Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Requirement 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным владельцев карт
Требования определенного подхода
10.1 Процессы и механизмы ведения журнала и мониторинга всех доступов к системным компонентам и данным держателей карт определяются и документируются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
10.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 10, являются: документированы в актуальном состоянии , известном всем пострадавшим сторонам. |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
| 10.1.2 Роли и обязанности по выполнению действий в требованиях 10 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
Журналы аудита 10.2 реализованы для поддержки обнаружения аномалий и подозрительных действий, а также криминалистического анализа событий.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 10.2.1 Журналы аудита включены и активны для всех системных компонентов и данных держателей карт. | Архивируйте журналы аудита Microsoft Entra, чтобы получить изменения в политиках безопасности и конфигурации клиента Microsoft Entra.
Архивируйте журналы действий Microsoft Entra в системе управления безопасностью и событиями (SIEM), чтобы узнать об использовании. журналы действий Microsoft Entra в Azure Monitor |
| 10.2.1.1 журналы аудита фиксируют весь индивидуальный доступ пользователей к данным держателей карт. | Неприменимо к Microsoft Entra ID. |
| 10.2.1.2 журналы аудита фиксируют все действия, выполняемые любым человеком с административным доступом, включая интерактивное использование учетных записей приложений или систем. | Неприменимо к Microsoft Entra ID. |
| 10.2.1.3 журналы аудита фиксируют каждый доступ к журналам аудита. | В Microsoft Entra ID вы не можете очистить или изменить журналы. Привилегированные пользователи могут запрашивать журналы из Microsoft Entra ID.
Наименее привилегированные роли по задачам в Microsoft Entra ID При экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для контроля доступа. |
| 10.2.1.4 журналы аудита фиксируют все недопустимые попытки логического доступа. | Microsoft Entra ID создает журналы действий при попытке пользователя войти с недопустимыми учетными данными. Он создает журналы действий при отказе в доступе из-за политик условного доступа. |
|
10.2.1.5 Журналы аудита фиксируют все изменения в учетных данных идентификации и проверки подлинности, включая, но не ограничиваясь следующими: Создание новых учетных записей Повышение прав Все изменения, дополнения или удаление учетных записей с административным доступом |
Microsoft Entra ID создает журналы аудита для событий, указанных в этом требовании. |
|
Журналы аудита 10.2.1.6 фиксируют следующее: все инициализации новых журналов аудита, а также все запуски, остановки или приостановки существующих журналов аудита. |
Неприменимо к Microsoft Entra ID. |
| Журналы аудита 10.2.1.7 фиксируют все создание и удаление объектов на уровне системы. | Microsoft Entra ID создает журналы аудита для событий в этом требовании. |
|
Журналы аудита 10.2.2 записывают следующие сведения для каждого события аудита: идентификация пользователей. Тип события. Дата и время. Индикация успеха и сбоя. Происхождение события. Идентификатор или имя аффектированных данных, системного компонента, ресурса или службы (например, имя и протокол). |
См. журналы аудита в Microsoft Entra ID |
Журналы аудита 10.3 защищены от уничтожения и несанкционированных изменений.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 10.3.1 Чтение доступа к файлам журналов аудита ограничено теми, у кого есть необходимость по работе. | Привилегированные пользователи могут запрашивать журналы из Microsoft Entra ID. Наименее привилегированные роли для задач в Microsoft Entra ID |
| Файлы журнала аудита 10.3.2 защищены, чтобы предотвратить изменения отдельными лицами. | В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как Azure Log Analytics Workspace, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа. |
| Файлы журнала аудита 10.3.3 , в том числе для внешних технологий, быстро резервируются на безопасный, центральный, внутренний сервер журналов или другие носители, которые трудно изменить. | В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как Рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа. |
| 10.3.4 Механизмы мониторинга целостности файлов или механизмов обнаружения изменений используются в журналах аудита, чтобы гарантировать, что существующие данные журнала не могут быть изменены без создания оповещений. | В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа. |
Журналы аудита 10.4 проверяются для выявления аномалий или подозрительных действий.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
10.4.1 Следующие журналы аудита проверяются по крайней мере один раз в день: все события безопасности. Журналы всех системных компонентов, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Журналы всех критически важных системных компонентов. Журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, средства управления безопасностью сети, системы обнаружения вторжений и системы предотвращения вторжений (IDS/IPS), серверы проверки подлинности). |
Включите журналы Microsoft Entra в этот процесс. |
| Автоматизированные механизмы 10.4.1.1 используются для выполнения проверок журналов аудита. | Включите журналы Microsoft Entra в этот процесс. Настройте автоматические действия и оповещения при интеграции журналов Microsoft Entra с Azure Monitor. Deploy Azure Monitor: оповещения и автоматизированные действия |
| Журналы 10.4.2 всех остальных системных компонентов (не указанные в требовании 10.4.1) периодически проверяются. | Неприменимо к Microsoft Entra ID. |
| 10.4.2.1 Частота периодических проверок журналов для всех остальных системных компонентов (не определенных в требованиях 10.4.1) определяется в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1. | Неприменимо к Microsoft Entra ID. |
| Устранены исключения и аномалии 10.4.3 , выявленные во время процесса проверки. | Неприменимо к Microsoft Entra ID. |
История журнала аудита 10.5 сохраняется и доступна для анализа.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 10.5.1 Сохраняйте историю журнала аудита как минимум на 12 месяцев, при этом по крайней мере последние три месяца должны быть немедленно доступны для анализа. | Интеграция с Azure Monitor и экспорт журналов для долгосрочного архивирования.
Интеграция журналов Microsoft Entra с журналами Azure Monitor Узнайте о политике хранения данных журналов Microsoft Entra. Хранение данных Microsoft Entra |
Механизмы синхронизации 10.6 поддерживают согласованные параметры времени во всех системах.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 10.6.1 Системные часы и время синхронизируются с помощью технологии синхронизации времени. | Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых служб в Azure |
|
10.6.2 Системы настроены на правильное и согласованное время следующим образом: один или несколько назначенных серверов времени используются. Только указанные серверы центрального времени получают время от внешних источников. Время, полученное из внешних источников, основано на международном атомарном времени или координированном универсальном времени (UTC). Назначенные серверы времени принимают обновления времени только из определенных отраслевых внешних источников. Когда есть несколько назначенных серверов времени, они обмениваются данными между собой, чтобы поддерживать точное время. Внутренние системы получают сведения о времени только от назначенных центральных серверов времени. |
Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых услуг в Azure |
|
10.6.3 Параметры синхронизации времени и данные защищены следующим образом: доступ к временным данным ограничен только для сотрудников, которым это необходимо по работе. Все изменения параметров времени в критически важных системах регистрируются, отслеживаются и проверяются. |
Microsoft Entra ID использует механизмы синхронизации времени в Azure.
Процедуры Azure синхронизируют серверы и сетевые устройства с серверами времени NTP Stratum 1, синхронизированными с глобальными спутниками позиционирования системы GPS. Синхронизация выполняется каждые пять минут. Azure обеспечивает время синхронизации узлов служб. Синхронизация времени для финансовых служб в Azure гибридных компонентов в Microsoft Entra ID, таких как серверы Microsoft Entra Connect, взаимодействуют с локальной инфраструктурой. Клиент управляет синхронизацией времени локальных серверов. |
10.7 Сбои критически важных систем управления безопасностью обнаруживаются, сообщаются и отвечают на них быстро.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
10.7.2Дополнительное требование только для поставщиков услуг: Сбои критически важных систем управления безопасностью обнаруживаются, на них подаются оповещения и они оперативно устраняются, включая, но не ограничиваясь, сбоем следующих критически важных систем управления безопасностью: Сетевые средства управления безопасностью IDS/IPS мониторинг целостности файлов (FIM) решения защиты от вредоносных программ физические элементы управления доступом Логические элементы управления доступом механизм аудита элементы управления сегментацией (при использовании) |
Microsoft Entra ID использует механизмы синхронизации времени в Azure.
Azure поддерживает анализ событий в режиме реального времени в рабочей среде. Внутренние системы инфраструктуры Azure создают оповещения о потенциальной компрометации в приближенном к реальному времени режиме. |
|
10.7.2 Сбои критически важных систем управления безопасностью обнаруживаются, предупреждаются и устраняются оперативно, включая, но не ограничиваясь, сбоями следующих критически важных систем управления безопасностью: Сетевые средства управления безопасностью IDS/IP Механизмы обнаружения изменений Решения для защиты от вредоносных программ Средства контроля физического доступа Средства контроля логического доступа Механизмы ведения аудиторских журналов Средства контроля сегментации (при использовании) Механизмы проверки аудиторских журналов Средства автоматизированного тестирования безопасности (при использовании) |
См. руководство по операциям безопасности Microsoft Entra |
|
10.7.3 Отказы любых критически важных систем управления безопасностью требуют быстрого реагирования, включая, но не ограничиваясь: Восстановление функций безопасности. Определение и документирование длительности (дата и время от начала до конца) сбоя безопасности. Определение и документирование причин сбоя и документирование необходимых исправлений. Выявление и устранение любых проблем безопасности, возникающих во время сбоя. Определение того, требуются ли дальнейшие действия в результате сбоя безопасности. Реализация элементов управления, препятствующих повторному возникновению причин отказа. Возобновление мониторинга элементов управления безопасностью. |
См. руководство по операциям безопасности Microsoft Entra |
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство Microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7: ограничение доступа к системным компонентам и данным держателей карт на основе служебной необходимости
- Требование 8: Определение пользователей и аутентификация доступа к системным компонентам
- Требование 10: Регистрировать и отслеживать все доступы к системным компонентам и данным держателей карт (здесь)
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS