Поделиться через


Идентификатор Записи Майкрософт и требования PCI-DSS 10

Требование 10. Регистрация и мониторинг всех доступа к системным компонентам и определенным требованиям к данным заполнителя
карт

10.1 Процессы и механизмы ведения журнала и мониторинга всех доступа к системным компонентам и данным заполнителей карт определяются и документируются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 10, являются:
документированы
в актуальном состоянии

, известном всем пострадавшим сторонам.
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
10.1.2 Роли и обязанности по выполнению действий в требованиях 10 документируются, назначаются и понимаются. Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

Журналы аудита 10.2 реализованы для поддержки обнаружения аномалий и подозрительных действий, а также судебно-судебного анализа событий.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
Журналы аудита 10.2.1 включены и активны для всех системных компонентов и данных заполнителей карт. Архивируйте журналы аудита Microsoft Entra, чтобы получить изменения в политиках безопасности и конфигурации клиента Microsoft Entra.
Архивируйте журналы действий Microsoft Entra в системе управления безопасностью и событиями (SIEM), чтобы узнать об использовании. Журналы действий Microsoft Entra в Azure Monitor
Журналы аудита 10.2.1.1 фиксируют доступ всех отдельных пользователей к данным заполнителей карт. Неприменимо к идентификатору Microsoft Entra.
Журналы аудита 10.2.1.2 фиксируют все действия, выполняемые любым человеком с административным доступом, включая интерактивное использование учетных записей приложений или системных учетных записей. Неприменимо к идентификатору Microsoft Entra.
Журналы аудита 10.2.1.3 фиксируют весь доступ к журналам аудита. В идентификаторе Microsoft Entra невозможно очистить или изменить журналы. Привилегированные пользователи могут запрашивать журналы из идентификатора Microsoft Entra. Наименее привилегированные роли по задачам в идентификаторе Microsoft Entra ID
при экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживают их для доступа.
Журналы аудита 10.2.1.4 фиксируют все недопустимые попытки логического доступа. Идентификатор Microsoft Entra создает журналы действий, когда пользователь пытается войти с недопустимыми учетными данными. Он создает журналы действий при отказе доступа из-за политик условного доступа.
Журналы аудита 10.2.1.5 фиксируют все изменения в учетных данных идентификации и проверки подлинности, включая, но не только:
создание новых учетных записей
с повышением привилегий
всех изменений, дополнений или удалений учетных записей с административным доступом
Идентификатор Microsoft Entra создает журналы аудита для событий, указанных в этом требовании.
Журналы аудита 10.2.1.6 фиксируют следующее:
все инициализации новых журналов аудита, а
также все запуски, остановки или приостановки существующих журналов аудита.
Неприменимо к идентификатору Microsoft Entra.
Журналы аудита 10.2.1.7 фиксируют все создание и удаление объектов на уровне системы. Идентификатор Microsoft Entra создает журналы аудита для событий в этом требовании.
Журналы аудита 10.2.2 записывают следующие сведения для каждого события аудита:
идентификация пользователей.
Тип события.
Дата и время.
Указание успешности и сбоя.
Происхождение события.
Удостоверение или имя затронутых данных, системного компонента, ресурса или службы (например, имя и протокол).
Просмотр журналов аудита в идентификаторе Microsoft Entra

Журналы аудита 10.3 защищены от уничтожения и несанкционированных изменений.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.3.1 Доступ на чтение к файлам журналов аудита ограничен теми, кто нуждается в задании. Привилегированные пользователи могут запрашивать журналы из идентификатора Microsoft Entra. Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID
Файлы журнала аудита 10.3.2 защищены, чтобы предотвратить изменения отдельными лицами. В идентификаторе Microsoft Entra невозможно очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.
Файлы журнала аудита 10.3.3 , в том числе для внешних технологий, быстро резервируются на безопасный, центральный, внутренний сервер журналов или другие носители, которые трудно изменить. В идентификаторе Microsoft Entra невозможно очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.
10.3.4 Механизмы мониторинга целостности файлов или механизмов обнаружения изменений используются в журналах аудита, чтобы гарантировать, что существующие данные журнала не могут быть изменены без создания оповещений. В идентификаторе Microsoft Entra невозможно очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.

Журналы аудита 10.4 проверяются для выявления аномалий или подозрительных действий.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.4.1 Следующие журналы аудита проверяются по крайней мере один раз в день:
все события безопасности.
Журналы всех системных компонентов, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Журналы всех критически важных системных компонентов.
Журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, средства управления безопасностью сети, системы обнаружения вторжений и системы предотвращения вторжений (IDS/IPS), серверы проверки подлинности).
Включите журналы Microsoft Entra в этот процесс.
Автоматизированные механизмы 10.4.1.1 используются для выполнения проверок журналов аудита. Включите журналы Microsoft Entra в этот процесс. Настройте автоматизированные действия и оповещения при интеграции журналов Microsoft Entra с Azure Monitor. Развертывание Azure Monitor: оповещения и автоматизированные действия
Журналы 10.4.2 всех остальных системных компонентов (не указанные в требовании 10.4.1) периодически проверяются. Неприменимо к идентификатору Microsoft Entra.
10.4.2.1 Частота периодических проверок журналов для всех остальных системных компонентов (не определенных в требованиях 10.4.1) определяется в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1. Неприменимо к идентификатору Microsoft Entra.
Устранены исключения и аномалии 10.4.3 , выявленные во время процесса проверки. Неприменимо к идентификатору Microsoft Entra.

Журнал журналов аудита 10.5 сохраняется и доступен для анализа.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.5.1 Сохраняйте журнал журналов аудита по крайней мере на 12 месяцев, по крайней мере последние три месяца, доступные для анализа. Интеграция с Azure Monitor и экспорт журналов для долгосрочного архивирования. Интеграция журналов Microsoft Entra с журналами
Azure Monitor узнайте о политике хранения данных в журналах Microsoft Entra. Хранение данных Microsoft Entra

Механизмы синхронизации 10.6 поддерживают согласованные параметры времени во всех системах.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.6.1 Системные часы и время синхронизируются с помощью технологии синхронизации времени. Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых служб в Azure
10.6.2 Системы настроены на правильное и согласованное время следующим образом:
один или несколько назначенных серверов времени используются.
Только указанные серверы центрального времени получают время от внешних источников.
Время, полученное из внешних источников, основано на международном атомарном времени или координированном универсальном времени (UTC).
Назначенные серверы времени принимают обновления времени только из определенных отраслевых внешних источников.
Где есть несколько назначенных серверов времени, одноранговые серверы времени друг с другом, чтобы оставить точное время.
Внутренние системы получают сведения о времени только от назначенных центральных серверов времени.
Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых служб в Azure
10.6.3 Параметры синхронизации времени и данные защищены следующим образом:
доступ к данным времени ограничен только персоналом с бизнес-потребностью.
Все изменения параметров времени в критически важных системах регистрируются, отслеживаются и проверяются.
Идентификатор Microsoft Entra зависит от механизмов синхронизации времени в Azure.
Процедуры Azure синхронизируют серверы и сетевые устройства с серверами NTP Stratum 1-time, синхронизированными со спутниками глобальной системы позиционирования (GPS). Синхронизация выполняется каждые пять минут. Azure гарантирует время синхронизации узлов служб. Синхронизация времени для финансовых служб в гибридных компонентах Azure
в идентификаторе Microsoft Entra ID, таких как серверы Microsoft Entra Connect, взаимодействуют с локальной инфраструктурой. Клиент владеет синхронизацией времени локальных серверов.

10.7 Сбои критически важных систем управления безопасностью обнаруживаются, сообщаются и отвечают на них быстро.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
10.7.2. Дополнительное требование только для поставщиков услуг. Ошибки критически важных систем управления безопасностью обнаруживаются, оповещаются и устраняются быстро, включая, но не ограничиваются сбоем следующих критически важных систем управления безопасностью:

средства мониторинга целостности файлов ИД/IPS-файлов
(FIM)
решений для защиты от вредоносных программ
физического доступа средства управления логическим доступом управления логическим доступом управления

механизмом аудита сегментации (
при использовании)
Идентификатор Microsoft Entra зависит от механизмов синхронизации времени в Azure.
поддержка Azure анализ событий в режиме реального времени в рабочей среде. Внутренние системы инфраструктуры Azure создают оповещения о потенциальном компромиссе в режиме реального времени.
10.7.2 Сбои критически важных систем управления безопасностью обнаруживаются, оповещаются и устраняются быстро, включая, но не ограничиваются сбоем следующих критически важных систем управления безопасностью:

механизмы обнаружения
изменений сети ИД/IP-изменений
решений Для защиты от вредоносных программ
физический доступ средства управления логическим доступом средства управления логическим доступом
средства
контроля ведения журнала
аудита (при использовании)
механизмы
проверки журнала аудита Средства автоматического тестирования безопасности (при использовании)
См. руководство по операциям безопасности Microsoft Entra
10.7.3 Ошибки любых критически важных систем управления безопасностью реагируются быстро, включая, но не ограничивается:
восстановление функций безопасности.
Определение и документирование длительности (дата и время от начала до конца) сбоя безопасности.
Определение и документирование причин сбоя и документирование необходимых исправлений.
Выявление и устранение любых проблем безопасности, возникающих во время сбоя.
Определение того, требуются ли дальнейшие действия в результате сбоя безопасности.
Реализация элементов управления, чтобы предотвратить повторное выполнение ошибки.
Возобновление мониторинга элементов управления безопасностью.
См. руководство по операциям безопасности Microsoft Entra

Следующие шаги

Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.