Další oblasti nulová důvěra (Zero Trust) adresované v zprávě 22-09

Další články v těchto doprovodných materiálech se zabývají pilířem identit nulová důvěra (Zero Trust) principů, jak je popsáno v Americkém úřadu pro správu a rozpočet (OMB) M 22-09 Memoria pro hlavy výkonných oddělení a agentur. Tento článek se zabývá oblastmi modelu vyspělosti nulová důvěra (Zero Trust) nad rámec pilíře identity a zabývá se následujícími motivy:

• Viditelnost
• Analytika
• Automatizace a orchestrace
• Vládnutí

Viditelnost

Je důležité monitorovat vašeho tenanta Microsoft Entra. Předpokládejme, že porušení zásad a splňuje standardy dodržování předpisů v dokumentu 22-09 a Memomesu 21-31. Pro analýzu zabezpečení a příjem dat se používají tři primární typy protokolů:

• Protokoly auditu Azure pro monitorování provozních aktivit adresáře, jako je vytváření, odstraňování, aktualizace objektů, jako jsou uživatelé nebo skupiny
  • Slouží také k provádění změn konfigurací Microsoft Entra, jako jsou úpravy zásad podmíněného přístupu.
  • Viz protokoly auditu v Microsoft Entra ID
• Protokoly zřizování obsahují informace o objektech synchronizovaných z Microsoft Entra ID do aplikací, jako je Service Now s Microsoft Identity Managerem.
  • Viz protokoly zřizování v Microsoft Entra ID
• Protokoly přihlašování Microsoft Entra pro monitorování aktivit přihlašování přidružených k uživatelům, aplikacím a instančním objektům.
  • Protokoly přihlašování mají kategorie pro diferenciaci
  • Interaktivní přihlášení zobrazují úspěšné a neúspěšné přihlášení, použité zásady a další metadata
  • Neinteraktivní přihlášení uživatelů nezobrazují během přihlašování žádnou interakci: klienti, kteří se přihlašují jménem uživatele, jako jsou mobilní aplikace nebo e-mailové klienty
  • Přihlášení instančního objektu zobrazují instanční objekt nebo přihlašování k aplikacím: služby nebo aplikace, které přistupují ke službám, aplikacím nebo adresáři Microsoft Entra prostřednictvím rozhraní REST API.
  • Spravované identity pro přihlášení k prostředkům Azure: Prostředky Azure nebo aplikace, které přistupují k prostředkům Azure, jako je služba webových aplikací, která se ověřuje v back-endu Azure SQL.
  • Viz protokoly přihlášení v Microsoft Entra ID (Preview)

V tenantech Microsoft Entra ID Free se položky protokolu ukládají sedm dní. Tenanti s licencí Microsoft Entra ID P1 nebo P2 uchovávají položky protokolu po dobu 30 dnů.

Ujistěte se, že protokoly ingestuje nástroje pro správu událostí (SIEM) a informace o zabezpečení. Události přihlašování a auditu slouží ke korelaci s aplikačními, infrastrukturou, daty, zařízeními a síťovými protokoly.

Doporučujeme integrovat protokoly Microsoft Entra s Microsoft Sentinelem. Nakonfigurujte konektor pro příjem protokolů tenanta Microsoft Entra.

Víc se uč:

• Co je Microsoft Sentinel?
• Připojení Microsoft Entra ID k Microsoft Sentinelu

Pro tenanta Microsoft Entra můžete nakonfigurovat nastavení diagnostiky tak, aby odesílala data do účtu služby Azure Storage, do služby Azure Event Hubs nebo do pracovního prostoru služby Log Analytics. Pomocí těchto možností úložiště můžete integrovat další nástroje SIEM ke shromažďování dat.

Víc se uč:

• Co je monitorování Microsoft Entra?
• Závislosti nasazení microsoft Entra pro vytváření sestav a monitorování

Analytika

Pomocí analýz v následujících nástrojích můžete agregovat informace z ID Microsoft Entra a zobrazit trendy ve vašem stavu zabezpečení ve srovnání s výchozími hodnotami. Analýzy můžete použít také k vyhodnocení a vyhledání vzorů nebo hrozeb v rámci ID Microsoft Entra.

• Microsoft Entra ID Protection analyzuje přihlášení a další zdroje telemetrie za účelem rizikového chování.
  • Ochrana ID přiřadí rizikové skóre událostem přihlašování.
  • Zabránění přihlášení nebo vynucení podrobného ověřování pro přístup k prostředku nebo aplikaci na základě skóre rizika
  • Podívejte se, co je ochrana ID?
• Sestavy využití a přehledů Microsoft Entra mají podobné informace jako sešity Azure Sentinelu, včetně aplikací s nejvyšším využitím nebo trendů přihlašování.
  • Použití sestav k pochopení agregovaných trendů, které můžou znamenat útok nebo jiné události
  • Viz, využití a přehledy v Microsoft Entra ID
• Microsoft Sentinel analyzuje informace z Microsoft Entra ID:
  • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) poskytuje inteligentní informace o potenciálních hrozbách od uživatelů, hostitelů, IP adres a entit aplikací.
  • Pomocí šablon analytických pravidel můžete vyhledávat hrozby a výstrahy v protokolech Microsoft Entra. Váš analytik zabezpečení nebo provozu může určit prioritu hrozeb a napravit je.
  • Sešity Microsoft Sentinelu pomáhají vizualizovat zdroje dat Microsoft Entra. Viz přihlášení podle země nebo oblasti nebo aplikací.
  • Viz, běžně používané sešity Microsoft Sentinelu
  • Viz vizualizovat shromážděná data
  • Viz, identifikace pokročilých hrozeb pomocí UEBA v Microsoft Sentinelu

Automatizace a orchestrace

Automatizace v nulová důvěra (Zero Trust) pomáhá napravit výstrahy z důvodu hrozeb nebo změn zabezpečení. Integrace automatizace v Microsoft Entra ID pomáhají objasnit akce, které zlepšují stav zabezpečení. Automatizace je založená na informacích přijatých z monitorování a analýz.

K programovému přístupu k MICROSOFT Entra ID použijte volání ROZHRANÍ REST rozhraní Microsoft Graph API. Tento přístup vyžaduje identitu Microsoft Entra s autorizací a oborem. S rozhraním Graph API integrujte další nástroje.

Doporučujeme nastavit funkci Azure nebo aplikaci logiky Azure tak, aby používala spravovanou identitu přiřazenou systémem. Aplikace logiky nebo funkce má kroky nebo kód pro automatizaci akcí. Přiřaďte spravované identitě oprávnění k udělení oprávnění k provádění akcí v adresáři instančního objektu. Udělte spravovaným identitám minimální práva.

Další informace: Co jsou spravované identity pro prostředky Azure?

Dalším bodem integrace automatizace jsou moduly Microsoft Graph PowerShellu. Pomocí Microsoft Graph PowerShellu můžete provádět běžné úlohy nebo konfigurace v MICROSOFT Entra ID nebo začlenit do funkcí Azure nebo runbooků Azure Automation.

Vládnutí

Zdokumentujte procesy pro provoz prostředí Microsoft Entra. Použití funkcí Microsoft Entra pro funkce zásad správného řízení použité na obory v Microsoft Entra ID.

Víc se uč:

• Referenční příručka k operacím zásad správného řízení Microsoft Entra ID
• Průvodce operacemi zabezpečení Microsoft Entra
• Co je zásady správného řízení Microsoft Entra ID?
• Splnění požadavků na autorizaci memoria 22-09.

Další kroky

• Splnění požadavkůnach
• Systém pro správu identit na podnikové úrovni
• Splnění vícefaktorových požadavků na ověřování podle smlouvy 22-09
• Splnění požadavků na autorizaci memoria 22-09
• Zabezpečení identity pomocí nulová důvěra (Zero Trust)