Share via

Monitorování architektur zabezpečení nulová důvěra (Zero Trust) (TIC 3.0) pomocí služby Microsoft Sentinel

  • Článek

nulová důvěra (Zero Trust) je strategie zabezpečení pro navrhování a implementaci následujících sad principů zabezpečení:

Explicitní ověření Použití přístupu s nejnižšími oprávněními Předpokládat porušení zabezpečení
Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Tento článek popisuje, jak používat řešení Microsoft Sentinel nulová důvěra (Zero Trust) (TIC 3.0), které pomáhá týmům zásad správného řízení a dodržování předpisů monitorovat a reagovat na nulová důvěra (Zero Trust) požadavky podle iniciativy TRUSTED INTERNET CONNECTIONS (TIC) 3.0.

Řešení Microsoft Sentinel jsou sady sbalovaného obsahu předem nakonfigurovaného pro konkrétní sadu dat. Řešení nulová důvěra (Zero Trust) (TIC 3.0) zahrnuje sešit, analytická pravidla a playbook, který poskytuje automatizovanou vizualizaci principů nulová důvěra (Zero Trust), která je křížově přecházela do architektury Trust Internet Připojení ions a pomáhá organizacím monitorovat konfigurace v průběhu času.

Řešení nulová důvěra (Zero Trust) a architektura TIC 3.0

nulová důvěra (Zero Trust) a TIC 3.0 nejsou stejné, ale sdílejí mnoho společných motivů a společně poskytují společný příběh. Řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) nabízí podrobné přechody mezi Microsoft Sentinelem a modelem nulová důvěra (Zero Trust) s architekturou TIC 3.0. Tyto přechody pomáhají uživatelům lépe porozumět překrývání mezi těmito dvěma.

I když řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) poskytuje osvědčené postupy, Microsoft nezaručuje ani neznamená dodržování předpisů. Všechny požadavky, ověřování a kontroly důvěryhodného internetového Připojení ionu (TIC) se řídí agenturou pro zabezpečení kyberbezpečnosti a infrastruktury.

Řešení nulová důvěra (Zero Trust) (TIC 3.0) poskytuje přehledné a situační povědomí o požadavcích na kontrolu požadavků poskytovaných technologiemi Microsoftu v převážně cloudových prostředích. Činnost zákazníka se bude lišit podle uživatele a některá podokna můžou vyžadovat další konfigurace a úpravy dotazů pro operaci.

Doporučení neznamenají pokrytí příslušných kontrol, protože jsou často jedním z několika způsobů akce pro přístup k požadavkům, což je pro každého zákazníka jedinečné. Doporučení by měla být považována za výchozí bod pro plánování plného nebo částečného pokrytí příslušných požadavků na kontrolu.

Řešení Microsoft Sentinel pro nulová důvěra (Zero Trust) (TIC 3.0) je užitečné pro některé z následujících uživatelů a případů použití:

  • Odborníci na zásady správného řízení zabezpečení, rizika a dodržování předpisů pro posouzení stavu dodržování předpisů a vytváření sestav
  • Technici a architekti, kteří potřebují navrhovat nulová důvěra (Zero Trust) a úlohy v souladu s TIC 3.0
  • Analytici zabezpečení pro vytváření výstrah a automatizace
  • Poskytovatelé spravovaných služeb zabezpečení (MSSP) pro konzultační služby
  • Správci zabezpečení, kteří potřebují kontrolovat požadavky, analyzovat sestavy, vyhodnocovat možnosti

Požadavky

Před instalací řešení nulová důvěra (Zero Trust) (TIC 3.0) se ujistěte, že máte následující požadavky:

Řešení nulová důvěra (Zero Trust) (TIC 3.0) je také rozšířeno integrací s dalšími službami Microsoftu, například:

Instalace řešení nulová důvěra (Zero Trust) (TIC 3.0)

Nasazení řešení nulová důvěra (Zero Trust) (TIC 3.0) z webu Azure Portal:

  1. V Microsoft Sentinelu vyberte Centrum obsahu a vyhledejte řešení nulová důvěra (Zero Trust) (TIC 3.0).

  2. V pravém dolním rohu vyberte Zobrazit podrobnosti a pak Vytvořte. Vyberte předplatné, skupinu prostředků a pracovní prostor, do kterého chcete řešení nainstalovat, a zkontrolujte související obsah zabezpečení, který se nasadí.

    Až budete hotovi, vyberte Zkontrolovat a vytvořit a nainstalujte řešení.

Další informace najdete v tématu Nasazení předefinovaných obsahu a řešení.

Ukázkový scénář použití

Následující části ukazují, jak může analytik operací zabezpečení používat prostředky nasazené pomocí řešení nulová důvěra (Zero Trust) (TIC 3.0) ke kontrole požadavků, zkoumání dotazů, konfiguraci výstrah a implementaci automatizace.

Po instalaciřešení nulová důvěra (Zero Trust) (TIC 3.0) použijte sešit, analytická pravidla a playbook nasazený do pracovního prostoru Služby Microsoft Sentinel ke správě nulová důvěra (Zero Trust) ve vaší síti.

Vizualizace dat nulová důvěra (Zero Trust)

  1. Přejděte do sešitu Microsoft Sentinel Workbooks> nulová důvěra (Zero Trust) (TIC 3.0) a vyberte Zobrazit uložený sešit.

    Na stránce sešitu nulová důvěra (Zero Trust) (TIC 3.0) vyberte možnosti TIC 3.0, které chcete zobrazit. Pro účely tohoto postupu vyberte Detekci neoprávněných vniknutí.

    Tip

    Pomocí přepínače Průvodce v horní části stránky zobrazte nebo skryjte doporučení a podokna vodítka. Ujistěte se, že jsou v možnostech Předplatné, Pracovní prostor a Časové uspořádání vybrané správné podrobnosti, abyste mohli zobrazit konkrétní data, která chcete najít.

  2. Zkontrolujte zobrazené karty ovládacích prvků. Posuňte se například dolů a zobrazte kartu adaptivního řízení přístupu:

    Snímek obrazovky s kartou Adaptivního řízení přístupu

    Tip

    Pomocí přepínače Vodítka v levém horním rohu můžete zobrazit nebo skrýt doporučení a podokna vodítka. To může být užitečné například při prvním přístupu k sešitu, ale nepotřebné, jakmile pochopíte relevantní koncepty.

  3. Prozkoumejte dotazy. Například v pravém horním rohu karty adaptivního řízení přístupu vyberte tlačítko :Další a pak vyberte možnost Otevřít poslední spustit dotaz v zobrazení Protokoly.

    Dotaz se otevře na stránce Protokolů Microsoft Sentinelu:

    Snímek obrazovky s vybraným dotazem na stránce Protokoly Microsoft Sentinelu

V Microsoft Sentinelu přejděte do oblasti Analýza . Pomocí řešení nulová důvěra (Zero Trust) (TIC 3.0) vyhledejte TIC3.0.

Ve výchozím nastavení řešení nulová důvěra (Zero Trust) (TIC 3.0) nainstaluje sadu analytických pravidel nakonfigurovaných pro monitorování stavu nulová důvěra (Zero Trust) (TIC3.0) podle řady ovládacích prvků a můžete přizpůsobit prahové hodnoty pro upozorňování týmů dodržování předpisů na změny stavu.

Pokud například stav odolnosti vaší úlohy klesne pod zadané procento v týdnu, Microsoft Sentinel vygeneruje výstrahu s podrobnostmi o příslušném stavu zásad (pass/fail), identifikovaných prostředků, čas posledního posouzení a poskytne přímé odkazy na akce microsoft Defenderu for Cloud pro nápravu.

Podle potřeby aktualizujte pravidla nebo nakonfigurujte novou:

Snímek obrazovky s průvodcem analytickým pravidlem

Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Reakce pomocí SOAR

V Microsoft Sentinelu přejděte na kartu Aktivní playbooky Automation>a vyhledejte playbook Notify-GovernanceComplianceTeam.

Pomocí tohoto playbooku můžete automaticky monitorovat výstrahy řadiče pro správu základní desky a informovat tým dodržování zásad správného řízení relevantními podrobnostmi prostřednictvím e-mailu i zpráv Microsoft Teams. Podle potřeby upravte playbook:

Snímek obrazovky návrháře aplikace logiky zobrazující ukázkový playbook

Další informace najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinelu.

Nejčastější dotazy

Podporují se vlastní zobrazení a sestavy?

Ano. Sešit nulová důvěra (Zero Trust) (TIC 3.0) můžete přizpůsobit tak, aby zobrazoval data podle předplatného, pracovního prostoru, času, ovládacího rodinného účtu nebo parametrů na úrovni vyspělosti a můžete sešit exportovat a vytisknout.

Další informace najdete v tématu Použití sešitů služby Azure Monitor k vizualizaci a monitorování dat.

Vyžadují se další produkty?

Vyžaduje se Microsoft Sentinel i Microsoft Defender for Cloud.

Kromě těchto služeb je každá řídicí karta založená na datech z více služeb v závislosti na typech dat a vizualizací zobrazených na kartě. Více než 25 služby Microsoft poskytuje obohacení řešení nulová důvěra (Zero Trust) (TIC 3.0).

Co mám dělat s panely bez dat?

Panely bez dat poskytují výchozí bod pro řešení požadavků na řízení nulová důvěra (Zero Trust) a TIC 3.0, včetně doporučení pro řešení příslušných kontrol.

Podporuje se více předplatných, cloudů a tenantů?

Ano. Pomocí parametrů sešitu, Azure Lighthouse a Azure Arc můžete využít řešení nulová důvěra (Zero Trust) (TIC 3.0) ve všech vašich předplatných, cloudech a tenantech.

Další informace najdete v tématu Použití sešitů služby Azure Monitor k vizualizaci a monitorování dat a správě více tenantů v Microsoft Sentinelu jako poskytovatele MSSP.

Podporuje se integrace partnerů?

Ano. Sešity i analytická pravidla jsou přizpůsobitelná pro integraci s partnerskými službami.

Další informace najdete v tématu Použití sešitů Azure Monitoru k vizualizaci a monitorování dat a vlastních podrobností o událostech Surface v upozorněních.

Je tato možnost dostupná v oblastech státní správy?

Ano. Řešení nulová důvěra (Zero Trust) (TIC 3.0) je ve verzi Public Preview a je možné ho nasadit do komerčních nebo veřejných oblastí. Další informace najdete v tématu Dostupnost funkcí cloudu pro komerční zákazníky a zákazníky státní správy USA.

Jaká oprávnění se vyžadují k používání tohoto obsahu?

  • Uživatelé přispěvatele Microsoft Sentinelu můžou vytvářet a upravovat sešity, analytická pravidla a další prostředky Microsoft Sentinelu.

  • Uživatelé čtenáře Microsoft Sentinelu můžou zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.

Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.

Další kroky

Další informace naleznete v tématu:

Podívejte se na naše videa:

Přečtěte si naše blogy!