
  • Идентификация и проверка подлинности (IA)
  • Реагирование на инциденты (IR)
  • Обслуживание (MA)
  • Защита данных на носителях
  • Безопасность персонала
  • Физическая защита (PE)
  • Оценка риска (RA)
  • Оценка безопасности (ЦС)
  • Защита системы и средств передачи данных
  • Целостность системы и данных

Остальная часть этой статьи содержит рекомендации для всех доменов, кроме контроль доступа (AC) и идентификации и проверки подлинности (IA), которые рассматриваются в других статьях. Для каждого домена есть таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.

Аудит и отчетность

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
АУ. L2-3.3.1

Инструкция практики. Создание и сохранение журналов и записей системного аудита для включения мониторинга, анализа, расследования и отчетности о незаконной или несанкционированной системной деятельности.

Цели:
Определите, если:
[a.] журналы аудита (например, типы событий для ведения журнала) для включения мониторинга, анализа, расследования и создания отчетов о незаконной или несанкционированной системной активности;
[b.] Содержимое записей аудита, необходимых для поддержки мониторинга, анализа, расследования и отчетности о незаконной или несанкционированной системной деятельности;
[c.] записи аудита создаются (создаются);
[d.] записи аудита, после создания, содержат определенное содержимое;
[e.] Определены требования к хранению записей аудита; и
[f.] Записи аудита сохраняются в соответствии с определенными параметрами.

АУ. L2-3.3.2

Инструкции практики. Убедитесь, что действия отдельных системных пользователей могут быть уникальным образом трассировки для этих пользователей, чтобы они могли быть привлечены к ответственности за свои действия.

Цели:
Определите, если:
[a.] Содержимое записей аудита, необходимых для поддержки возможности уникальной трассировки пользователей к их действиям; и
[b.] записи аудита, созданные после создания, содержат определенное содержимое.
Все операции проверяются в журналах аудита Microsoft Entra. Каждая запись журнала аудита содержит неизменяемый идентификатор объекта пользователя, который можно использовать для уникальной трассировки отдельного системного пользователя к каждому действию. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений.
Отчеты об активности аудита в портал Azure
Подключение данных Microsoft Entra к Microsoft Sentinel
Учебник по потоковой передаче журналов в концентратор событий Azure
АУ. L2-3.3.4

Оператор практики: оповещение, если процесс ведения журнала аудита завершается сбоем.

Цели:
Определите, если:
[a.] персонал или роли, которые должны быть оповещены, если обнаружен сбой процесса ведения журнала аудита;
[b.] типы сбоев процесса ведения журнала аудита, для которых будет создано оповещение; и
[c] Определенные сотрудники или роли оповещаются в случае сбоя процесса ведения журнала аудита.
Служба Azure Service Health уведомляет вас об инцидентах службы Azure, чтобы вы могли принять меры для устранения простоя. Настройте настраиваемые облачные оповещения для идентификатора Microsoft Entra.
Что такое служба работоспособности служб Azure?
Три способа получения уведомлений о проблемах службы Azure
Работоспособность служб Azure
АУ. L2-3.3.6

Инструкция практики. Предоставление сокращения записей аудита и создания отчетов для поддержки анализа и отчетности по запросу.

Цели:
Определите, если:
[a.] предоставляется возможность сокращения записей аудита, которая поддерживает анализ по запросу; и
[b.] Предоставляется возможность создания отчетов, которая поддерживает отчеты по запросу.
Убедитесь, что события Microsoft Entra включены в стратегию ведения журнала событий. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений. Используйте управление правами Microsoft Entra с проверками доступа, чтобы обеспечить состояние соответствия учетных записей.
Отчеты об активности аудита в портал Azure
Подключение данных Microsoft Entra к Microsoft Sentinel
Учебник по потоковой передаче журналов в концентратор событий Azure
АУ. L2-3.3.8

Инструкция практики. Защита сведений аудита и средств ведения журнала аудита от несанкционированного доступа, изменения и удаления.

Цели:
Определите, если:
[a.] сведения аудита защищены от несанкционированного доступа;
[b.] информация аудита защищена от несанкционированного изменения;
[c.] сведения аудита защищены от несанкционированного удаления;
[d.] средства ведения журнала аудита защищены от несанкционированного доступа;
[e.] средства ведения журнала аудита защищены от несанкционированного изменения; и
[f.] средства ведения журнала аудита защищены от несанкционированного удаления.

АУ. L2-3.3.9

Инструкция практики. Ограничение управления функциями ведения журнала аудита до подмножества привилегированных пользователей.

Цели:
Определите, если:
[a.] Определяется подмножество привилегированных пользователей, которым предоставлен доступ для управления функциями ведения журнала аудита; и
[b.] Управление функциями ведения журнала аудита ограничено определенным подмножеством привилегированных пользователей.
Журналы Microsoft Entra хранятся по умолчанию в течение 30 дней. Эти журналы не могут изменять или удаляться и доступны только для ограниченного набора привилегированных ролей.
Журналы входа в Microsoft Entra ID
Журналы аудита в идентификаторе Microsoft Entra

Управление конфигурацией (CM)

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
CM.L2-3.4.2

Инструкция практики. Создание и применение параметров конфигурации безопасности для продуктов информационной технологии, используемых в организационных системах.

Цели:
Определите, если:
[a.] Параметры конфигурации безопасности для продуктов информационной технологии, используемых в системе, устанавливаются и включаются в базовую конфигурацию; и
[b.] Применяются параметры конфигурации безопасности для продуктов информационной технологии, используемых в системе.
Внедрение состояния безопасности нулевого доверия. Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения параметров конфигурации безопасности на устройстве с помощью решений MDM, таких как Microsoft Intune. Объекты Microsoft Configuration Manager или групповой политики также могут рассматриваться в гибридных развертываниях и в сочетании с условным доступом требуют гибридного присоединенного устройства Microsoft Entra.

Нулевое доверие
Защита удостоверения с использованием нулевого доверия

Условный доступ
Что такое условный доступ в идентификаторе Microsoft Entra?
Предоставление элементов управления в политике условного доступа

Политики устройств
Что такое Microsoft Intune?
Что такое Defender for Cloud Apps?
Что такое управление приложениями в Microsoft Intune?
Решения по управлению конечными точками Майкрософт
CM.L2-3.4.5

Инструкция практики. Определение, документ, утверждение и применение ограничений физического и логического доступа, связанных с изменениями в организационных системах.

Цели:
Определите, если:
[a.] определяются ограничения физического доступа, связанные с изменениями в системе;
[b.] Ограничения физического доступа, связанные с изменениями в системе, документируются;
[c.] утверждены ограничения физического доступа, связанные с изменениями в системе;
[d.] применяются ограничения физического доступа, связанные с изменениями в системе;
[e.] Определяются ограничения логического доступа, связанные с изменениями системы;
[f.] Ограничения логического доступа, связанные с изменениями системы, документируются;
[g.] Утверждены ограничения логического доступа, связанные с изменениями системы; и
[h.] Применяются ограничения логического доступа, связанные с изменениями в системе.
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. У клиентов нет физического доступа к центрам обработки данных Microsoft Entra. Таким образом, каждое ограничение физического доступа удовлетворяется корпорацией Майкрософт и наследуется клиентами идентификатора Microsoft Entra. Реализуйте элементы управления доступом на основе ролей Microsoft Entra. Исключите постоянный привилегированный доступ, предоставляйте доступ только вовремя с рабочими процессами утверждения с управление привилегированными пользователями.
Обзор управления доступом на основе ролей Microsoft Entra (RBAC)
Что такое Privileged Identity Management?
Утверждение или отклонение запросов для ролей Microsoft Entra в PIM
CM.L2-3.4.6

Инструкция практики. Использование принципа наименьшей функциональности путем настройки организационных систем для предоставления только важных возможностей.

Цели:
Определите, если:
[a.] основные системные возможности определяются на основе принципа наименьшей функциональности; и
[b.] Система настроена для предоставления только определенных основных возможностей.
Настройте решения для управления устройствами (например, Microsoft Intune), чтобы реализовать настраиваемые базовые показатели безопасности, применяемые к системам организации, чтобы удалить неиспользаемые приложения и отключить ненужные службы. Оставьте только наименьшие возможности, необходимые для эффективной работы систем. Настройте условный доступ для ограничения доступа к соответствующим устройствам или гибридным устройствам, присоединенным к Microsoft Entra.
Что такое Microsoft Intune
Требовать, чтобы устройство было отмечено как соответствующее
Предоставление элементов управления в политике условного доступа . Требуется гибридное устройство, присоединенное к Microsoft Entra
CM.L2-3.4.7

Оператор практики: ограничение, отключение или предотвращение использования бессенциальных программ, функций, портов, протоколов и служб.

Цели:
Определите, если:
Определены основные программы [a.];
[b.] Определяется использование ненессных программ;
[c.] использование бессенциальных программ ограничено, отключено или запрещено как определено;
[d.] определены основные функции;
[e.] определяется использование ненессных функций;
[f.] использование невенсиальных функций ограничено, отключено или запрещено как определено;
[g.] определены основные порты;
[h.] Определяется использование невенсиальных портов;
[i.] использование ненессных портов ограничено, отключено или запрещено как определено;
[j.] определены основные протоколы;
[k.] определяется использование протоколов nonessential;
[l.] использование протоколов nonessential ограничено, отключено или запрещено, как определено;
[m.] определены основные службы;
[n.] Определяется использование невенсиальных служб; и
[o.] Использование невенсиальных служб ограничено, отключено или запрещено как определено.
Используйте роль администратора приложений для делегирования авторизованного использования основных приложений. Использование ролей приложений или группирования утверждений для управления минимальными привилегиями доступа в приложении. Настройте согласие пользователя, чтобы требовать утверждения администратора и не разрешать согласие владельца группы. Настройте рабочие процессы запроса согласия администратора, чтобы пользователи могли запрашивать доступ к приложениям, которым требуется согласие администратора. Используйте Microsoft Defender для облака Приложения, чтобы определить неуправляемое или неизвестное использование приложения. Используйте эту телеметрию, чтобы затем определить важные или неисключаемые приложения.
Встроенные роли Microsoft Entra — администратор приложений
Роли приложений Microsoft Entra — роли приложений и группы
Настройка согласия конечных пользователей для приложений с помощью Azure Active Directory
Настройка согласия владельца группы для приложений, обращаюющихся к данным группы
Настройка рабочего процесса согласия администратора
Что такое Defender for Cloud Apps?
Руководство по поиску и управлению теневым ИТ-руководством
CM.L2-3.4.8

Инструкция практики. Применение политики запрета по исключению (блок-списку) для предотвращения использования несанкционированного программного обеспечения или запрета всех, разрешенных (allowlist) политик, чтобы разрешить выполнение авторизованного программного обеспечения.

Цели:
Определите, если:
[a.] политика, указывающая, следует ли реализовать список разрешений или блок-список;
[b.] указано программное обеспечение, которое разрешено выполнять в списке разрешений или запрещено использовать в блок-списке; и
[c.] список разрешений, позволяющий выполнять авторизованное программное обеспечение или блок-список, чтобы предотвратить использование несанкционированного программного обеспечения, как указано.

CM.L2-3.4.9

Инструкция практики: управление и мониторинг установленного пользователем программного обеспечения.

Цели:
Определите, если:
[a.] Устанавливается политика управления установкой программного обеспечения пользователями;
[b.] Установка программного обеспечения пользователями контролируется на основе установленной политики; и
[c.] Выполняется мониторинг установки программного обеспечения пользователями.
Настройте политику управления MDM и конфигурацией, чтобы предотвратить использование несанкционированного программного обеспечения. Настройте элементы управления условным доступом, чтобы требовать соответствие или гибридное присоединенное устройство для включения соответствия устройств политике управления MDM/configuration в решение авторизации условного доступа.
Что такое Microsoft Intune
Условный доступ— требуется совместимое или гибридное присоединенное устройства

Реагирование на инциденты (IR)

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
ИНФРАКРАСНЫЙ. L2-3.6.1

Инструкция практики. Создание операционной возможности обработки инцидентов для организационных систем, включающих подготовку, обнаружение, анализ, сдерживание, восстановление и действия реагирования пользователей.

Цели:
Определите, если:
[a.] устанавливается возможность обработки рабочих инцидентов;
[b.] возможность обработки инцидентов включает подготовку;
[c.] возможность обработки инцидентов включает обнаружение;
[d.] возможность обработки инцидентов включает в себя анализ;
[e.] Функциональность обработки инцидентов включает в себя сдерживание;
[f.] функция обработки инцидентов включает восстановление; и
[g.] Возможность обработки рабочих инцидентов включает действия реагирования пользователей.
Реализуйте возможности обработки и мониторинга инцидентов. В журналах аудита регистрируются все изменения конфигурации. События проверки подлинности и авторизации проверяются в журналах входа, и все обнаруженные риски проверяются в журналах Защита идентификации Microsoft Entra. Вы можете передать каждый из этих журналов непосредственно в решение SIEM решение, например в Microsoft Sentinel. Кроме того, с помощью Центров событий Azure можно интегрировать журналы со сторонними решениями SIEM.

События аудита
Отчеты об активности аудита в портал Azure
Отчеты о действиях входа в портал Azure
Руководство. Анализ риска.

Интеграция SIEM
Microsoft Sentinel: подключение данных из Microsoft Entra IDStream к концентратору событий Azure и другим SIEMs

Обслуживание (MA)

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
МАМА. L2-3.7.5

Оператор практики. Требуется многофакторная проверка подлинности для установления сеансов нелокального обслуживания через внешние сетевые подключения и завершения таких подключений при завершении нелокального обслуживания.

Цели:
Определите, если:
[a.] Многофакторная проверка подлинности используется для установления нелокальных сеансов обслуживания через внешние сетевые подключения; и
[b.] Нелокальные сеансы обслуживания, установленные через подключения к внешней сети, завершаются после завершения нелокального обслуживания.
Учетные записи, назначенные правами администратора, предназначены для злоумышленников, включая учетные записи, используемые для создания сеансов обслуживания, не являющихся локальными. Обязательная многофакторная проверка подлинности (MFA) для таких учетных записей — это простой способ уменьшить риск их взлома.
Условный доступ— требуется MFA для администраторов
НАРДЕП. L2-3.8.7

Инструкция практики. Управление использованием съемных носителей на системных компонентах.

Цели:
Определите, если:
[a.] Управление использованием съемных носителей на системных компонентах.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики для управления использованием съемных носителей в системах. Развертывание и управление съемным хранилищем контроль доступа с помощью Intune, Configuration Manager или групповой политики. Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

Intune
Политики соответствия устройств в Microsoft Intune

Управление доступом к съемным хранилищам
Развертывание и управление съемным хранилищем контроль доступа с помощью Intune
Развертывание и управление съемным хранилищем контроль доступа с помощью групповой политики

Безопасность персонала

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
PS. L2-3.9.2

Инструкция практики. Убедитесь, что организационные системы, содержащие CUI, защищены во время и после действий персонала, таких как завершение и передача.

Цели:
Определите, если:
[a.] Политика и (или) процесс прекращения доступа к системе и любые учетные данные, совпадающие с действиями персонала, устанавливаются;
[b.] системный доступ и учетные данные прерваны в соответствии с действиями персонала, такими как завершение или передача; и
[c] система защищена во время и после действий по передаче персонала.
Настройте подготовку (включая отключение при завершении) учетных записей в идентификаторе Microsoft Entra из внешних систем управления персоналом, локальная служба Active Directory или непосредственно в облаке. Запретите любой доступ к системе, отозвав существующие сеансы.

Подготовка учетных записей
Что такое подготовка удостоверений с помощью идентификатора Microsoft Entra?
Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации
Что такое облачная синхронизация Microsoft Entra Connect?

Отмена всех связанных аутентификаторов
Отмена доступа пользователей в чрезвычайных ситуациях в идентификаторе Microsoft Entra

Защита системы и средств передачи данных

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
SC. L2-3.13.3

Инструкция практики. Разделение функциональных возможностей пользовательской системы управления системой.

Цели:
Определите, если:
[a.] определяется функциональность пользователей;
[b.] Определяется функция управления системой; и
[c.] Функциональные возможности пользователей отделены от функций управления системой.
Сохраняйте отдельные учетные записи пользователей в идентификаторе Microsoft Entra для повседневного использования производительности и администрирования или управления привилегированными пользователями. Привилегированные учетные записи должны быть облачными или управляемыми учетными записями, а не синхронизированы из локальной среды для защиты облачной среды от локального компрометации. Системный или привилегированный доступ должен быть разрешен только из рабочей станции привилегированного доступа (PAW). Настройте фильтры устройств условного доступа, чтобы ограничить доступ к административным приложениям из рабочих столов Azure, которые включены с помощью виртуальных рабочих столов Azure.
Почему важны устройства с привилегированным доступом
Роли и профили устройств
Фильтрация устройств в качестве условия в политике условного доступа
Виртуальный рабочий стол Azure
SC. L2-3.13.4

Инструкция практики. Предотвращение несанкционированного и непреднамеренного передачи информации с помощью общих системных ресурсов.

Цели:
Определите, если:
[a.] Неавторизованные и непреднамеренные передачи информации через общие системные ресурсы не разрешены.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики (GPO), чтобы обеспечить соответствие устройств процедурам защиты системы. Включите соответствие политике компании в отношении исправлений программного обеспечения, чтобы предотвратить использование злоумышленниками недостатков.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune
SC. L2-3.13.13

Инструкция практики: контроль и мониторинг использования мобильного кода.

Цели:
Определите, если:
[a.] управление использованием мобильного кода; и
[b.] мониторинг использования мобильного кода.
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики (GPO), чтобы отключить использование мобильного кода. При использовании мобильного кода требуется отслеживать использование с безопасностью конечных точек, например Microsoft Defender для конечной точки.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune

Defender для конечной точки
Microsoft Defender для конечной точки

Целостность системы и данных

В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.

Заявление и цели практики CMMC Рекомендации и рекомендации Microsoft Entra
СИ. L2-3.14.7

Оператор практики:

Цели. Определение несанкционированного использования организационных систем.
Определите, если:
[a.] определено авторизованное использование системы; и
[b.] Неавторизованное использование системы определяется.
Консолидация данных телеметрии: журналы Microsoft Entra для потоковой передачи в SIEM, например Azure Sentinel Configure device management policies via MDM (например, Microsoft Intune), Configuration Manager или объекты групповой политики (GPO), чтобы требовать обнаружения и защиты вторжений (IDS/IPS), таких как Microsoft Defender для конечной точки устанавливается и используется. Используйте данные телеметрии, предоставляемые IDS/IPS, для выявления необычных действий или условий, связанных с трафиком входящего и исходящего трафика или несанкционированным использованием.

Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

Условный доступ
Требовать, чтобы устройство было отмечено как соответствующее
Требовать гибридное устройство, присоединенное к Microsoft Entra

InTune
Политики соответствия устройств в Microsoft Intune

Defender для конечной точки
Microsoft Defender для конечной точки

Следующие шаги