使用 Microsoft Sentinel 监视零信任 (TIC 3.0) 安全体系结构
零信任是一种安全策略,用于设计和实现以下安全原则集:
显式验证 | 使用最低特权访问 | 假定数据泄露 |
---|---|---|
始终根据所有可用的数据点进行身份验证和授权。 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 |
本文介绍如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解决方案,该解决方案可帮助治理和合规性团队根据受信任的 INTERNET 连接 (TIC) 3.0 计划监视和响应零信任要求。
Microsoft Sentinel 解决方案是针对一组特定数据集预先配置的捆绑内容。 零信任 (TIC 3.0) 解决方案包括一个工作簿、分析规则和一个 playbook,它们提供零信任原则的自动可视化效果,可交叉访问信任 Internet 连接框架,帮助组织持续监视配置。
零信任解决方案和 TIC 3.0 框架
虽然零信任和 TIC 3.0 并不相同,但它们有许多共同的主题,并一起提供了一个共同的故事。 适用于 零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案使用 TIC 3.0 框架在 Microsoft Sentinel 和零信任模型之间提供详细的人行横道。 这些人行横道可帮助用户更好地了解两者之间的重叠。
虽然适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案提供了最佳做法指导,但 Microsoft 不保证也不暗示合规性。 所有受信任的 Internet 连接 (TIC) 要求、验证和控制均由网络安全和基础结构安全机构管理。
零信任 (TIC 3.0) 解决方案提供对 Microsoft 技术在主要基于云的环境中提供的控制要求的可见性和态势感知。 客户体验因用户而异,某些窗格可能需要额外的配置和查询修改才能进行操作。
“建议”并不意味着覆盖各自的控制,因为这些建议通常是处理需求的几个行动过程之一,对每个客户来说都是独一无二的。 应将建议视为规划相应控制要求的完全或部分覆盖的起点。
适用于零信任 (TIC 3.0) 的 Microsoft Sentinel 解决方案可用于以下任何用户和用例:
- 安全治理、风险和合规性专业人员,用于合规性状况评估和报告
- 工程师和架构师,他们需要设计零信任和 TIC 3.0 一致的工作负载
- 安全分析师,用于警报和自动化构建
- 托管安全服务提供商 (MSSP),负责提供咨询服务
- 安全经理,需要查看要求、分析报告、评估功能
先决条件
在安装零信任 (TIC 3.0) 解决方案之前,请确保你具备以下先决条件:
载入 Microsoft 服务:确保在 Azure 订阅中同时启用了 Microsoft Sentinel 和 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 要求:在 Microsoft Defender for Cloud 中:
将所需的法规标准添加到仪表板。 确保将 Microsoft Cloud 安全基准和 NIST SP 800-53 R5 评估添加到 Microsoft Defender for Cloud 仪表板。
将 Microsoft Defender for Cloud 数据持续导出到 Log Analytics 工作区。 有关详细信息,请参阅连续导出 Microsoft Defender for Cloud 数据。
所需的用户权限。 若要安装零信任 (TIC 3.0) 解决方案,必须能够以“安全读取者”权限访问你的 Microsoft Sentinel 工作区。
零信任 (TIC 3.0) 解决方案还通过与其他 Microsoft 服务的集成得到增强,例如:
安装零信任 (TIC 3.0) 解决方案
若要从 Azure 门户部署零信任 (TIC 3.0) 解决方案,请执行以下操作:
在 Microsoft Sentinel 中,选择“内容中心”并找到零信任 (TIC 3.0) 解决方案。
在右下方,选择“查看详细信息”,然后选择“创建”。 选择要安装解决方案的订阅、资源组和工作区,然后查看将要部署的相关安全内容。
完成后,选择“查看 + 创建”来安装解决方案。
有关更多信息,请参阅部署现成内容和解决方案。
使用方案示例
以下部分显示了安全运营分析师如何使用通过 Zero Trust (TIC 3.0) 解决方案部署的资源来审查需求、浏览查询、配置警报和实现自动化。
安装零信任 (TIC 3.0) 解决方案后,使用部署到 Microsoft Sentinel 工作区的工作簿、分析规则和 playbook 来管理网络中的零信任。
可视化零信任数据
导航到 Microsoft Sentinel 的“工作簿”>“零信任 (TIC 3.0)”工作簿,然后选择“查看保存的工作簿”。
在“零信任 (TIC 3.0) 工作簿”页中,选择要查看的 TIC 3.0 功能。 对于此过程,请选择“入侵检测”。
提示
使用页面顶部的“指南”开关可显示或隐藏建议和指南窗格。 确保在“订阅”、“工作区”和“时间范围”选项中选择了正确的详细信息,以便可以查看要查找的特定数据。
选择要显示的控件卡。 对于此过程,请选择自适应访问控制,然后继续滚动以查看显示的卡片。
提示
使用左上角的“指南”开关可查看或隐藏建议和指南窗格。 例如,首次访问工作簿时,这些可能很有帮助,但一旦你理解了相关概念,这些就没有必要了。
浏览查询. 例如,在“自适应访问控制”卡的右上角,选择三点“选项”菜单,然后选择“打开日志视图中的最后一个运行查询”。
查询在 Microsoft Sentinel 日志页中打开:
配置与零信任相关的警报
在 Microsoft Sentinel 中,导航到“分析”区域。 搜索 TIC3.0,以查看使用零信任 (TIC 3.0) 解决方案部署的开箱即用分析规则。
默认情况下,零信任 (TIC 3.0) 解决方案安装一组分析规则,这些规则配置为按控制系列监控零信任 (TIC3.0) 态势,并且你可以自定义阈值,以提醒合规团队注意态势的变化。
例如,如果你的工作负载的弹性状态在一周内低于指定的百分比,Microsoft Sentinel 将生成警报,以详细说明相应的策略状态(通过/失败)、已识别的资产、上次评估时间,并提供到 Microsoft Defender for Cloud 的深层链接,以便采取补救措施。
根据需要更新规则或配置新规则:
有关详细信息,请参阅创建自定义分析规则以检测威胁。
使用 SOAR 进行响应
在 Microsoft Sentinel 中,导航到“自动化”>“活动的 playbook”选项卡,然后找到 Notify-GovernanceComplianceTeam 行动手册。
使用此 playbook 自动监视 CMMC 警报,并通过电子邮件和 Microsoft Teams 消息向治理合规性团队通知相关详细信息。 根据需要修改 playbook:
有关详细信息,请参阅在 Microsoft Sentinel playbook 中使用触发器和操作。
常见问题
是否支持自定义视图和报表?
是的。 您可以自定义零信任 (TIC 3.0) 工作簿,以便按订阅、工作区、时间、控件系列或成熟度级别参数查看数据,并且可以导出和打印工作簿。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化并监视你的数据。
是否需要其他产品?
Microsoft Sentinel 和 Microsoft Defender for Cloud 都是必需的。
除了这些服务之外,每个控制卡都基于来自多个服务的数据,具体取决于卡片中显示的数据类型和可视化效果。 超过 25 个 Microsoft 服务为零信任 (TIC 3.0) 解决方案提供了丰富的内容。
对于没有数据的面板,我该怎么办?
没有数据的面板为解决零信任和 TIC 3.0 控制要求提供了一个起点,包括解决各自控制的建议。
是否支持多个订阅、云和租户?
是的。 你可以使用工作簿参数、Azure Lighthouse 和 Azure Arc 在所有订阅、云和租户中利用零信任 (TIC 3.0) 解决方案。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据以及作为 MSSP 在 Microsoft Sentinel 中管理多个租户。
是否支持合作伙伴集成?
是的。 工作簿和分析规则均可自定义,以便与合作伙伴服务集成。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据以及显示警报中的自定义事件详细信息。
使用此内容需要哪些权限?
Microsoft Sentinel 参与者用户可以创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
Microsoft Sentinel 读取者可查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
有关详细信息,请参阅 Microsoft Sentinel 中的权限。
后续步骤
有关详细信息,请参阅: