Microsoft Entra ID und PCI-DSS-Anforderung 10

Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
Anforderungen des definierten Ansatzes

10.1 Prozesse und Mechanismen für die Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten sind definiert und dokumentiert.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in der Anforderung 10 identifiziert werden, sind:
Dokumentiert
Auf dem neuesten Stand
In Gebrauch
Allen betroffenen Parteien bekannt
Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.
10.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 10 sind dokumentiert, zugewiesen und verstanden. Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.

10.2 Überwachungsprotokolle sind implementiert, um die Erkennung von Anomalien und verdächtigen Aktivitäten sowie die forensische Analyse von Ereignissen zu unterstützen.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.2.1 Überwachungsprotokolle sind für alle Systemkomponenten und Karteninhaberdaten aktiviert und aktiv. Archivieren Sie Microsoft Entra-Überwachungsprotokolle, um Änderungen an Sicherheitsrichtlinien und der Microsoft Entra-Mandantenkonfiguration zu erhalten.
Archivieren Sie Microsoft Entra-Aktivitätsprotokolle in einem Security Information and Event Managementa(SIEM)-System, um mehr über die Nutzung zu erfahren. Microsoft Entra-Aktivitätsprotokolle in Azure Monitor
10.2.1.1 Überwachungsprotokolle erfassen alle individuellen Benutzerzugriffe auf Karteninhaberdaten. Gilt nicht für Microsoft Entra ID.
10.2.1.2 Überwachungsprotokolle erfassen alle Aktionen, die von einer Person mit Administratorzugriff ausgeführt werden, einschließlich der interaktiven Nutzung von Anwendungs- oder Systemkonten. Gilt nicht für Microsoft Entra ID.
10.2.1.3 Überwachungsprotokolle erfassen den gesamten Zugriff auf Überwachungsprotokolle. In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern. Privilegierte Benutzer*innen können Protokolle über Microsoft Entra ID abfragen. Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID
Wenn Überwachungsprotokolle in Systeme wie Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietenden exportiert werden, überwachen Sie diese auf Zugriff.
10.2.1.4 Überwachungsprotokolle erfassen alle ungültigen logischen Zugriffsversuche. Microsoft Entra ID generiert Aktivitätsprotokolle, wenn Benutzer*innen versuchen, sich mit ungültigen Anmeldeinformationen anzumelden. Es generiert Aktivitätsprotokolle, wenn der Zugriff aufgrund von Richtlinien für bedingten Zugriff verweigert wird.
10.2.1.5 Überwachungsprotokolle erfassen alle Änderungen an Identifikations- und Authentifizierungsanmeldeinformationen einschließlich, aber nicht beschränkt auf:
Erstellung neuer Konten
Erhöhung der Privilegien
Alle Änderungen, Hinzufügungen oder Löschungen von Konten mit Administratorzugriff
Microsoft Entra ID generiert Überwachungsprotokolle für die Ereignisse in dieser Anforderung.
10.2.1.6 Überwachungsprotokolle erfassen Folgendes:
Jede Initialisierung neuer Überwachungsprotokolle und
Jedes Starten, Beenden oder Anhalten der vorhandenen Überwachungsprotokolle.
Gilt nicht für Microsoft Entra ID.
10.2.1.7 Überwachungsprotokolle erfassen jede Erstellung und Löschung von Objekten auf Systemebene. Microsoft Entra ID generiert Überwachungsprotokolle für die Ereignisse in dieser Anforderung.
10.2.2 Überwachungsprotokolle zeichnen die folgenden Details für jedes überwachbare Ereignis auf:
Benutzeridentifikation.
Art des Ereignisses.
Datum und Uhrzeit.
Angabe über Erfolg und Fehler.
Ursprung des Ereignisses.
Identität oder Name der betroffenen Daten, Systemkomponenten, Ressourcen oder Dienste (z. B. Name und Protokoll).
Überwachungsprotokolle in Microsoft Entra ID

10.3 Überwachungsprotokolle sind vor Vernichtung und nicht autorisierten Änderungen geschützt.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.3.1 Der Lesezugriff auf Überwachungsprotokolldateien ist auf diejenigen beschränkt, die einen berufsbedingten Bedarf haben. Privilegierte Benutzer*innen können Protokolle über Microsoft Entra ID abfragen. Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID
10.3.2 Überwachungsprotokolldateien sind geschützt, um Veränderungen durch Einzelpersonen zu verhindern. In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern.
Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff.
10.3.3 Überwachungsprotokolldateien, einschließlich solcher für nach außen gerichtete Technologien, werden zeitnah auf einem sicheren, zentralen, internen Protokollserver oder anderen schwer zu ändernden Medien gesichert. In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern.
Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff.
10.3.4 Mechanismen zur Dateiintegritätsüberwachung oder Änderungserkennung werden für Überwachungsprotokolle verwendet, um sicherzustellen, dass bestehend Protokolldaten nicht verändert werden können, ohne einen Warnung auszulösen. In Microsoft Entra ID können Sie Protokolle nicht löschen oder ändern.
Wenn Überwachungsprotokolle in Systeme wie den Azure Log Analytics-Arbeitsbereich, Speicherkonten oder SIEM-Systeme von Drittanbietern exportiert werden, überwachen Sie diese auf Zugriff.

10.4 Überwachungsprotokolle werden überprüft, um Anomalien oder verdächtige Aktivitäten zu identifizieren.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.4.1 Die folgenden Überwachungsprotokolle werden mindestens einmal täglich überprüft:
Alle Sicherheitsereignisse.
Protokolle aller Systemkomponenten, die Daten von Karteninhabern (Cardholder Data, CHD) und/oder vertrauliche Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen. Protokolle aller kritischen Systemkomponenten.
Protokolle aller Server und Systemkomponenten, die Sicherheitsfunktionen ausführen (z. B. Netzwerksicherheitskontrollen, Systeme zur Erkennung und Verhinderung von Eindringversuchen (Intrusion-Detection Systems/Intrusion-Prevention Systems, IDS/IPS), Authentifizierungsserver).
Schließen Sie Microsoft Entra-Protokolle in diesen Prozess ein.
10.4.1.1 Automatisierte Mechanismen werden verwendet, um Überprüfungen von Überwachungsprotokollen durchzuführen. Schließen Sie Microsoft Entra-Protokolle in diesen Prozess ein. Konfigurieren Sie automatisierte Aktionen und Benachrichtigungen, wenn Microsoft Entra-Protokolle in Azure Monitor integriert sind. Bereitstellen von Azure Monitor: Warnungen und automatisierte Aktionen
10.4.2 Protokolle aller anderen Systemkomponenten (die nicht in Anforderung 10.4.1 aufgeführt sind) werden regelmäßig überprüft. Gilt nicht für Microsoft Entra ID.
10.4.2.1 Die Häufigkeit regelmäßiger Protokollüberprüfungen für alle anderen Systemkomponenten (die nicht in Anforderung 10.4.1 definiert sind) wird in der gezielten Risikoanalyse der Entität definiert, die nach allen in Anforderung 12.3.1 angegebenen Elementen durchgeführt wird Gilt nicht für Microsoft Entra ID.
10.4.3 Ausnahmen und Anomalien, die während des Überprüfungsprozesses erkannt wurden, werden adressiert. Gilt nicht für Microsoft Entra ID.

10.5 Der Überwachungsprotokollverlauf wird aufbewahrt und ist für die Analyse verfügbar.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.5.1 Bewahren Sie den Überwachungsprotokollverlauf mindestens 12 Monate lang auf, wobei mindestens die letzten drei Monate sofort zur Analyse verfügbar sind. Integrieren sie in Azure Monitor, und exportieren Sie die Protokolle für die langfristige Archivierung. Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle
Erfahren Sie mehr über die Datenaufbewahrungsrichtlinie für Microsoft Entra-Protokolle. Microsoft Entra-Datenaufbewahrung

10.6 Mechanismen zur Zeitsynchronisierung unterstützen konsistente Zeiteinstellungen für alle Systeme.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.6.1 Systemuhren und Uhrzeit werden mithilfe der Zeitsynchronisierungstechnologie synchronisiert. Erfahren Sie mehr über den Zeitsynchronisierungsmechanismus in Azure-Diensten. Zeitsynchronisierung für Finanzdienstleistungen in Azure
10.6.2 Systeme werden wie folgt für die richtige und konsistente Zeit konfiguriert:
Mindestens ein bezeichneter Zeitserver wird verwendet.
Nur die bezeichneten zentralen Zeitserver empfangen Zeit von externen Quellen.
Die von externen Quellen empfangene Zeit basiert auf der Internationalen Atomzeit oder der koordinierten Weltzeit (UTC).
Die bezeichneten Zeitserver akzeptieren Zeitupdates nur von bestimmten branchenweit akzeptierten externen Quellen.
Wenn mehrere bezeichnete Zeitserver vorhanden sind, führen die Zeitserver ein Peering miteinander durch, um die genaue Zeit zu halten.
Interne Systeme erhalten Zeitinformationen nur von bezeichneten zentralen Zeitservern.
Erfahren Sie mehr über den Zeitsynchronisierungsmechanismus in Azure-Diensten. Zeitsynchronisierung für Finanzdienstleistungen in Azure
10.6.3 Einstellungen und Daten zur Zeitsynchronisierung werden wie folgt geschützt:
Der Zugriff auf Zeitdaten ist nur auf Mitarbeiter mit geschäftlichem Bedarf eingeschränkt.
Alle Änderungen an Zeiteinstellungen auf kritischen Systemen werden protokolliert, überwacht und überprüft.
Microsoft Entra ID stützt sich auf Zeitsynchronisationsmechanismen in Azure.
Azure-Prozeduren synchronisieren Server und Netzwerkgeräte mit NTP Stratum 1-Zeitserver, die mit GPS (Global Positioning System)-Satelliten synchronisiert sind. Die Synchronisierung erfolgt alle fünf Minuten. Azure stellt sicher, dass die Diensthosts die Zeit synchronisieren. Zeitsynchronisierung für Finanzdienste in Azure
Hybridkomponenten in Microsoft Entra ID, z. B. Microsoft Entra Connect-Server, interagieren mit der lokalen Infrastruktur. Der Kunde besitzt die Zeitsynchronisierung auf lokalen Servern.

10.7 Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
10.7.2 Zusätzliche Anforderung nur für Dienstanbieter: Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben, einschließlich, aber nicht beschränkt auf Fehler der folgenden kritischen Sicherheitskontrollsysteme:
Netzwerksicherheitskontrollen
IDS/IPS
Dateiintegritätsüberwachung (File Integrity Monitoring, FIM)
Antischadsoftwarelösungen
Physische Zugriffssteuerung
Logische Zugriffssteuerung
Überwachungsprotokollierungsmechanismus
Segmentierungskontrollen (falls verwendet)
Microsoft Entra ID stützt sich auf Zeitsynchronisationsmechanismen in Azure.
Azure unterstützt die Echtzeitereignisanalyse in seiner Betriebsumgebung. Interne Azure-Infrastruktursysteme generieren in Quasi-Echtzeit Ereigniswarnungen zu potenziellen Kompromittierungen.
10.7.2 Fehler kritischer Sicherheitskontrollsysteme werden erkannt, gemeldet und umgehend behoben, einschließlich, aber nicht beschränkt auf Fehler der folgenden kritischen Sicherheitskontrollsysteme:
Netzwerksicherheitskontrollen
IDS/IPS
Änderungserkennungsmechanismus
Antischadsoftwarelösungen
Physische Zugriffssteuerung
Logische Zugriffssteuerung
Überwachungsprotokollierungsmechanismus
Segmentierungskontrollen (wenn verwendet)
Überprüfungsmechanismus für Überwachungsprotokolle
Automatisierte Sicherheitstesttools (falls verwendet)
Weitere Informationen finden Sie im Leitfaden für Microsoft Entra-SecOps.
10.7.3 Auf Fehler kritischer Sicherheitskontrollsysteme wird umgehend reagiert, einschließlich, aber nicht beschränkt auf:
Wiederherstellen von Sicherheitsfunktionen.
Identifizieren und Dokumentieren der Dauer (Datum und Uhrzeit von Beginn bis Ende) des Sicherheitsfehlers.
Identifizieren und Dokumentieren der Fehlerursache(n) und Dokumentieren der erforderlichen Wartung.
Identifizieren und Adressieren von Sicherheitsrisiken, die während des Fehlers entstanden sind.
Bestimmen, ob als Ergebnis des Sicherheitsfehlers weitere Aktionen erforderlich sind.
Implementieren von Kontrollen, um zu verhindern, dass die Fehlerursache erneut auftritt.
Wiederaufnahme der Überwachung von Sicherheitskontrollen.
Weitere Informationen finden Sie im Leitfaden für Microsoft Entra-SecOps.

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.