Nulla megbízhatóságú (TIC 3.0) biztonsági architektúrák létrehozása és monitorozása a Microsoft Sentinel használatával

A Microsoft Sentinel zero trust (TIC 3.0) megoldása lehetővé teszi a szabályozási és megfelelőségi csapatok számára a zéró megbízhatósági (TIC 3.0) követelmények tervezését, összeállítását, monitorozását és válaszadását. Ez a megoldás tartalmaz egy munkafüzetet, elemzési szabályokat és egy forgatókönyvet, amely automatikus vizualizációt biztosít a zéró megbízhatósági elvekről, átjárva az Internet-kapcsolatok megbízhatósági keretrendszerét, segítve a szervezeteket a konfigurációk időbeli monitorozásában.

Ez a cikk bemutatja, hogyan telepítheti és használhatja a Microsoft Sentinel zero trust (TIC 3.0) megoldását a Microsoft Sentinel-munkaterületen.

Bár az első lépésekhez csak a Microsoft Sentinelre van szükség, a megoldást más Microsoft-szolgáltatásokkal való integrációk is növelik, például:

• Microsoft 365 Defender
• Microsoft Information Protection
• Azure Active Directory
• Microsoft Defender for Cloud
• Microsoft Defender végponthoz
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Office 365

További információ: A bizalommentesség irányelvei.

Megjegyzés

A Microsoft Sentinel-megoldások egy adott adatkészlethez előre konfigurált, csomagolt tartalomkészletek. További információ: Microsoft Sentinel-megoldások dokumentációja.

A zéró megbízhatósági megoldás és a TIC 3.0 keretrendszer

A Nulla megbízhatóság és a TIC 3.0 nem egyezik meg, de sok közös témát osztanak meg, és közös történeteket nyújtanak. A Microsoft Sentinel zero trust (TIC 3.0) megoldás részletes kereszteződéseket kínál a Microsoft Sentinel és a TIC 3.0 keretrendszerrel rendelkező Zero Trust modell között. Ezek a kereszteződések segítenek a felhasználóknak jobban megérteni a kettő közötti átfedéseket.

Bár a Microsoft Sentinel zero trust (TIC 3.0) megoldás ajánlott eljárásokkal kapcsolatos útmutatást nyújt, a Microsoft nem garantálja és nem is feltételezi a megfelelőséget. A megbízható internetkapcsolatra (TIC) vonatkozó követelményekre, ellenőrzésekre és ellenőrzésekre a Kiberbiztonsági & Infrastruktúra Biztonsági Ügynökség az irányadó.

A Zero Trust (TIC 3.0) megoldás láthatóságot és helyzettudatosságot biztosít a Microsoft technológiáival kapcsolatos szabályozási követelményekhez, túlnyomórészt felhőalapú környezetekben. Az ügyfélélmény felhasználónként eltérő lehet, és egyes panelek további konfigurációkat és lekérdezésmódosítást igényelhetnek a működéshez.

A javaslatok nem jelentik a megfelelő vezérlők lefedettségét, mivel gyakran egyike az egyes ügyfelek számára egyedi követelményekkel kapcsolatos számos intézkedési eljárásnak. A javaslatokat kiindulási pontnak kell tekinteni a megfelelő ellenőrzési követelmények teljes vagy részleges lefedettségének megtervezéséhez.

A Microsoft Sentinel zero trust (TIC 3.0) megoldás a következő felhasználók és használati esetek bármelyike esetén hasznos:

• Biztonsági irányítási, kockázat- és megfelelőségi szakemberek a megfelelőségi állapot felméréséhez és jelentéskészítéséhez
• Mérnökök és építészek, akiknek nulla megbízhatósági és TIC 3.0-s igazítású számítási feladatokat kell megtervezni
• Biztonsági elemzők riasztási és automatizálási építéshez
• Felügyelt biztonsági szolgáltatók (MSSP-k) tanácsadási szolgáltatásokhoz
• Biztonsági vezetők, akiknek felül kell vizsgálniuk a követelményeket, elemezniük kell a jelentéskészítést, kiértékelniük a képességeket

Előfeltételek

A TIC 3.0-s megoldás telepítése előtt győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

• Microsoft-szolgáltatások előkészítése: Győződjön meg arról, hogy az Azure-előfizetésében a Microsoft Sentinel és a Microsoft Defender for Cloud is engedélyezve van.

• A Felhőhöz készült Microsoft Defender követelményei: A Microsoft Defender for Cloudban:

  • Adja hozzá a szükséges szabályozási szabványokat az irányítópulthoz. Vegye fel az Azure Security Benchmarkot és az NIST SP 800-53 R5 Assessmentst is a Microsoft Defender for Cloud irányítópultjához. További információ: Szabályozási szabvány hozzáadása az irányítópulthoz a Microsoft Defender for Cloud dokumentációjában.

  • A Microsoft Defender for Cloud adatainak folyamatos exportálása a Log Analytics-munkaterületre. További információ: Microsoft Defender for Cloud-adatok folyamatos exportálása.

• Szükséges felhasználói engedélyek. A TIC 3.0-s megoldás telepítéséhez hozzáféréssel kell rendelkeznie a Microsoft Sentinel-munkaterülethez biztonsági olvasói engedélyekkel.

Telepítse a ZÉró megbízhatósági (TIC 3.0) megoldást

A TIC 3.0-s megoldás üzembe helyezése az Azure Portalon:

1. A Microsoft Sentinelben válassza a Tartalomközpontot , és keresse meg a TIC 3.0-s megoldását.

2. A jobb alsó sarokban válassza a Részletek megtekintése, majd a Létrehozás lehetőséget. Válassza ki azt az előfizetést, erőforráscsoportot és munkaterületet, ahová telepíteni szeretné a megoldást, majd tekintse át az üzembe helyezendő kapcsolódó biztonsági tartalmat.

   Ha elkészült, válassza az Áttekintés + Létrehozás lehetőséget a megoldás telepítéséhez.

További információkért lásd a beépített tartalmak és megoldások üzembe helyezését ismertető cikket.

Használati példaforgatókönyv

A következő szakaszok bemutatják, hogyan használhatja egy biztonsági műveleti elemző a ZÉRÓ MEGBÍZHATÓSÁG (TIC 3.0) megoldással üzembe helyezett erőforrásokat a követelmények áttekintéséhez, a lekérdezések vizsgálatához, a riasztások konfigurálásához és az automatizálás implementálásához.

A TIC 3.0-s megoldás telepítése után használja a Microsoft Sentinel-munkaterületen üzembe helyezett munkafüzetet, elemzési szabályokat és forgatókönyvet a nulla megbízhatósági kapcsolat kezeléséhez a hálózatban.

Nulla megbízhatósági adatok megjelenítése

1. Lépjen a Microsoft Sentinel-munkafüzetek>zéró megbízhatósági (TIC 3.0) munkafüzetére, és válassza a Mentett munkafüzet megtekintése lehetőséget.

   A TIC 3.0 munkafüzetlapon válassza ki a megtekinteni kívánt TIC 3.0-s képességeket. Ehhez az eljáráshoz válassza a Behatolásészlelés lehetőséget.

   Tipp

   A lap tetején található Útmutató váltógombbal megjelenítheti vagy elrejtheti a javaslatokat és az útmutatópaneleket. Győződjön meg arról, hogy a megfelelő részletek vannak kiválasztva az Előfizetés, a Munkaterület és a TimeRange beállításban, hogy megtekinthesse a keresett adatokat.

2. Tekintse át a megjelenő vezérlőkártyákat. Görgessen le például az Adaptív hozzáférés-vezérlés kártya megtekintéséhez:

   

   Tipp

   A bal felső sarokban található Segédvonalak váltógombbal megtekintheti vagy elrejtheti a javaslatokat és az útmutatópaneleket. Ezek például hasznosak lehetnek a munkafüzet első megnyitásakor, de szükségtelen, ha már megismerte a vonatkozó fogalmakat.

3. Ismerkedjen meg a lekérdezésekkel. Az Adaptív hozzáférés-vezérlés kártya jobb felső sarkában például válassza a :More gombot, majd a Legutóbbi futtatás lekérdezés megnyitása a Naplók nézetben lehetőséget.

   A lekérdezés a Microsoft Sentinel Naplók lapján nyílik meg:

   

A megbízhatósági kapcsolat nélküli riasztások konfigurálása

A Microsoft Sentinelben lépjen az Elemzés területre. A TIC3.0-s megoldással üzembe helyezett beépített elemzési szabályok megtekintéséhez keressen rá a TIC3.0-ra.

A TIC 3.0-s megoldás alapértelmezés szerint olyan elemzési szabályokat telepít, amelyek úgy vannak konfigurálva, hogy monitorozzák a TIC3.0-s állapotot a vezérlőcsalád által, és testre szabhatja a megfelelőségi csapatoknak a testtartás változásaira való riasztására vonatkozó küszöbértékeket.

Ha például a számítási feladat rugalmassági állapota egy hét alatt a megadott százalék alá csökken, a Microsoft Sentinel riasztást hoz létre a megfelelő szabályzatállapot (sikeres/sikertelen) részleteiről, az azonosított objektumokról, az utolsó értékelés időpontjáról, és részletes hivatkozásokat ad a Microsoft Defender for Cloudhoz a szervizelési műveletekhez.

Szükség szerint frissítse a szabályokat, vagy konfiguráljon egy újat:

További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

Válasz SOAR használatával

A Microsoft Sentinelben lépjen az Automation>Active forgatókönyvek lapjára, és keresse meg a Notify-GovernanceComplianceTeam forgatókönyvet.

Ezzel a forgatókönyvvel automatikusan monitorozhatja a CMMC-riasztásokat, és e-mailben és Microsoft Teams-üzenetekben is értesítheti a cégirányítási megfelelőségi csapatot a vonatkozó részletekről. Szükség szerint módosítsa a forgatókönyvet:

További információ: Eseményindítók és műveletek használata a Microsoft Sentinel-forgatókönyvekben.

Gyakori kérdések

Támogatottak az egyéni nézetek és jelentések?

Igen. A TIC 3.0-s munkafüzetet testre szabhatja az adatok előfizetés, munkaterület, idő, vezérlőcsalád vagy érettségi szintű paraméterek szerinti megtekintéséhez, valamint exportálhatja és kinyomtathatja a munkafüzetet.

További információ: Adatok vizualizációja és monitorozása Az Azure Monitor-munkafüzetek használata.

További termékekre van szükség?

A Microsoft Sentinel és a Microsoft Defender for Cloud is szükséges.

Ezen szolgáltatásokon kívül minden vezérlőkártya több szolgáltatás adatain alapul a kártyán megjelenített adattípusoktól és vizualizációktól függően. Több mint 25 Microsoft-szolgáltatás nyújt bővítést a ZÉRÓ MEGBÍZHATÓSÁG (TIC 3.0) megoldáshoz.

Mit tegyek az adatok nélküli panelekkel?

Az adatok nélküli panelek kiindulópontként szolgálnak a zéró megbízhatósági és TIC 3.0-vezérlési követelmények kezeléséhez, beleértve a megfelelő vezérlők kezelésére vonatkozó javaslatokat is.

Több előfizetés, felhő és bérlő is támogatott?

Igen. A munkafüzetparaméterek, az Azure Lighthouse és az Azure Arc használatával kihasználhatja a TIC 3.0-s megoldást az összes előfizetésében, felhőjében és bérlőjében.

További információ: Az Azure Monitor-munkafüzetek használata az adatok vizualizációjához és monitorozásához , valamint több bérlő kezelése a Microsoft Sentinelben MSSP-ként.

Támogatott a partnerintegráció?

Igen. A munkafüzetek és az elemzési szabályok is testre szabhatók a partnerszolgáltatásokkal való integrációhoz.

További információt az Adatok és a Surface egyéni eseményadatainakmegjelenítése és monitorozása az Azure Monitor-munkafüzetek használatával a riasztásokban című témakörben talál.

Kormányzati régiókban érhető el?

Igen. A TIC 3.0(TIC 3.0) megoldás nyilvános előzetes verzióban érhető el, és kereskedelmi/kormányzati régiókban is üzembe helyezhető. További információ: Felhőfunkciók rendelkezésre állása kereskedelmi és USA-beli kormányzati ügyfelek számára.

Milyen engedélyek szükségesek a tartalom használatához?

• A Microsoft Sentinel Közreműködő felhasználói munkafüzeteket, elemzési szabályokat és más Microsoft Sentinel-erőforrásokat hozhatnak létre és szerkeszthetnek.

• A Microsoft Sentinel-olvasó felhasználói megtekinthetik az adatokat, incidenseket, munkafüzeteket és más Microsoft Sentinel-erőforrásokat.

További információ: Engedélyek a Microsoft Sentinelben.

Következő lépések

További információkért lásd:

• A Microsoft Sentinel használatának első lépései
• Adatok vizualizációja és monitorozása munkafüzetekkel
• Microsoft Nulla megbízhatósági modell
• Zero Trust üzembehelyezési központ

Tekintse meg videóinkat:

• Bemutató: Microsoft Sentinel Zero Trust (TIC 3.0) megoldás
• Microsoft Sentinel: Zero Trust (TIC 3.0) Workbook Demo

Olvassa el blogjainkat!

• A Microsoft Sentinel: Zero Trust (TIC3.0) megoldás bejelentése
• TIC 3.0-s számítási feladatok létrehozása és monitorozása szövetségi információs rendszerekhez a Microsoft Sentinel használatával
• Zéró bizalom: 7 bevezetési stratégia a biztonsági vezetőktől
• A teljes felügyelet megvalósítása a Microsoft Azure-ral: Identitás- és hozzáférés-kezelés (6. részsorozat)