Поделиться через

Настройка дополнительных элементов управления для обеспечения высокого уровня влияния FedRAMP

  • Статья

В следующем списке элементов управления (и улучшения элементов управления) может потребоваться настройка в клиенте Microsoft Entra.

Каждая строка в следующих таблицах содержит предписательное руководство. Это руководство поможет вам разработать ответ вашей организации на любые общие обязанности по улучшению управления или контроля.

Аудит и подотчетность

Рекомендации в следующей таблице относятся:

  • События аудита AU-2
  • Содержимое аудита AU-3
  • Проверка, анализ и отчеты аудита AU-6
Идентификатор и описание элемента управления FedRAMP Рекомендации и рекомендации Microsoft Entra
События аудита AU-2
Организация:
(a.) Определяет, что информационная система может выполнять аудит следующих событий: [Назначение FedRAMP: [Успешные и неудачные события входа в учетную запись, события управления учетными записями, доступ к объектам, изменение политики, функции привилегий, отслеживание процессов и системные события. Для веб-приложений: все действия администратора, проверки подлинности, проверки авторизации, удаление данных, доступ к данным, изменения данных и изменения разрешений];
(b.) Координирует функцию аудита безопасности с другими организациями, требующими сведений об аудите, чтобы повысить взаимную поддержку и помочь в выборе событий, доступных для аудита;
(c.) Предоставляет обоснование того, почему проверяемые события считаются достаточными для поддержки после фактических расследований инцидентов безопасности; и
(d.) Определяет, что в информационной системе должны быть проверены следующие события: [Назначение FedRAMP: определенное организацией подмножество событий аудита, определенных в AU-2 а. для постоянного аудита для каждого идентифицированного события].

Дополнительные требования и рекомендации FedRAMP AU-2:
Требование. Координация между поставщиком услуг и потребителем должна быть задокументирована и принята JAB/AO.

Записи содержимого и аудита AU-3
Информационная система создает записи аудита, содержащие сведения, определяющие тип события, когда произошло событие, где произошло событие, источник события, результат события, результат события и личность любого человека или субъекта, связанного с событием.

AU-3(1)
Информационная система создает записи аудита, содержащие следующие дополнительные сведения: [Назначение FedRAMP: определенная организацией дополнительная, более подробная информация].

AU-3 (1) Дополнительные требования и рекомендации FedRAMP:
Требование. Поставщик услуг определяет типы записей аудита [назначение FedRAMP: сеанс, соединение, транзакция или длительность действия; для транзакций с клиентским сервером, количество полученных и отправленных байтов; дополнительные информационные сообщения для диагностики или идентификации события; характеристики, описывающие или определяющие объект или ресурс, которые действовали; отдельные удостоверения пользователей учетной записи группы; полный текст привилегированных команд]. Типы записей аудита утверждены и принимаются JAB/AO.
Руководство. Для транзакций с клиентским сервером количество отправленных и полученных байтов предоставляет двунаправленную информацию о передаче, которая может быть полезна во время расследования или расследования.

AU-3(2)
Информационная система обеспечивает централизованное управление и настройку содержимого для записи аудита, созданной [назначением FedRAMP: всеми сетями, хранилищем данных и вычислительными устройствами].		 Убедитесь, что система может выполнять аудит событий, определенных в части AU-2. Координируется с другими сущностями в подмножестве событий, доступных для аудита, для поддержки расследований после фактов. Реализуйте централизованное управление записями аудита.

Все операции жизненного цикла учетной записи (создание учетной записи, изменение, включение, отключение и удаление) проверяются в журналах аудита Microsoft Entra. Все события проверки подлинности и авторизации проверяются в журналах входа в Microsoft Entra, и все обнаруженные риски проверяются в журналах Защита идентификации Microsoft Entra. Вы можете передавать каждый из этих журналов непосредственно в решение для управления безопасностью и событиями (SIEM), например Microsoft Sentinel. Кроме того, используйте Центры событий Azure для интеграции журналов с сторонними решениями SIEM.

События аудита

  • Аудит отчетов о действиях в Центре администрирования Microsoft Entra
  • Отчеты о действиях входа в Центре администрирования Microsoft Entra
  • Практическое руководство. Изучение риска

    Интеграция SIEM

  • Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra
  • Потоковая передача в концентратор событий Azure и другие SIEM
    		•
    Проверка, анализ и отчеты аудита AU-6
    Организация:
    (a.) Проверяет и анализирует записи аудита информационной системы [Назначение FedRAMP: по крайней мере еженедельно] для указания [назначение: определяемое организацией неуместные или необычные действия];
    (b.) Сообщает результаты [назначение: определенный организацией персонал или роли].
    Дополнительные требования и рекомендации FedRAMP AU-6:
    Требование. Координация между поставщиком услуг и потребителем должна быть задокументирована и принята должностным лицом по авторизации. В мультитенантных средах, возможностях и средствах для предоставления проверки, анализа и отчетности потребителю данных, относящихся к потребителю, необходимо задокументировать.

    AU-6(1)
    Организация использует автоматизированные механизмы для интеграции процессов проверки аудита, анализа и отчетности для поддержки организационных процессов для расследования и реагирования на подозрительные действия.

    AU-6(3)
    Организация анализирует и сопоставляет записи аудита в разных репозиториях, чтобы получить осведомленность о ситуации на уровне организации.

    AU-6(4)
    Информационная система предоставляет возможность централизованного просмотра и анализа записей аудита из нескольких компонентов в системе.

    AU-6(5)
    Организация интегрирует анализ записей аудита с анализом [Выбор FedRAMP (один или несколько): сведения об сканировании уязвимостей; данные о производительности; сведения о мониторинге информационной системы; данные теста на проникновение; [Назначение: определяемые организацией данные/сведения, собранные из других источников]] для дальнейшего улучшения возможностей выявления неуместных или необычных действий.

    AU-6(6)
    Организация сопоставляет информацию из записей аудита с информацией, полученной от мониторинга физического доступа, чтобы повысить способность выявлять подозрительные, неуместные, необычные или злонамеренное действие.
    Дополнительные требования и рекомендации FedRAMP AU-6:
    Требование. Координация между поставщиком услуг и потребителем должна быть задокументирована и принята JAB/AO.

    AU-6(7)
    Организация задает разрешенные действия для каждого [выбора FedRAMP (один или несколько): информационный процесс; роль; пользователь], связанный с проверкой, анализом и отчетом о данных аудита.

    AU-6(10)
    Организация корректирует уровень аудита, анализа и отчетности в информационной системе при изменении риска на основе информации правоохранительных органов, разведывательной информации или других надежных источников информации.    		 Просмотрите и проанализируйте записи аудита по крайней мере один раз в неделю, чтобы определить неуместные или необычные действия, а также сообщить о результатах соответствующим сотрудникам.

    Предыдущее руководство, предоставленное для AU-02 и AU-03, позволяет еженедельно просматривать записи аудита и сообщать соответствующим сотрудникам. Эти требования не могут соответствовать только идентификатору Microsoft Entra. Кроме того, необходимо использовать решение SIEM, например Microsoft Sentinel. Дополнительные сведения см. в статье "Что такое Microsoft Sentinel?".

    Реагирование на инциденты

    Рекомендации в следующей таблице относятся:

    • Обработка инцидентов IR-4

    • Мониторинг инцидентов IR-5

    Идентификатор и описание элемента управления FedRAMP Рекомендации и рекомендации Microsoft Entra
    Обработка инцидентов IR-4
    Организация:
    (a.) Реализует возможность обработки инцидентов для инцидентов безопасности, включая подготовку, обнаружение и анализ, сдерживание, искоренение и восстановление;
    (b.) Координирует действия по обработке инцидентов с действиями по планированию на непредвиденные случаи; и
    (c.) Включает в себя уроки, извлеченные из текущих действий по обработке инцидентов в процедуры реагирования на инциденты, обучение и тестирование/упражнения, и реализует соответствующие изменения.
    Дополнительные требования и рекомендации FedRAMP IR-4:
    Требование. Поставщик услуг гарантирует, что лица, выполняющие обработку инцидентов, соответствуют требованиям безопасности персонала, соответствующим критическим и конфиденциальности обрабатываемой, хранимой и передаваемой информационной системой информации.

    IR-04(1)
    Организация использует автоматизированные механизмы для поддержки процесса обработки инцидентов.

    IR-04(2)
    Организация включает динамическую перенастройку [назначение FedRAMP: все сети, хранилище данных и вычислительные устройства] в рамках возможности реагирования на инциденты.

    IR-04(3)
    Организация определяет [Назначение: определенные организацией классы инцидентов] и [Назначение: определенные организацией действия для принятия в ответ на классы инцидентов] для обеспечения продолжения организационных миссий и бизнес-функций.

    IR-04(4)
    Организация сопоставляет информацию об инцидентах и отдельные ответы на инциденты для достижения точки зрения всей организации на осведомленность и реагирование на инциденты.

    IR-04(6)
    Организация реализует возможности обработки инцидентов для внутренних угроз.

    IR-04(8)
    Организация реализует возможности обработки инцидентов для внутренних угроз.
    Организация координирует [назначение FedRAMP: внешние организации, включая реагирование на инциденты потребителей и сетевые защитники, а также соответствующую группу реагирования на инциденты потребителей (CIRT)/ группу реагирования на чрезвычайные ситуации компьютеров (CERT) (например, US-CERT, DoD CERT, IC CERT)] для сопоставления и совместного использования [назначение: информация об инциденте, определяемая организацией], чтобы достичь точки зрения межорганизационного реагирования на инциденты и более эффективного реагирования на инциденты.

    Мониторинг инцидентов IR-05
    Организация отслеживает инциденты информационной системы и документы.

    IR-05(1)
    Организация использует автоматизированные механизмы для отслеживания инцидентов безопасности, а также сбора и анализа информации об инцидентах.    		 Реализуйте возможности обработки инцидентов и мониторинга. Это включает автоматическую обработку инцидентов, динамическую перенастройку, непрерывность операций, корреляцию информации, внутренние угрозы, корреляцию с внешними организациями, мониторинг инцидентов и автоматическое отслеживание инцидентов.

    Журналы аудита записывают все изменения конфигурации. События проверки подлинности и авторизации проверяются в журналах входа, и все обнаруженные риски проверяются в журналах Защита идентификации Microsoft Entra. Вы можете передавать каждый из этих журналов непосредственно в решение SIEM, например Microsoft Sentinel. Кроме того, используйте Центры событий Azure для интеграции журналов с сторонними решениями SIEM. Автоматизация динамической перенастройки на основе событий в SIEM с помощью Microsoft Graph PowerShell.

    События аудита

  • Аудит отчетов о действиях в Центре администрирования Microsoft Entra
  • Отчеты о действиях входа в Центре администрирования Microsoft Entra
  • Практическое руководство. Изучение риска

    Интеграция SIEM

  • Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra
  • Потоковая передача в концентратор событий Azure и другие SIEM
    		•

    Безопасность персонала

    Рекомендации в следующей таблице относятся:

    • Завершение работы персонала PS-4
    Идентификатор и описание элемента управления FedRAMP Рекомендации и рекомендации Microsoft Entra
    PS-4
    Завершение работы персонала
    Организация после прекращения индивидуального трудоустройства:
    (a.) Отключает доступ к информационной системе в течение [назначения FedRAMP: восемь (8) часов];
    (b.) Завершает или отменяет любые средства проверки подлинности или учетные данные, связанные с отдельным лицом;
    (c.) Проводит интервью выхода, включающее обсуждение [назначение: разделы информационной безопасности, определенные организацией];
    (d.) Извлекает все свойства, связанные с информационной системой организации, связанные с безопасностью;
    (e.) Сохраняет доступ к информационной системе организации и информационным системам, ранее контролируемым завершенным лицом; и
    (f.) Уведомляет [Назначение: определенный организацией персонал или роли] в течение [назначения: определенный организацией период времени].

    PS-4(2)
    Организация использует автоматизированные механизмы для уведомления [назначение FedRAMP: персонал управления доступом, ответственный за отключение доступа к системе] после прекращения работы отдельного человека.    		 Автоматически уведомлять сотрудников об отключении доступа к системе.

    Отключите учетные записи и отмените все связанные аутентификаторы и учетные данные в течение 8 часов.

    Настройте подготовку (включая отключение при завершении) учетных записей в идентификаторе Microsoft Entra из внешних систем управления персоналом, локальная служба Active Directory или непосредственно в облаке. Завершите доступ ко всем системам, отменив существующие сеансы.

    Подготовка учетных записей

  • Подробные инструкции см. в AC-02.

    Отмена всех связанных аутентификаторов

  • Отмена доступа пользователей в чрезвычайных ситуациях в идентификаторе Microsoft Entra
    		•

    Целостность системы и информации

    Рекомендации в следующей таблице относятся:

    • Мониторинг информационной системы SI-4
    Идентификатор и описание элемента управления FedRAMP Рекомендации и рекомендации Microsoft Entra
    Мониторинг информационной системы SI-4
    Организация:
    (a.) Отслеживает информационную систему для обнаружения:
    (1.) Атаки и индикаторы потенциальных атак в соответствии с [назначением: целями мониторинга, определенными организацией]; и
    (2.) Несанкционированные локальные, сетевые и удаленные подключения;
    (b.) Определяет несанкционированное использование информационной системы через [назначение: определенные организацией методы и методы];
    (c.) Развертывает устройства мониторинга (i) стратегически в информационной системе для сбора важных сведений, определенных организацией; и (ii) в нерегламентированных местах в системе для отслеживания конкретных типов транзакций, интересующих организацию;
    (d.) Защищает информацию, полученную из средств мониторинга вторжений, от несанкционированного доступа, изменения и удаления;
    (e.) Повышает уровень деятельности мониторинга информационной системы всякий раз, когда существует признак повышенного риска для организационных операций и активов, лиц, других организаций или нации на основе информации правоохранительных органов, разведывательной информации или других надежных источников информации;
    (f.) Получает юридическое мнение относительно деятельности мониторинга информационной системы в соответствии с применимыми федеральными законами, указами, директивами, политиками или правилами; и
    (d.) Предоставляет [Назначение: данные мониторинга информационной системы, определяемые организацией] [Назначение: определенный организацией персонал или роли] [Выбор (один или несколько): по мере необходимости; [Назначение: определяемая организацией частота].
    Дополнительные требования и рекомендации FedRAMP SI-4:
    Руководство. См. рекомендации по отчетности по реагированию на инциденты US-CERT.

    SI-04(1)
    Организация подключает и настраивает отдельные средства обнаружения вторжений в систему обнаружения вторжений на уровне информационной системы.    		 Реализуйте мониторинг информационной системы и систему обнаружения вторжений.

    Включите все журналы Microsoft Entra (аудит, вход, защита идентификаторов) в решении мониторинга информационной системы.

    Потоковая передача журналов Microsoft Entra в решение SIEM (см. IA-04).                                                                              

    Дальнейшие действия

    Настройка элементов управления доступом

    Настройка элементов управления идентификацией и проверкой подлинности

    Настройка других элементов управления