Konfigurieren zusätzlicher Steuerelemente zum Erfüllen der FedRAMP High-Impact-Stufe
Für die Steuerelemente (und Erweiterungen) in der folgenden Liste sind möglicherweise Konfigurationsschritte in Ihrem Microsoft Entra-Mandanten erforderlich.
Jede Zeile in den folgenden Tabellen enthält eine präskriptive Anleitung. Dieser Leitfaden bietet Ihnen Unterstützung beim Festlegen der Reaktionen Ihrer Organisation auf gemeinsame Zuständigkeiten hinsichtlich der Steuerung bzw. Steuerungsoptimierung.
Überwachung und Verantwortlichkeit
Die Anleitungen in der folgenden Tabelle beziehen sich auf:
- AU-2 Überwachungsereignisse
- AU-3 Inhalt der Überwachung
- AU-6 Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung
FedRAMP-Steuerungs-ID und Beschreibung | Leitfaden und Empfehlungen für Microsoft Entra |
---|---|
AU-2 Überwachungsereignisse Die Organisation: (a.) bestimmt, ob das Informationssystem die folgenden Ereignisse überwachen kann: [FedRAMP-Zuweisung: [Erfolgreiche und nicht erfolgreiche Kontoanmeldungsereignisse, Kontoverwaltungsereignisse, Objektzugriff, Richtlinienänderung, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: alle Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriff, Datenänderungen und Berechtigungsänderungen]; (b.) koordiniert die Sicherheitsüberwachungsfunktion mit anderen Organisationsentitäten, die zur besseren gegenseitigen Unterstützung und Auswahl der überwachbaren Ereignisse überwachungsbezogene Informationen benötigen; (c.) stellt eine Begründung bereit, warum sich die überwachbaren Ereignisse für nachträgliche Untersuchungen von Sicherheitsvorfällen eignen; und (d.) bestimmt, ob die folgenden Ereignisse in dem Informationssystem überwacht werden sollen: [FedRAMP-Zuweisung: organisationsdefinierte Teilmenge der in AU-2 a definierten überprüfbaren Ereignisse, die für jedes identifizierte Ereignis kontinuierlich überwacht werden sollen]. AU-2 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Die Abstimmung zwischen Dienstleistungserbringer und Verbraucher ist von der JAB/AO zu dokumentieren und zu akzeptieren. AU-3 Inhalt von Überwachungsdatensätzen Das Informationssystem generiert Überwachungsdatensätze, die folgende Informationen enthalten: Art des aufgetretenen Ereignisses, Zeitpunkt des Auftretens des Ereignisses, Ort des Auftretens des Ereignisses, Quelle des Ereignisses, Ergebnis des Ereignisses und Identität von Personen im Zusammenhang mit dem Ereignis. AU-3(1) Das Informationssystem generiert Überwachungsdatensätze, die folgende zusätzliche Informationen enthalten: [FedRAMP-Zuweisung: von der Organisation definierte zusätzliche, ausführlichere Informationen]. AU-3 (1) Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Der Dienstanbieter definiert Überwachungsdatensatztypen [FedRAMP-Zuweisung: Sitzungs-, Verbindungs-, Transaktions- oder Aktivitätsdauer; für Client-Server-Transaktionen die Anzahl der empfangenen und gesendeten Bytes; zusätzliche Informationsmeldungen zum Diagnostizieren oder Identifizieren des Ereignisses; Merkmale, die das Objekt oder die Ressource beschreiben oder identifizieren, auf das bzw. die reagiert wird; einzelne Identitäten von Gruppenkontobenutzern; Volltext von privilegierten Befehlen]. Die Überwachungsdatensatztypen werden vom JAB/AO genehmigt und akzeptiert. Anleitung: Bei Client-Server-Transaktionen liefert die Anzahl der gesendeten und empfangenen Bytes bidirektionale Übertragungsinformationen, die während einer Untersuchung oder Ermittlung hilfreich sein können. AU-3(2) Das Informationssystem ermöglicht eine zentrale Verwaltung und Konfiguration der zu erfassenden Inhalte in Überwachungsdatensätzen, die von [FedRAMP-Zuweisung: alle Netzwerk-, Datenspeicher- und Computergeräte] generiert werden. |
Stellen Sie sicher, dass das System die in AU-2 Teil a definierten Ereignisse überwachen kann. Stimmen Sie sich mit anderen Entitäten innerhalb der Organisation hinsichtlich der überwachbaren Ereignisse ab, um anschließende Untersuchungen zu unterstützen. Implementieren Sie die zentralisierte Verwaltung von Überwachungsdatensätzen. Alle Vorgänge für den Kontolebenszyklus (Erstellung, Änderungen, Aktivierung, Deaktivierung und Entfernung eines Kontos) werden in den Microsoft Entra-Überwachungsprotokollen überwacht. Alle Authentifizierungs- und Autorisierungsereignisse werden in Microsoft Entra-Anmeldeprotokollen und alle erkannten Risiken in Microsoft Entra ID Protection-Protokollen überwacht. Sie können jedes dieser Protokolle direkt in eine SIEM-Lösung (Security Information & Event Management) wie Microsoft Sentinel streamen. Alternativ können Sie auch Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren. Überwachen von Ereignissen SIEM-Integrationen |
AU-6: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung Die Organisation: (a.) überprüft und analysiert Überwachungsdatensätze des Informationssystems [FedRAMP-Zuweisung: mindestens wöchentlich] auf Hinweise auf [Zuweisung: von der Organisation definierte unangemessene oder ungewöhnliche Aktivitäten]; und (b.) meldet die Ergebnisse [Zuweisung: von der Organisation definierte Mitarbeiter oder Rollen]. AU-6 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Die Abstimmung zwischen Dienstleistungserbringer und Verbraucher ist von der offiziellen autorisierenden Person zu dokumentieren und zu akzeptieren. In Umgebungen mit mehreren Mandanten müssen die Funktionen und Mittel für die Überprüfung, Analyse und Berichterstattung an Verbraucher*innen bezüglich Daten, die Verbraucher*innen betreffen, dokumentiert werden. AU-6(1) Die Organisation wendet automatisierte Mechanismen zur Integration von Prüf-, Analyse- und Berichterstellungsprozessen für die Überwachung an, um Organisationsprozesse zur Untersuchung und Behandlung verdächtiger Aktivitäten zu unterstützen. AU-6(3) Die Organisation analysiert und korreliert Überwachungsdatensätze über verschiedene Repositorys hinweg, um Informationen zur organisationsweiten Situation zu erhalten. AU-6(4) Das Informationssystem bietet die Möglichkeit, Überwachungsdatensätze aus verschiedenen Komponenten innerhalb des Systems zentral zu überprüfen und zu analysieren. AU-6(5) Die Organisation integriert die Analyse der Überwachungsdatensätze in die Analyse von [FedRAMP-Auswahl (mindestens ein Element): Informationen zur Überprüfung der Sicherheitsrisiken; Leistungsdaten; Überwachungsinformationen des Informationssystems, Penetrationstestdaten; [ Zuweisung: von der Organisation definierte Daten/Informationen aus anderen Quellen]], um die Möglichkeit zur Identifizierung unangemessener oder ungewöhnlicher Aktivitäten zu verbessern. AU-6(6) Die Organisation korreliert Informationen aus Überwachungsdatensätzen mit Informationen aus der Überwachung des physischen Zugriffs, um die Erkennung von verdächtigen, unangemessenen, ungewöhnlichen oder böswilligen Aktivitäten weiter zu verbessern. AU-6 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Die Abstimmung zwischen Dienstleistungserbringer und Verbraucher ist von der JAB/AO zu dokumentieren und zu akzeptieren. AU-6(7) Die Organisation gibt die zulässigen Aktionen für die einzelnen [FedRAMP-Auswahl (mindestens ein Element): Prozesse des Informationssystems; Rollen; Benutzer*innen] im Zusammenhang mit der Überprüfung und Analyse von Überwachungsinformationen sowie der Berichterstellung an. AU-6(10) Die Organisation passt die Ebene der Prüfung, Analyse und Berichterstellung für die Überwachung innerhalb des Informationssystems an, wenn sich basierend auf Informationen von Justizbehörden, Geheimdiensten oder anderen glaubwürdigen Quellen eine Änderung am Risiko ergibt. |
Überprüfen und analysieren Sie Überwachungsdatensätze mindestens einmal pro Woche, um unangemessene oder ungewöhnliche Aktivitäten zu identifizieren, und geben Sie die Ergebnisse an die entsprechenden Mitarbeiter weiter. Die zuvor erwähnten Leitfäden für AU-02 und AU-03 ermöglichen die wöchentliche Überprüfung von Überwachungsdatensätzen und die Weitergabe von Informationen an entsprechende Mitarbeiter. Diese Anforderungen können nicht nur mithilfe von Microsoft Entra ID erfüllt werden. Dafür ist auch eine SIEM-Lösung wie Microsoft Sentinel erforderlich. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel. |
Reaktion auf Incidents
Die Anleitungen in der folgenden Tabelle beziehen sich auf:
IR-4 Behandlung von Vorfällen
IR-5 Überwachung von Vorfällen
FedRAMP-Steuerungs-ID und Beschreibung | Leitfaden und Empfehlungen für Microsoft Entra |
---|---|
IR-4 Behandlung von Vorfällen Die Organisation: (a.) implementiert eine Methode zur Behandlung von Vorfällen für Sicherheitsvorfälle, die die Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung sowie Wiederherstellung umfasst; (b.) koordiniert Aktivitäten zur Behandlung von Vorfällen mit Notfallplanungsaktivitäten; und (c.) bezieht die aus den laufenden Aktivitäten zur Behandlung von Vorfällen gesammelten Erfahrungen in die Verfahren, Schulungen und Tests/Übungen zur Reaktion auf Vorfälle ein und implementiert entsprechend die daraus resultierenden Änderungen. IR-4 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Der Dienstanbieter stellt sicher, dass Personen, die die Behandlung von Vorfällen durchführen, die Sicherheitsanforderungen des Personals erfüllen, die der Wichtigkeit/Vertraulichkeit der vom Informationssystem verarbeiteten, gespeicherten und übertragenen Informationen entsprechen. IR-04(1) Die Organisation setzt automatisierte Mechanismen ein, um den Prozess zur Behandlung von Vorfällen zu unterstützen. IR-04(2) Die Organisation bindet im Rahmen der Methode zur Reaktion auf Vorfälle die dynamische Neukonfiguration von [FedRAMP-Zuweisung: alle Netzwerk-, Datenspeicher- und Computergeräte] ein. IR-04(3) Die Organisation identifiziert [Zuweisung: von der Organisation definierte Klassen von Vorfällen] und [Zuweisung: von der Organisation definierte Maßnahmen als Reaktion auf die Klassen von Vorfällen], um die Fortsetzung organisatorischer Aufgaben und Geschäftsfunktionen sicherzustellen. IR-04(4) Die Organisation korreliert Informationen über Vorfälle und Reaktionen auf die einzelnen Vorfälle, um eine organisationsweite Perspektive bezüglich des Bewusstseins für Vorfälle und der Reaktion zu erhalten. IR-04(6) Die Organisation implementiert eine Methode zur Behandlung von Vorfällen bei Insiderbedrohungen. IR-04(8) Die Organisation implementiert eine Methode zur Behandlung von Vorfällen bei Insiderbedrohungen. Die Organisation koordiniert sich mit [FedRAMP-Zuweisung: externe Organisationen, einschließlich Zuständige für die Reaktion auf Verbrauchervorfälle und Netzwerkverteidiger sowie dem entsprechendem Consumer Incident Response Team (CIRT)/Computer Emergency Response Team (CERT) (z. B. US-CERT, DoD CERT, IC CERT)], um [Zuweisung: durch die Organisation definierte Informationen zu Vorfällen] zu korrelieren und zu teilen, um eine organisationsübergreifende Perspektive auf die Vorfallserkennung und effektivere Reaktion auf Vorfälle zu erreichen. IR-05 Überwachung von Vorfällen Die Organisation verfolgt Sicherheitsvorfälle im Informationssystem nach und dokumentiert diese. IR-05(1) Die Organisation setzt automatisierte Mechanismen ein, um bei der Nachverfolgung von Sicherheitsvorfällen sowie Sammlung und Analyse von Informationen zu Vorfällen zu unterstützen. |
Implementieren Sie Funktionen zur Bearbeitung und Überwachung von Vorfällen. Dazu gehören die automatisierte Vorfallbearbeitung, die dynamische Neukonfiguration, Betriebskontinuität, Informationskorrelation, Insiderbedrohungen, Korrelation mit externen Organisationen sowie die Überwachung von Vorfällen und automatisierte Nachverfolgung. Die Überwachungsprotokolle zeichnen alle Konfigurationsänderungen auf. Authentifizierungs- und Autorisierungsereignisse werden in den Anmeldeprotokollen und ggf. erkannte Risiken in den Microsoft Entra ID Protection-Protokollen überwacht. Sie können jedes dieser Protokolle direkt in eine SIEM-Lösung wie z. B. Microsoft Sentinel streamen. Alternativ können Sie auch Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren. Automatisieren Sie die dynamische Neukonfiguration basierend auf Ereignissen in dem SIEM mithilfe von Microsoft Graph oder PowerShell. Überwachen von Ereignissen SIEM-Integrationen |
Personalsicherheit
Die Anleitungen in der folgenden Tabelle beziehen sich auf:
- PS-4 Personalkündigung
FedRAMP-Steuerungs-ID und Beschreibung | Leitfaden und Empfehlungen für Microsoft Entra |
---|---|
PS-4 Beendigung des Mitarbeiterverhältnisses Die Organisation tut nach Beendigung des individuellen Beschäftigungsverhältnisses Folgendes: (a.) Deaktiviert den Zugriff auf das Informationssystem innerhalb von [FedRAMP-Zuweisung: acht (8) Stunden]; (b.) Beendet/widerruft alle Authentifikatoren/Anmeldeinformationen, die der Person zugeordnet sind; (c.) Führt Entlassungsgespräche durch, die eine Diskussion über [Zuweisung: von der Organisation definierte Informationssicherheitsthemen] beinhalten; (d.) Ruft alle sicherheitsrelevanten Eigenschaften des Informationssystems der Organisation ab; (e.) behält den Zugriff auf Organisationsinformationen und Informationssysteme, die früher von einer gekündigten Person kontrolliert wurden; und (f.) benachrichtigt [Zuweisung: von der Organisation definierte Mitarbeiter*innen oder Rollen] innerhalb von [Zuweisung: von der Organisation definierter Zeitraum]. PS-4(2) Die Organisation verwendet automatisierte Mechanismen, um [FedRAMP-Zuweisung: Zugriffssteuerungspersonal, das für die Deaktivierung des Zugriffs auf das System verantwortlich ist] bei der Kündigung einer Person zu benachrichtigen. |
Stellen Sie sicher, dass Mitarbeiter, die für die Deaktivierung des Systemzugriffs zuständig sind, automatisch benachrichtigt werden. Deaktivieren Sie Konten, und widerrufen Sie alle zugehörigen Authentifikatoren und Anmeldeinformationen innerhalb von acht Stunden. Konfigurieren Sie die Bereitstellung von Konten in Microsoft Entra ID (einschließlich Deaktivierung bei Beendigung) über externe Personalsysteme, lokales Active Directory oder direkt in der Cloud. Widerrufen Sie vorhandene Sitzungen, um den Systemzugriff vollständig zu beenden. Kontobereitstellung Widerrufen aller zugeordneten Authentifikatoren |
System- und Informationsintegrität
Die Anleitungen in der folgenden Tabelle beziehen sich auf:
- SI-4 Überwachung des Informationssystems
FedRAMP-Steuerungs-ID und Beschreibung | Leitfaden und Empfehlungen für Microsoft Entra |
---|---|
SI-4 Überwachung des Informationssystems Die Organisation: (a.) überwacht das Informationssystem, um Folgendes zu erkennen: (1.) Angriffe und Indikatoren potenzieller Angriffe gemäß [Zuweisung: von der Organisation definierte Überwachungsziele]; und (2.) nicht autorisierte lokale, Netzwerk- und Remoteverbindungen; (b.) identifiziert eine nicht autorisierte Verwendung des Informationssystems durch [Zuweisung: von der Organisation definierte Techniken und Methoden]; (c.) stellt Überwachungsgeräte (i) strategisch innerhalb des Informationssystems bereit, um von der Organisation festgelegte wichtige Informationen zu erfassen; (ii) Überwachungsgeräte werden zudem an Ad-hoc-Standorten im System bereitgestellt, um bestimmte Arten von Transaktionen nachzuverfolgen, die für die Organisation von Interesse sind; (d.) schützt die aus Tools für die Überwachung von Eindringversuchen abgerufenen Informationen vor nicht autorisierten Zugriffen, Bearbeitungen und Löschungen; (e.) stuft die Aktivitäten zur Überwachung des Informationssystems herauf, wenn Informationen aus Strafverfolgungsbehörden, Nachrichtendiensten oder anderen glaubwürdigen Informationsquellen auf ein erhöhtes Risiko für den Betrieb und die Ressourcen der Organisation, für Personen, für andere Organisationen oder für den Staat hinweisen; (f.) holt eine rechtliche Beurteilung in Bezug auf Aktivitäten zur Überwachung des Informationssystems in Übereinstimmung mit gültigen Gesetzen, Executive Orders (Verfügungen des US-Präsidenten), Direktiven, Richtlinien oder Bestimmungen ein; und (d.) stellt [Zuweisung: von der Organisation definierte Informationen zur Überwachung des Informationssystems] für [Zuweisung: von der Organisation definierte Personen oder Rollen] [Auswahl (mindestens ein Element): nach Bedarf; [Zuweisung: von der Organisation definierte Häufigkeit]] bereit. SI-4 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anleitung: Weitere Informationen finden Sie unter „US-CERT Incident Response Reporting Guidelines“. SI-04(1) Die Organisation verbindet individuelle Angriffserkennungstools mit einem im gesamten Informationssystem bereitgestellten Angriffserkennungssystem, und konfiguriert diese. |
Implementieren Sie die informationssystemweite Überwachung und das Intrusion-Detection-System. Schließen Sie alle Microsoft Entra-Protokolle (Überwachung, Anmeldung, ID Protection) in die Überwachungslösung des Informationssystems ein. Streamen Sie Microsoft Entra-Protokolle in eine SIEM-Lösung (siehe IA-04). |
Nächste Schritte
Konfigurieren der Zugriffssteuerung
Konfigurieren von Identifizierungs- und Authentifizierungskontrollen