A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei

Az útmutató egyéb cikkei az Teljes felügyelet alapelvek identitáspilléreivel foglalkoznak, amint azt az Egyesült Államok Gazdálkodási és Költségvetési Hivatala (OMB) M 22–09 memorandumában ismertetjük a vezetői részlegek és ügynökségek vezetői számára. Ez a cikk az identitás pilléren kívüli Teljes felügyelet érettségi modell területeit ismerteti, és a következő témákat tárgyalja:

• Látótávolság
• Analytics
• Automatizálás és vezénylés
• Szabályozás

Látótávolság

Fontos a Microsoft Entra-bérlő monitorozása. A 22-09-ben és a 21-31-ben a 21–31. A rendszer három elsődleges naplótípust használ a biztonsági elemzéshez és a betöltéshez:

• Azure-naplózási naplók a címtár működési tevékenységeinek figyeléséhez, például objektumok, például felhasználók vagy csoportok létrehozásához, törléséhez és frissítéséhez
  • A Microsoft Entra konfigurációinak módosítására is használható, például feltételes hozzáférési szabályzat módosítására
  • Lásd: Naplók naplózása a Microsoft Entra-azonosítóban
• A kiépítési naplók információkat tartalmaznak a Microsoft Entra-azonosítóról az olyan alkalmazásokra szinkronizált objektumokról, mint a Service Now és a Microsoft Identity Manager
  • Lásd: Kiépítési naplók a Microsoft Entra-azonosítóban
• A Microsoft Entra bejelentkezési naplói figyelik a felhasználókhoz, alkalmazásokhoz és szolgáltatásnevekhez kapcsolódó bejelentkezési tevékenységeket.
  • A bejelentkezési naplók különböző kategóriákat rendelkeznek
  • Az interaktív bejelentkezések sikeres és sikertelen bejelentkezéseket, alkalmazott szabályzatokat és egyéb metaadatokat mutatnak
  • A nem interaktív felhasználói bejelentkezések nem mutatnak interakciót a bejelentkezés során: a felhasználó nevében bejelentkező ügyfelek, például mobilalkalmazások vagy e-mail-ügyfelek
  • A szolgáltatásnév-bejelentkezések szolgáltatásnévvel vagy alkalmazás-bejelentkezéssel jelennek meg: szolgáltatások vagy alkalmazások, amelyek a REST API-val férnek hozzá a szolgáltatásokhoz, alkalmazásokhoz vagy a Microsoft Entra könyvtárhoz
  • Felügyelt identitások azure-beli erőforrás-bejelentkezéshez: Azure-erőforrások vagy Azure-erőforrásokhoz hozzáférő alkalmazások, például egy webalkalmazás-szolgáltatás, amely egy Azure SQL-háttérrendszerre hitelesít.
  • Lásd: Bejelentkezési naplók a Microsoft Entra-azonosítóban (előzetes verzió)

Az ingyenes Microsoft Entra-bérlőkben a naplóbejegyzések hét napig vannak tárolva. A P1 vagy P2 Microsoft Entra-azonosítójú bérlők 30 napig őrzik meg a naplóbejegyzéseket.

Győződjön meg arról, hogy egy biztonsági információ- és eseménykezelő (SIEM) eszköz betölti a naplókat. A bejelentkezési és naplózási események segítségével korrelálhat az alkalmazásokkal, az infrastruktúrával, az adatokkal, az eszközökkel és a hálózati naplókkal.

Javasoljuk, hogy integrálja a Microsoft Entra-naplókat a Microsoft Sentinellel. Konfiguráljon egy összekötőt a Microsoft Entra-bérlői naplók betöltéséhez.

További információ:

• Mi az a Microsoft Sentinel?
• Csatlakozás Microsoft Entra-azonosítót a Microsoft Sentinelnek

A Microsoft Entra-bérlő esetében konfigurálhatja a diagnosztikai beállításokat, hogy az adatokat egy Azure Storage-fiókba, az Azure Event Hubsba vagy egy Log Analytics-munkaterületre küldje. Ezekkel a tárolási lehetőségekkel integrálhat más SIEM-eszközöket az adatok gyűjtéséhez.

További információ:

• Mi a Microsoft Entra monitorozása?
• A Microsoft Entra jelentéskészítési és monitorozási üzembehelyezési függőségei

Analytics

Az alábbi eszközök elemzésével összesítheti a Microsoft Entra-azonosító adatait, és megjelenítheti a biztonsági helyzet trendjeit az alapkonfigurációhoz képest. Elemzések használatával is felmérheti és megkeresheti a Microsoft Entra-azonosító mintáit vagy fenyegetéseit.

• Microsoft Entra ID-védelem a kockázatos viselkedés érdekében elemzi a bejelentkezéseket és más telemetriai forrásokat
  • Az Identity Protection kockázati pontszámot rendel a bejelentkezési eseményekhez
  • A bejelentkezések megakadályozása vagy a fokozott hitelesítés kényszerítése egy erőforráshoz vagy alkalmazáshoz való hozzáféréshez a kockázati pontszám alapján
  • Lásd: Mi az Identity Protection?
• A Microsoft Entra használati és elemzési jelentései az Azure Sentinel-munkafüzetekhez hasonló információkkal rendelkeznek, beleértve a legmagasabb használati vagy bejelentkezési trendekkel rendelkező alkalmazásokat is.
  • Jelentések használatával megismerheti a támadást vagy más eseményeket jelző összesített trendeket
  • Lásd, használat és elemzések a Microsoft Entra-azonosítóban
• A Microsoft Sentinel a Microsoft Entra-azonosítóból származó információkat elemzi:
  • A Microsoft Sentinel User and Entity Behavior Analytics (UEBA) intelligenciát biztosít a felhasználók, gazdagépek, IP-címek és alkalmazásentitások potenciális fenyegetéseihez.
  • Az elemzési szabálysablonokkal fenyegetéseket és riasztásokat kereshet a Microsoft Entra-naplókban. A biztonsági vagy műveleti elemző képes a fenyegetések osztályozására és elhárítására.
  • A Microsoft Sentinel-munkafüzetek segítenek a Microsoft Entra-adatforrások vizualizációjában. Tekintse meg a bejelentkezéseket ország/régió vagy alkalmazások szerint.
  • Lásd: Gyakran használt Microsoft Sentinel-munkafüzetek
  • Lásd: Összegyűjtött adatok vizualizációja
  • Lásd: Speciális fenyegetések azonosítása az UEBA-val a Microsoft Sentinelben

Automatizálás és vezénylés

A Teljes felügyelet automatizálása segít elhárítani a fenyegetések vagy biztonsági változások miatti riasztásokat. A Microsoft Entra ID-ban az automatizálási integrációk segítenek tisztázni a biztonsági helyzet javítása érdekében végzett műveleteket. Az automatizálás a figyeléstől és az elemzéstől kapott információkon alapul.

A Microsoft Graph API REST-hívásokkal programozott módon érheti el a Microsoft Entra ID-t. Ehhez a hozzáféréshez engedélyekkel és hatókörrel rendelkező Microsoft Entra-identitás szükséges. A Graph API-val integrálhatók más eszközök.

Javasoljuk, hogy állítson be egy Azure-függvényt vagy egy Azure-logikai alkalmazást egy rendszer által hozzárendelt felügyelt identitás használatára. A logikai alkalmazás vagy függvény lépésekkel vagy kódokkal rendelkezik a műveletek automatizálásához. Rendeljen engedélyeket a felügyelt identitáshoz, hogy a szolgáltatásnév címtárengedélyeket adjon a műveletek végrehajtásához. A felügyelt identitások minimális jogosultságának biztosítása.

További információ: Mik az Azure-erőforrások felügyelt identitásai?

Egy másik automatizálási integrációs pont a Microsoft Graph PowerShell-modulok. A Microsoft Graph PowerShell használatával gyakori feladatokat vagy konfigurációkat hajthat végre a Microsoft Entra ID-ban, vagy beépítheti őket az Azure-függvényekbe vagy az Azure Automation-runbookokba.

Szabályozás

Dokumentálja a Microsoft Entra-környezet üzemeltetési folyamatait. A Microsoft Entra-funkciók használata a Microsoft Entra ID-hatókörökre alkalmazott szabályozási funkciókhoz.

További információ:

• Microsoft Entra ID-kezelés műveletek referencia-útmutatója
• A Microsoft Entra biztonsági üzemeltetési útmutatója
• Mi az a Microsoft Entra ID-kezelés?
• A 22-09-s számú memorandum engedélyezési követelményeinek való megfelelés.

Következő lépések

• A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval
• Nagyvállalati szintű identitáskezelő rendszer
• A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
• A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
• Identitás biztonságossá tétele Teljes felügyelet