Другие области нулевого доверия, рассмотренные в меморандуме 22-09

Другие статьи в этом руководстве рассматривают принципы удостоверений принципов нулевого доверия, как описано в меморандуме 22-09 М 22-09 для руководителей исполнительных департаментов и учреждений США. В этой статье рассматриваются области модели зрелости нулевого доверия за пределами основы идентификации и рассматриваются следующие темы:

• Видимость
• Аналитика
• Автоматизация и оркестрация
• Управление

Видимость

Важно отслеживать клиент Microsoft Entra. Предположим, что нарушение мышления и соответствие стандартам соответствия в меморандуме 22-09 и Меморандуме 21-31. Для анализа безопасности и приема используются три основных типа журналов:

• Журналы аудита Azure для мониторинга операционных действий каталога, таких как создание, удаление, обновление объектов, таких как пользователи или группы
  • Используйте также для внесения изменений в конфигурации Microsoft Entra, например изменения в политике условного доступа.
  • Просмотр журналов аудита в идентификаторе Microsoft Entra
• Журналы подготовки содержат сведения о объектах , синхронизированных с идентификатором Microsoft Entra с приложениями, такими как Service Now с Microsoft Identity Manager
  • См. журналы подготовки в идентификаторе Microsoft Entra
• Журналы входа Microsoft Entra для отслеживания действий входа, связанных с пользователями, приложениями и субъектами-службами.
  • Журналы входа имеют категории для различения
  • Интерактивные входы отображают успешные и неудачные входы, примененные политики и другие метаданные
  • Неинтерактивные входы пользователей не показывают взаимодействия во время входа: клиенты войдите от имени пользователя, например мобильные приложения или клиенты электронной почты.
  • Вход субъекта-службы показывает субъект-службу или вход приложения: службы или приложения, обращающиеся к службам, приложениям или каталогу Microsoft Entra через REST API
  • Управляемые удостоверения для входа в ресурс Azure: ресурсы Azure или приложения, обращающиеся к ресурсам Azure, например служба веб-приложений, проверяющая подлинность в серверной части SQL Azure.
  • См. журналы входа в идентификатор Microsoft Entra (предварительная версия)

В клиентах Бесплатного кода Microsoft Entra ID записи журналов хранятся в течение семи дней. Клиенты с лицензией Microsoft Entra ID P1 или P2 сохраняют записи журнала в течение 30 дней.

Убедитесь, что средство управления безопасностью и событиями (SIEM) выполняет прием журналов. Используйте события входа и аудита для сопоставления с приложениями, инфраструктурой, данными, устройствами и сетевыми журналами.

Мы рекомендуем интегрировать журналы Microsoft Entra с Microsoft Sentinel. Настройте соединитель для приема журналов клиента Microsoft Entra.

Подробнее:

• Что такое Microsoft Sentinel?
• Подключение идентификатора Microsoft Entra к Microsoft Sentinel

Для клиента Microsoft Entra можно настроить параметры диагностики для отправки данных в учетную запись служба хранилища Azure, Центры событий Azure или рабочую область Log Analytics. Используйте эти параметры хранения для интеграции других средств SIEM для сбора данных.

Подробнее:

• Что такое мониторинг Microsoft Entra?
• Отчеты и мониторинг зависимостей развертывания Microsoft Entra

Аналитика

Аналитику можно использовать в следующих средствах для статистической обработки данных из идентификатора Microsoft Entra ID и отображения тенденций в состоянии безопасности по сравнению с базовыми показателями. Вы также можете использовать аналитику для оценки и поиска шаблонов или угроз в идентификаторе Microsoft Entra.

• Защита идентификации Microsoft Entra анализирует входы и другие источники телеметрии для рискованного поведения.
  • Защита идентификаторов назначает оценку риска событиям входа
  • Запретить вход или принудительно выполнить проверку подлинности на этапе, чтобы получить доступ к ресурсу или приложению на основе оценки риска
  • Смотрите, что такое защита идентификаторов?
• Отчеты об использовании и аналитических сведениях Microsoft Entra похожи на книги Azure Sentinel, включая приложения с высоким уровнем использования или тенденции входа.
  • Использование отчетов для понимания статистических тенденций, которые могут указывать на атаку или другие события
  • Просмотр, использование и аналитические сведения в идентификаторе Microsoft Entra
• Microsoft Sentinel анализирует данные из идентификатора Microsoft Entra:
  • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) обеспечивает аналитику потенциальных угроз от пользователей, узлов, IP-адресов и сущностей приложений.
  • Используйте шаблоны правил аналитики для поиска угроз и оповещений в журналах Microsoft Entra. Аналитик по безопасности или эксплуатации может просматривать и устранять угрозы.
  • Книги Microsoft Sentinel помогают визуализировать источники данных Microsoft Entra. Просмотр входов в систему по странам или регионам или приложениям.
  • См. часто используемые книги Microsoft Sentinel
  • Просмотр, визуализация собранных данных
  • См. дополнительные угрозы с помощью UEBA в Microsoft Sentinel

Автоматизация и оркестрация

Автоматизация в нулевом доверии помогает исправить оповещения из-за угроз или изменений безопасности. В идентификаторе Microsoft Entra интеграция автоматизации помогает уточнить действия для улучшения состояния безопасности. Автоматизация основана на информации, полученной от мониторинга и аналитики.

Используйте вызовы REST API Microsoft Graph для программного доступа к идентификатору Microsoft Entra. Для этого доступа требуется удостоверение Microsoft Entra с авторизацией и областью. С ПОМОЩЬЮ API Graph интегрируйте другие средства.

Рекомендуется настроить функцию Azure или приложение логики Azure для использования управляемого удостоверения, назначаемого системой. Приложение логики или функция имеет шаги или код для автоматизации действий. Назначьте разрешения управляемому удостоверению, чтобы предоставить разрешения каталога субъекта-службы для выполнения действий. Предоставление минимальных прав управляемых удостоверений.

Дополнительные сведения. Что такое управляемые удостоверения для ресурсов Azure?

Другая точка интеграции автоматизации — это модули Microsoft Graph PowerShell. Используйте Microsoft Graph PowerShell для выполнения распространенных задач или конфигураций в идентификаторе Microsoft Entra, а также включения в функции Azure или служба автоматизации Azure модулей Runbook.

Управление

Задокументируйте процессы для работы среды Microsoft Entra. Используйте функции Microsoft Entra для функций управления, применяемых к областям в идентификаторе Microsoft Entra.

Подробнее:

• Руководство по операциям Управление идентификацией Microsoft Entra
• Руководство по операциям безопасности Microsoft Entra
• Что такое Управление идентификацией Microsoft Entra?
• Соответствует требованиям авторизации меморандума 22-09.

Дальнейшие действия

• Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra
• Система управления удостоверениями на уровне предприятия
• Соответствие требованиям многофакторной проверки подлинности меморандума 22-09
• Соответствие требованиям авторизации меморандума 22-09
• Защита удостоверения с использованием нулевого доверия