備忘錄 22-09 中解決的其他零信任領域

本指導中的其他文章說明零信任原則的身份要素，如美國管理與預算辦公室 (OMB) M 22-09 執行部門和機構負責人的備忘錄中所述。 本文涵蓋身分識別要素以外的零信任成熟度模型區域，並說明下列主題：

• 可見度
• 分析
• 自動化與協調流程
• 控管

可見度

監視您的 Microsoft Entra 租用戶非常重要。 採用入侵的心態並符合備忘錄 22-09 和備忘錄 21-31 中的合規性標準。 安全性分析和擷取主要使用三個記錄檔類型：

• Azure 稽核記錄用於監視目錄本身的操作活動，例如建立、刪除、更新使用者或群組等物件
  • 也可以用於變更 Microsoft Entra 設定，例如條件式存取原則的修改
  • 請參閱在 Microsoft Entra ID 中稽核記錄
• 佈建記錄包含透過 Microsoft Identity Manager 從 Microsoft Entra ID 同步處理到 Service Now 等應用程式之物件的相關資訊
  • 請參閱 Microsoft Entra ID 中的佈建記錄
• Microsoft Entra 登入記錄可監視與使用者、應用程式和服務主體相關聯的登入活動。
  • 登入記錄具有區分的類別
  • 互動式登入顯示成功和失敗的登入、已套用的原則和其他中繼資料
  • 非互動使用者登入在登入期間不會顯示任何互動：代表使用者登入的用戶端，例如行動應用程式或電子郵件用戶端
  • 服務主體登入顯示服務主體或應用程式登入：服務或應用程式透過 REST API 存取服務、應用程式或 Microsoft Entra 目錄
  • Azure 資源受控識別登入：Azure 資源或存取 Azure 資源的應用程式，例如 Web 應用程式服務可向 Azure SQL 後端進行驗證。
  • 請參閱在 Microsoft Entra ID 中登入記錄 (預覽)

在 Microsoft Entra ID 免費租用戶中，記錄項目會儲存七天。 具有 Microsoft Entra ID P1 或 P2 授權的租用戶會保留記錄項目 30 天。

確保安全性資訊與事件管理 (SIEM) 工具內嵌記錄。 使用登入和稽核事件來與應用程式、基礎結構、資料、裝置和網路記錄相互關聯。

建議將 Microsoft Entra 記錄與 Microsoft Sentinel 加以整合。 設定連接器來內嵌 Microsoft Entra 租用戶記錄。

深入了解：

• 什麼是 Microsoft Sentinel？
• 將 Microsoft Entra ID 連線至 Microsoft Sentinel

對於 Microsoft Entra 租用戶，您可以設定診斷設定，將資料傳送至 Azure 儲存體帳戶、Azure 事件中樞或 Log Analytics 工作區。 使用這些儲存體選項來整合其他 SIEM 工具以收集資料。

深入了解：

• 什麼是 Microsoft Entra 監視？
• Microsoft Entra 報告和監視部署相依性

分析

您可以使用下列工具中的分析功能從 Microsoft Entra ID 彙總資訊，並顯示相較於基準的安全性態勢趨勢。 您也可以使用分析功能來評定和尋找 Microsoft Entra ID 中的模式或威脅。

• Microsoft Entra ID Protection 會分析登入和其他遙測來源是否有風險行為
  • 「身分識別保護」會對登入事件指派風險分數
  • 防止登入活動或強制執行升級驗證，以根據風險分數來存取資源或應用程式
  • 請參閱什麼是身分識別保護？
• Microsoft Entra 使用情況和深入解析報告具有類似 Azure Sentinel 活頁簿的資訊，包括具有最高使用量或登入趨勢的應用程式。
  • 使用報告來了解可能表示攻擊或其他事件的彙總趨勢
  • 請參閱 Microsoft Entra ID 中的使用情況和深入解析
• Microsoft Sentinel 分析來自 Microsoft Entra ID 的資訊：
  • Microsoft Sentinel 使用者與實體行為分析 (UEBA) 提供來自使用者、主機、IP 位址和應用程式實體的潛在威脅情報。
  • 使用分析規則範本來搜尋 Microsoft Entra 記錄中的威脅和警示。 您的安全性或營運分析師便能分級並修復威脅。
  • Microsoft Sentinel 活頁簿可協助將 Microsoft Entra 資料來源視覺化。 請參閱依國家/地區或應用程式登入。
  • 請參閱常用的 Microsoft Sentinel 活頁簿
  • 請參閱將收集的資料視覺化
  • 請參閱在 Microsoft Sentinel 中使用 UEBA 識別進階威脅

自動化與協調流程

零信任中的自動化有助於補救因威脅或安全性變更而發出的警示。 在 Microsoft Entra ID 中，自動化整合有助於釐清動作以改善安全性態勢。 自動化是以從監控和分析取得的資訊為依據。

使用 Microsoft Graph API REST 呼叫，以程式設計的方式存取 Microsoft Entra ID。 此存取需要具有授權和範圍的 Microsoft Entra 身分識別。 使用整合其他工具的圖形 API。

建議您設定 Azure 函式或 Azure 邏輯應用程式，以使用系統指派的受控識別。 邏輯應用程式或函式具有自動化動作的步驟或程式碼。 將權限指派給受控識別，以授與服務主體目錄執行動作的權限。 授與受控識別最低權限。

深入了解：什麼是 Azure 資源受控識別？

另一個自動化整合點是 Microsoft Graph PowerShell 模組。 使用 Microsoft Graph PowerShell 在 Microsoft Entra ID 中執行一般工作或組態，或納入 Azure 函式或 Azure 自動化 Runbook。

控管

記錄您的處理序來運作 Microsoft Entra 環境。 使用 Microsoft Entra 功能，將控管功能套用至 Microsoft Entra ID 中的範圍。

深入了解：

• Microsoft Entra ID 控管作業參考指南
• Microsoft Entra 安全性作業指南
• 什麼是 Microsoft Entra ID 控管？
• 符合備忘錄 22-09 的授權需求。

下一步

• 使用 Microsoft Entra ID 符合備忘錄 22-09 的身分識別需求
• 整個企業的身分識別管理系統
• 符合 22-09 的多重要素驗證需求
• 符合備忘錄 22-09 的授權需求
• 使用零信任保護身分識別