使用 Microsoft Sentinel 生成和监视零信任 (TIC 3.0) 安全体系结构
适用于零信任的 Microsoft Sentinel 解决方案 (TIC 3.0) 使治理和合规性团队能够设计、生成、监视和响应零信任 (TIC 3.0) 要求。 此解决方案包括工作簿、分析规则和 playbook,该手册提供零信任原则的自动化可视化,并交叉访问信任 Internet 连接框架,帮助组织随时间推移监视配置。
本文介绍如何在 Microsoft Sentinel 工作区中安装和使用 零信任 (TIC 3.0) Microsoft Sentinel 解决方案。
虽然只需要 Microsoft Sentinel 才能开始使用,但解决方案通过与其他 Microsoft 服务的集成来增强,例如:
- Microsoft 365 Defender
- Microsoft 信息保护
- Azure Active Directory
- Microsoft Defender for Cloud
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Office 365
有关详细信息,请参阅 零信任的指导原则。
注意
Microsoft Sentinel 解决方案是一组捆绑内容,针对特定数据集预先配置。 有关详细信息,请参阅 Microsoft Sentinel 解决方案文档。
零信任解决方案和 TIC 3.0 框架
零信任和 TIC 3.0 不同,但它们共享许多共同主题,共同提供一个共同的故事。 适用于零信任的 Microsoft Sentinel 解决方案 (TIC 3.0) 提供了 Microsoft Sentinel 与 TIC 3.0 框架的零信任模型之间的详细交叉。 这些人行道可帮助用户更好地了解两者之间的重叠。
虽然零信任的 Microsoft Sentinel 解决方案 (TIC 3.0) 提供了最佳做法指南,但 Microsoft 不保证也不暗示合规性。 所有受信任的 Internet 连接 (TIC) 要求、验证和控制都由 网络安全 & 基础结构安全机构管理。
零信任 (TIC 3.0) 解决方案提供可见性和情况感知,了解在基于云的环境中使用 Microsoft 技术提供的控制要求。 客户体验因用户而异,某些窗格可能需要其他配置和查询修改才能操作。
建议并不表示各自控制的范围,因为它们通常是处理要求的几个操作过程之一,这对每个客户来说都是独一无二的。 建议应被视为规划相应控制要求的完整或部分覆盖的起点。
适用于零信任的 Microsoft Sentinel 解决方案 (TIC 3.0) 适用于以下任何用户和用例:
- 安全治理、风险和合规性专业人员,用于合规性状况评估和报告
- 工程师和架构师,他们需要设计零信任和 TIC 3.0 对齐的工作负载
- 安全分析师,用于警报和自动化生成
- 托管服务的托管安全服务提供商 (MSSP)
- 需要查看要求、分析报告、评估功能的安全经理
先决条件
在安装 零信任 (TIC 3.0) 解决方案之前,请确保满足以下先决条件:
载入 Microsoft 服务:确保已在 Azure 订阅中同时启用 Microsoft Sentinel 和 Microsoft Defender for Cloud 。
Microsoft Defender for Cloud 要求:在 Microsoft Defender for Cloud 中:
将所需的法规标准添加到仪表板。 请务必将 Azure 安全基准 和 NIST SP 800-53 R5 评估 添加到 Microsoft Defender for Cloud 仪表板。 有关详细信息,请参阅 Microsoft Defender for Cloud 文档中将 法规标准添加到仪表板 。
持续将 Microsoft Defender for Cloud 数据导出到 Log Analytics 工作区。 有关详细信息,请参阅 持续导出 Microsoft Defender for Cloud 数据。
所需的用户权限。 若要安装 零信任 (TIC 3.0) 解决方案,必须有权访问具有 安全读取者 权限的 Microsoft Sentinel 工作区。
安装零信任 (TIC 3.0) 解决方案
若要从 Azure 门户部署 零信任 (TIC 3.0) 解决方案:
在 Microsoft Sentinel 中,选择 “内容中心 ”,找到 零信任 (TIC 3.0) 解决方案。
在右下角,选择“ 查看详细信息”,然后选择 “创建”。 选择要安装解决方案的订阅、资源组和工作区,然后查看将要部署的相关安全内容。
完成后,选择“查看 + 创建”来安装解决方案。
有关详细信息,请参阅 “部署现装内容和解决方案”。
示例使用方案
以下部分介绍了安全运营分析师如何使用使用 零信任 (TIC 3.0) 解决方案部署的资源来查看要求、浏览查询、配置警报和实现自动化。
安装零信任 (TIC 3.0) 解决方案后,请使用部署到 Microsoft Sentinel 工作区的工作簿、分析规则和 playbook 来管理网络中零信任。
可视化零信任数据
导航到 Microsoft Sentinel 工作簿>零信任 (TIC 3.0) 工作簿,然后选择“ 查看保存的工作簿”。
在 “零信任 (TIC 3.0) 工作簿页中,选择要查看的 TIC 3.0 功能。 对于此过程,请选择 “入侵检测”。
提示
使用页面顶部的 “指南 ”切换可显示或隐藏建议和指南窗格。 请确保在 “订阅”、“ 工作区”和 “TimeRange ”选项中选择了正确的详细信息,以便可以查看要查找的特定数据。
查看显示的控件卡片。 例如,向下滚动以查看 自适应访问控制 卡:
提示
使用左上角的 “参考线 ”切换来查看或隐藏建议和指南窗格。 例如,当你首次访问工作簿时,这些可能很有用,但一旦了解相关概念,就没有必要。
浏览查询。 例如,在自适应访问控制卡的右上角,选择“:更多”按钮,然后在“日志”视图中选择“
打开最后一个运行查询”。查询在 Microsoft Sentinel 日志 页中打开:
配置与零信任相关的警报
在 Microsoft Sentinel 中,导航到 Analytics 区域。 通过搜索 TIC3.0 查看使用零信任 (TIC 3.0) 解决方案部署的现用分析规则。
默认情况下, 零信任 (TIC 3.0) 解决方案会安装一组分析规则,这些规则配置为通过控制系列监视零信任 (TIC3.0) 状态,并且可以自定义阈值,以提醒合规性团队更改状况。
例如,如果工作负荷的复原状况在一周内低于指定百分比,Microsoft Sentinel 将生成警报,以详细说明相应的策略状态, (通过/失败) 、标识的资产、上次评估时间,并提供指向 Microsoft Defender for Cloud 的深层链接进行修正操作。
根据需要更新规则或配置新规则:
有关详细信息,请参阅创建自定义分析规则以检测威胁。
使用 SOAR 进行响应
在 Microsoft Sentinel 中,导航到 “自动化>Active playbook” 选项卡,找到 Notify-GovernanceComplianceTeam playbook。
使用此 playbook 自动监视 CMMC 警报,并通过电子邮件和 Microsoft Teams 消息通知治理合规性团队相关详细信息。 根据需要修改 playbook:
有关详细信息,请参阅 Microsoft Sentinel playbook 中的“使用触发器和操作”。
常见问题解答
是否支持自定义视图和报表?
是的。 可以自定义 零信任 (TIC 3.0) 工作簿,按订阅、工作区、时间、控制系列或成熟度级别参数查看数据,并且可以导出和打印工作簿。
有关详细信息,请参阅 使用 Azure Monitor 工作簿可视化和监视数据。
是否需要其他产品?
需要 Microsoft Sentinel 和 Microsoft Defender for Cloud。
除了这些服务之外,每个控制卡都基于来自多个服务的数据,具体取决于卡片中显示的数据和可视化效果的类型。 超过 25 个 Microsoft 服务为 零信任 (TIC 3.0) 解决方案提供扩充。
我应该对没有数据的面板执行哪些操作?
没有数据的面板提供了解决零信任和 TIC 3.0 控制要求的起点,包括解决相应控件的建议。
是否支持多个订阅、云和租户?
是的。 可以使用工作簿参数、Azure Lighthouse 和 Azure Arc 跨所有订阅、云和租户利用 零信任 (TIC 3.0) 解决方案。
有关详细信息,请参阅 使用 Azure Monitor 工作簿可视化和监视数据 ,并将 Microsoft Sentinel 中的多个租户作为 MSSP 进行管理。
合作伙伴集成是否受支持?
是的。 工作簿和分析规则均可自定义,以便与合作伙伴服务集成。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视警报中的数据和 Surface 自定义事件详细信息。
这是否可用于政府区域?
是的。 零信任 (TIC 3.0) 解决方案在公共预览版中,可部署到商业/政府区域。 有关详细信息,请参阅 商业版和美国政府客户的云功能可用性。
使用此内容需要哪些权限?
Microsoft Sentinel 参与者 用户可以创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
Microsoft Sentinel Reader 用户可以查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
有关详细信息,请参阅 Microsoft Sentinel 中的权限。
后续步骤
有关详细信息,请参阅:
观看我们的视频:
阅读我们的博客!