你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Microsoft Sentinel 监视零信任 (TIC 3.0) 安全体系结构

项目
03/18/2023

零信任是一种安全策略，用于设计和实现以下安全原则集：

显式验证	使用最低特权访问	假定数据泄露
始终根据所有可用的数据点进行身份验证和授权。	使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。	最大限度地减少影响范围，并对访问进行分段。验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

本文介绍如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解决方案，该解决方案可帮助治理和合规性团队根据受信任的 INTERNET 连接 (TIC) 3.0 计划监视和响应零信任要求。

Microsoft Sentinel 解决方案是针对一组特定数据集预先配置的捆绑内容。零信任 (TIC 3.0) 解决方案包括一个工作簿、分析规则和一个 playbook，它们提供零信任原则的自动可视化效果，可交叉访问信任 Internet 连接框架，帮助组织持续监视配置。

零信任解决方案和 TIC 3.0 框架

虽然零信任和 TIC 3.0 并不相同，但它们有许多共同的主题，并一起提供了一个共同的故事。适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案使用 TIC 3.0 框架在 Microsoft Sentinel 和零信任模型之间提供详细的人行横道。这些人行横道可帮助用户更好地了解两者之间的重叠。

虽然适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案提供了最佳做法指导，但 Microsoft 不保证也不暗示合规性。所有受信任的 Internet 连接 (TIC) 要求、验证和控制均由网络安全和基础结构安全机构管理。

零信任 (TIC 3.0) 解决方案提供对 Microsoft 技术在主要基于云的环境中提供的控制要求的可见性和态势感知。客户体验因用户而异，某些窗格可能需要额外的配置和查询修改才能进行操作。

“建议”并不意味着覆盖各自的控制，因为这些建议通常是处理需求的几个行动过程之一，对每个客户来说都是独一无二的。应将建议视为规划相应控制要求的完全或部分覆盖的起点。

适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案可用于以下任何用户和用例：

安全治理、风险和合规性专业人员，用于合规性状况评估和报告
工程师和架构师，他们需要设计零信任和 TIC 3.0 一致的工作负载
安全分析师，用于警报和自动化构建
托管安全服务提供商 (MSSP)，负责提供咨询服务
安全经理，需要查看要求、分析报告、评估功能

先决条件

在安装零信任 (TIC 3.0) 解决方案之前，请确保你具备以下先决条件：

载入 Microsoft 服务：确保在 Azure 订阅中同时启用了 Microsoft Sentinel 和 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 要求：在 Microsoft Defender for Cloud 中：
- 将所需的法规标准添加到仪表板。确保将 Azure 安全基准和 NIST SP 800-53 R5 评估添加到 Microsoft Defender for Cloud 仪表板。有关详细信息，请参阅 Microsoft Defender for Cloud 文档中的向仪表板添加法规标准。
- 将 Microsoft Defender for Cloud 数据持续导出到 Log Analytics 工作区。有关详细信息，请参阅连续导出 Microsoft Defender for Cloud 数据。
所需的用户权限。若要安装零信任 (TIC 3.0) 解决方案，必须能够以“安全读取者”权限访问你的 Microsoft Sentinel 工作区。

零信任 (TIC 3.0) 解决方案还通过与其他 Microsoft 服务的集成得到增强，例如：

安装零信任 (TIC 3.0) 解决方案

若要从 Azure 门户部署零信任 (TIC 3.0) 解决方案，请执行以下操作：

在 Microsoft Sentinel 中，选择“内容中心”并找到零信任 (TIC 3.0) 解决方案。
在右下方，选择“查看详细信息”，然后选择“创建”。选择要安装解决方案的订阅、资源组和工作区，然后查看将要部署的相关安全内容。

完成后，选择“查看 + 创建”来安装解决方案。

有关更多信息，请参阅部署现成内容和解决方案。

使用方案示例

以下部分显示了安全运营分析师如何使用通过 Zero Trust (TIC 3.0) 解决方案部署的资源来审查需求、浏览查询、配置警报和实现自动化。

安装零信任 (TIC 3.0) 解决方案后，使用部署到 Microsoft Sentinel 工作区的工作簿、分析规则和 playbook 来管理网络中的零信任。

可视化零信任数据

导航到 Microsoft Sentinel 的“工作簿”>“零信任 (TIC 3.0)”工作簿，然后选择“查看保存的工作簿”。

在“零信任 (TIC 3.0) 工作簿”页中，选择要查看的 TIC 3.0 功能。对于此过程，请选择“入侵检测”。

提示

使用页面顶部的“指南”开关可显示或隐藏建议和指南窗格。确保在“订阅”、“工作区”和“时间范围”选项中选择了正确的详细信息，以便可以查看要查找的特定数据。
查看显示的控制卡片。例如，向下滚动以查看“自适应访问控制”卡片：

提示

使用左上角的“指南”开关可查看或隐藏建议和指南窗格。例如，首次访问工作簿时，这些可能很有帮助，但一旦你理解了相关概念，这些就没有必要了。
浏览查询. 例如，在“自适应访问控制”卡片的右上角，选择“更多”按钮，然后选择“在‘日志’视图中打开上次运行的查询”选项。

查询在 Microsoft Sentinel 日志页中打开：