Microsoft Entra ID и PCI-DSS требование 10

Requirement 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным владельцев карт
Требования определенного подхода

10.1 Процессы и механизмы ведения журнала и мониторинга всех доступов к системным компонентам и данным держателей карт определяются и документируются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 10, являются:
документированы
в актуальном состоянии

, известном всем пострадавшим сторонам.
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
10.1.2 Роли и обязанности по выполнению действий в требованиях 10 документируются, назначаются и понимаются. Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

Журналы аудита 10.2 реализованы для поддержки обнаружения аномалий и подозрительных действий, а также криминалистического анализа событий.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.2.1 Журналы аудита включены и активны для всех системных компонентов и данных держателей карт. Архивируйте журналы аудита Microsoft Entra, чтобы получить изменения в политиках безопасности и конфигурации клиента Microsoft Entra.
Архивируйте журналы действий Microsoft Entra в системе управления безопасностью и событиями (SIEM), чтобы узнать об использовании. журналы действий Microsoft Entra в Azure Monitor
10.2.1.1 журналы аудита фиксируют весь индивидуальный доступ пользователей к данным держателей карт. Неприменимо к Microsoft Entra ID.
10.2.1.2 журналы аудита фиксируют все действия, выполняемые любым человеком с административным доступом, включая интерактивное использование учетных записей приложений или систем. Неприменимо к Microsoft Entra ID.
10.2.1.3 журналы аудита фиксируют каждый доступ к журналам аудита. В Microsoft Entra ID вы не можете очистить или изменить журналы. Привилегированные пользователи могут запрашивать журналы из Microsoft Entra ID. Наименее привилегированные роли по задачам в Microsoft Entra ID
При экспорте журналов аудита в такие системы, как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для контроля доступа.
10.2.1.4 журналы аудита фиксируют все недопустимые попытки логического доступа. Microsoft Entra ID создает журналы действий при попытке пользователя войти с недопустимыми учетными данными. Он создает журналы действий при отказе в доступе из-за политик условного доступа.
10.2.1.5 Журналы аудита фиксируют все изменения в учетных данных идентификации и проверки подлинности, включая, но не ограничиваясь следующими:
Создание новых учетных записей
Повышение прав
Все изменения, дополнения или удаление учетных записей с административным доступом
Microsoft Entra ID создает журналы аудита для событий, указанных в этом требовании.
Журналы аудита 10.2.1.6 фиксируют следующее:
все инициализации новых журналов аудита, а
также все запуски, остановки или приостановки существующих журналов аудита.
Неприменимо к Microsoft Entra ID.
Журналы аудита 10.2.1.7 фиксируют все создание и удаление объектов на уровне системы. Microsoft Entra ID создает журналы аудита для событий в этом требовании.
Журналы аудита 10.2.2 записывают следующие сведения для каждого события аудита:
идентификация пользователей.
Тип события.
Дата и время.
Индикация успеха и сбоя.
Происхождение события.
Идентификатор или имя аффектированных данных, системного компонента, ресурса или службы (например, имя и протокол).
См. журналы аудита в Microsoft Entra ID

Журналы аудита 10.3 защищены от уничтожения и несанкционированных изменений.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.3.1 Чтение доступа к файлам журналов аудита ограничено теми, у кого есть необходимость по работе. Привилегированные пользователи могут запрашивать журналы из Microsoft Entra ID. Наименее привилегированные роли для задач в Microsoft Entra ID
Файлы журнала аудита 10.3.2 защищены, чтобы предотвратить изменения отдельными лицами. В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как Azure Log Analytics Workspace, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.
Файлы журнала аудита 10.3.3 , в том числе для внешних технологий, быстро резервируются на безопасный, центральный, внутренний сервер журналов или другие носители, которые трудно изменить. В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы, как Рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.
10.3.4 Механизмы мониторинга целостности файлов или механизмов обнаружения изменений используются в журналах аудита, чтобы гарантировать, что существующие данные журнала не могут быть изменены без создания оповещений. В Microsoft Entra ID вы не можете очистить или изменить журналы.
При экспорте журналов аудита в такие системы как рабочая область Azure Log Analytics, учетные записи хранения или сторонние системы SIEM, отслеживайте их для доступа.

Журналы аудита 10.4 проверяются для выявления аномалий или подозрительных действий.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.4.1 Следующие журналы аудита проверяются по крайней мере один раз в день:
все события безопасности.
Журналы всех системных компонентов, которые хранят, обрабатывают или передают данные заполнителей карт (CHD) и /или конфиденциальные данные проверки подлинности (SAD). Журналы всех критически важных системных компонентов.
Журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, средства управления безопасностью сети, системы обнаружения вторжений и системы предотвращения вторжений (IDS/IPS), серверы проверки подлинности).
Включите журналы Microsoft Entra в этот процесс.
Автоматизированные механизмы 10.4.1.1 используются для выполнения проверок журналов аудита. Включите журналы Microsoft Entra в этот процесс. Настройте автоматические действия и оповещения при интеграции журналов Microsoft Entra с Azure Monitor. Deploy Azure Monitor: оповещения и автоматизированные действия
Журналы 10.4.2 всех остальных системных компонентов (не указанные в требовании 10.4.1) периодически проверяются. Неприменимо к Microsoft Entra ID.
10.4.2.1 Частота периодических проверок журналов для всех остальных системных компонентов (не определенных в требованиях 10.4.1) определяется в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1. Неприменимо к Microsoft Entra ID.
Устранены исключения и аномалии 10.4.3 , выявленные во время процесса проверки. Неприменимо к Microsoft Entra ID.

История журнала аудита 10.5 сохраняется и доступна для анализа.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.5.1 Сохраняйте историю журнала аудита как минимум на 12 месяцев, при этом по крайней мере последние три месяца должны быть немедленно доступны для анализа. Интеграция с Azure Monitor и экспорт журналов для долгосрочного архивирования. Интеграция журналов Microsoft Entra с журналами Azure Monitor
Узнайте о политике хранения данных журналов Microsoft Entra. Хранение данных Microsoft Entra

Механизмы синхронизации 10.6 поддерживают согласованные параметры времени во всех системах.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.6.1 Системные часы и время синхронизируются с помощью технологии синхронизации времени. Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых служб в Azure
10.6.2 Системы настроены на правильное и согласованное время следующим образом:
один или несколько назначенных серверов времени используются.
Только указанные серверы центрального времени получают время от внешних источников.
Время, полученное из внешних источников, основано на международном атомарном времени или координированном универсальном времени (UTC).
Назначенные серверы времени принимают обновления времени только из определенных отраслевых внешних источников.
Когда есть несколько назначенных серверов времени, они обмениваются данными между собой, чтобы поддерживать точное время.
Внутренние системы получают сведения о времени только от назначенных центральных серверов времени.
Сведения о механизме синхронизации времени в службах Azure. Синхронизация времени для финансовых услуг в Azure
10.6.3 Параметры синхронизации времени и данные защищены следующим образом:
доступ к временным данным ограничен только для сотрудников, которым это необходимо по работе.
Все изменения параметров времени в критически важных системах регистрируются, отслеживаются и проверяются.
Microsoft Entra ID использует механизмы синхронизации времени в Azure.
Процедуры Azure синхронизируют серверы и сетевые устройства с серверами времени NTP Stratum 1, синхронизированными с глобальными спутниками позиционирования системы GPS. Синхронизация выполняется каждые пять минут. Azure обеспечивает время синхронизации узлов служб. Синхронизация времени для финансовых служб в Azure гибридных компонентов в Microsoft Entra ID, таких как серверы Microsoft Entra Connect, взаимодействуют с локальной инфраструктурой. Клиент управляет синхронизацией времени локальных серверов.

10.7 Сбои критически важных систем управления безопасностью обнаруживаются, сообщаются и отвечают на них быстро.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
10.7.2Дополнительное требование только для поставщиков услуг: Сбои критически важных систем управления безопасностью обнаруживаются, на них подаются оповещения и они оперативно устраняются, включая, но не ограничиваясь, сбоем следующих критически важных систем управления безопасностью:
Сетевые средства управления безопасностью
IDS/IPS
мониторинг целостности файлов (FIM)
решения защиты от вредоносных программ
физические элементы управления доступом
Логические элементы управления доступом
механизм аудита
элементы управления сегментацией (при использовании)
Microsoft Entra ID использует механизмы синхронизации времени в Azure.
Azure поддерживает анализ событий в режиме реального времени в рабочей среде. Внутренние системы инфраструктуры Azure создают оповещения о потенциальной компрометации в приближенном к реальному времени режиме.
10.7.2 Сбои критически важных систем управления безопасностью обнаруживаются, предупреждаются и устраняются оперативно, включая, но не ограничиваясь, сбоями следующих критически важных систем управления безопасностью:
Сетевые средства управления безопасностью
IDS/IP
Механизмы обнаружения изменений
Решения для защиты от вредоносных программ
Средства контроля физического доступа
Средства контроля логического доступа
Механизмы ведения аудиторских журналов
Средства контроля сегментации (при использовании)
Механизмы проверки аудиторских журналов
Средства автоматизированного тестирования безопасности (при использовании)
См. руководство по операциям безопасности Microsoft Entra
10.7.3 Отказы любых критически важных систем управления безопасностью требуют быстрого реагирования, включая, но не ограничиваясь:
Восстановление функций безопасности.
Определение и документирование длительности (дата и время от начала до конца) сбоя безопасности.
Определение и документирование причин сбоя и документирование необходимых исправлений.
Выявление и устранение любых проблем безопасности, возникающих во время сбоя.
Определение того, требуются ли дальнейшие действия в результате сбоя безопасности.
Реализация элементов управления, препятствующих повторному возникновению причин отказа.
Возобновление мониторинга элементов управления безопасностью.
См. руководство по операциям безопасности Microsoft Entra

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.