Weitere im Memorandum 22-09 behandelte Zero Trust-Bereiche

Die anderen Artikel in diesem Leitfaden befassen sich mit der Identitätssäule der Zero Trust-Prinzipien, wie im Memorandum des US Office of Management and Budget (OMB) M 22-09 Memorandum für die Leiter der Exekutivabteilungen und Behörden beschrieben. Dieser Artikel befasst sich mit den Bereichen des Zero Trust-Reifegradmodells, die über die Identitätssäule hinausgehen, und geht auf die folgenden Themen ein:

  • Sichtbarkeit
  • Analyse
  • Automatisierung und Orchestrierung
  • Governance

Sichtbarkeit

Es ist wichtig, Ihren Microsoft Entra-Mandanten zu überwachen. Gehen Sie von einer Sicherheitsverletzung aus, und erfüllen Sie die Compliance-Standards, die im Memorandum 22-09 und Memorandum 21-31 festgelegt sind. Drei primäre Protokolltypen werden für Sicherheitsanalyse und Erfassung verwendet:

  • Azure-Überwachungsprotokolle für die Überwachung operativer Aktivitäten des Verzeichnisses, z. B. Erstellen, Löschen und Aktualisieren von Objekten wie Benutzer oder Gruppen
  • Bereitstellungsprotokolle enthalten Informationen zu Objekten, die über Microsoft Identity Manager von Microsoft Entra ID mit Anwendungen wie Service Now synchronisiert werden
  • Microsoft Entra-Anmeldeprotokolle für die Überwachung von Anmeldeaktivitäten, die mit Benutzern, Anwendungen und Dienstprinzipalen verbunden sind.
    • Anmeldeprotokolle enthalten Kategorien zur Unterscheidung
    • Interaktive Anmeldungen zeigen erfolgreiche und fehlgeschlagene Anmeldungen, angewendete Richtlinien und andere Metadaten an
    • Nicht interaktive Benutzeranmeldungen zeigen keine Interaktion während der Anmeldung an: Clients, die sich im Namen des Benutzers anmelden, z. B. mobile Anwendungen oder E-Mail-Clients
    • Dienstprinzipalanmeldungen zeigen die Dienstprinzipal- oder Anwendungsanmeldung an: Dienste oder Anwendungen, die über die REST-API auf Dienste, Anwendungen oder das Microsoft Entra-Verzeichnis zugreifen
    • Verwaltete Identitäten für die Azure-Ressourcenanmeldung: Azure-Ressourcen oder Anwendungen, die auf Azure-Ressourcen zugreifen, wie z. B. ein Webanwendungsdienst, der sich bei einem Azure SQL-Backend authentifiziert.
    • Anmeldeprotokolle in Microsoft Entra ID (Vorschau)

In Microsoft Entra ID Free-Mandanten werden Protokolleinträge sieben Tage lang gespeichert. Mandanten mit einer Microsoft Entra-ID P1- oder P2-Lizenz behalten Protokolleinträge 30 Tage lang bei.

Stellen Sie sicher, dass ein Security Information and Event Management (SIEM)-Tool Protokolle erfasst. Korrelieren Sie Anmelde- und Überwachungsereignisse mit Anwendungs-, Infrastruktur-, Daten-, Geräte- und Netzwerkprotokollen.

Es wird empfohlen, Microsoft Entra-Protokolle in Microsoft Sentinel zu integrieren. Konfigurieren Sie einen Connector zum Erfassen von Microsoft Entra-Mandantenprotokollen.

Weitere Informationen:

Sie können die Diagnoseeinstellungen für den Microsoft Entra-Mandanten konfigurieren, um die Daten an ein Azure Storage-Konto, Azure Event Hubs oder einen Log Analytics-Arbeitsbereich zu senden. Verwenden Sie diese Speicheroptionen, um andere SIEM-Tools zum Sammeln der Daten zu integrieren.

Weitere Informationen:

Analyse

Sie können Analysen in den folgenden Tools verwenden, um Informationen aus Microsoft Entra ID zu aggregieren und Trends bei Ihrem Sicherheitsstatus im Vergleich zu Ihrer Baseline anzuzeigen. Sie können Analysen auch Microsoft Entra ID-übergreifend als Möglichkeit für die Suche nach Mustern oder Bedrohungen und deren Bewertung verwenden.

  • Microsoft Entra ID Protection analysiert Anmeldungen und andere Telemetriedatenquellen auf risikobehaftetes Verhalten
    • ID Protection weist Anmeldeereignissen eine Risikobewertung zu
    • Verhindern Sie Anmeldungen, oder erzwingen Sie eine schrittweise Authentifizierung für den Zugriff auf eine Ressource oder Anwendung auf Basis der Risikobewertung
    • Siehe Was ist ID Protection?
  • Microsoft Entra-Nutzungs- und Erkenntnisberichte enthalten Informationen, die mit denen in Microsoft Sentinel-Arbeitsmappen vergleichbar sind, unter anderem Anwendungen mit den höchsten Nutzungs- oder Anmeldetrends.
  • Microsoft Sentinel analysiert Informationen aus Microsoft Entra AD:

Automatisierung und Orchestrierung

Automation in Zero Trust hilft, Warnungen aufgrund von Bedrohungen oder Sicherheitsänderungen zu beheben. In Microsoft Entra ID helfen Automationintegrationen bei der Klärung von Maßnahmen zur Verbesserung Ihres Sicherheitsstatus. Automation basiert auf Informationen, die von der Überwachung und Analyse empfangen werden.

Verwenden Sie Microsoft Graph-API REST-Aufrufe, um programmgesteuert auf Microsoft Entra ID zuzugreifen. Dieser Zugriff erfordert eine Microsoft Entra-Identität mit Autorisierungen und Umfang. Integrieren Sie andere Tools mit der Graph-API.

Wir empfehlen, eine Azure-Funktion oder Azure-Logik-App einzurichten, um eine systemseitig zugewiesene verwaltete Identität zu verwenden. Die Logik-App oder -Funktion verfügt über Schritte oder Code, um Aktionen automatisch auszuführen. Weisen Sie der verwalteten Identität Berechtigungen zu, um dem Dienstprinzipal die Verzeichnisberechtigungen zum Ausführen der Aktionen zu gewähren. Erteilen Sie verwalteten Identitäten Mindestberechtigungen.

Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

Eine weitere Stelle zum Integrieren der Automatisierung sind Microsoft Graph PowerShell-Module. Verwenden Sie Microsoft Graph PowerShell, um allgemeine Aufgaben oder Konfigurationen in Microsoft Entra ID auszuführen, oder integrieren Sie sie in Azure Functions oder Azure Automation-Runbooks.

Governance

Dokumentieren Sie Ihre Prozesse für den Betrieb der Microsoft Entra-Umgebung. Verwenden Sie Microsoft Entra-Features für Governancefunktionen, die auf Bereiche in Microsoft Entra ID angewendet werden.

Weitere Informationen:

Nächste Schritte