你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
零信任是用于设计和实现以下安全原则集的安全策略:
| 显式验证 | 使用最小特权 | 假定漏洞 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最大限度地减少影响范围,并对访问进行分段。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
本文介绍如何使用 Microsoft Sentinel 零信任 (TIC 3.0) 解决方案,该解决方案可帮助治理和合规性团队根据受信任的 INTERNET 连接 (TIC) 3.0 计划监视和响应零信任要求。
Microsoft Sentinel解决方案是针对一组特定数据集预先配置的捆绑内容。 零信任 (TIC 3.0) 解决方案包括工作簿、分析规则和 playbook,这些工作簿、分析规则和 playbook 提供零信任原则的自动可视化效果,并交叉访问信任 Internet 连接框架,帮助组织监视随时间推移的配置。
注意
使用 Microsoft 曝光管理中的零信任计划全面了解组织的零信任状态。 有关详细信息,请参阅快速实现零信任的安全态势现代化 |Microsoft Learn。
零信任解决方案和 TIC 3.0 框架
零信任和 TIC 3.0 并不相同,但它们共享许多共同的主题,并共同提供了一个共同的故事。 零信任 (TIC 3.0) 的Microsoft Sentinel解决方案使用 TIC 3.0 框架在Microsoft Sentinel和零信任模型之间提供详细的人行横道。 这些人行横道可帮助用户更好地了解两者之间的重叠。
虽然 零信任 (TIC 3.0) 的Microsoft Sentinel解决方案提供了最佳做法指导,但Microsoft不能保证也不意味着符合性。 所有受信任的 Internet 连接 (TIC) 要求、验证和控制均由 网络安全 & 基础结构安全机构管理。
零信任 (TIC 3.0) 解决方案为主要基于云的环境中Microsoft技术提供的控制要求提供可见性和态势感知。 客户体验因用户而异,某些窗格可能需要额外的配置和操作查询修改。
建议并不意味着涵盖各自的控制措施,因为它们通常是满足每个客户唯一的几个操作过程之一。 建议应被视为规划相应控制要求的完全或部分覆盖的起点。
零信任 (TIC 3.0) 的Microsoft Sentinel解决方案对于以下任何用户和用例都很有用:
- 安全治理、风险和合规性专业人员,用于合规性状况评估和报告
- 工程师和架构师,需要设计零信任和 TIC 3.0 一致的工作负载
- 安全分析师,用于警报和自动化构建
- 用于咨询服务的托管安全服务提供商 (MSSP)
- 需要审查要求、分析报告、评估功能的安全经理
先决条件
在安装 零信任 (TIC 3.0) 解决方案之前,请确保满足以下先决条件:
载入Microsoft服务:确保在Azure订阅中同时启用了 Microsoft Sentinel 和 Microsoft Defender for Cloud。
云要求Microsoft Defender:在 Microsoft Defender for Cloud 中:
向仪表板添加所需的法规标准。 请确保将 Microsoft 云安全基准和 NIST SP 800-53 R5 评估添加到 Microsoft Defender for Cloud 仪表板。 有关详细信息,请参阅 Microsoft Defender for Cloud 文档中的向仪表板添加法规标准。
持续将云Microsoft Defender数据导出到 Log Analytics 工作区。 有关详细信息,请参阅持续导出云数据的Microsoft Defender。
所需的用户权限。 若要安装 零信任 (TIC 3.0) 解决方案,必须有权访问具有安全读取者权限的 Microsoft Sentinel 工作区。
零信任 (TIC 3.0) 解决方案还通过与其他Microsoft服务的集成得到增强,例如:
- Microsoft Defender XDR
- Microsoft 信息保护
- Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Office 365
安装 零信任 (TIC 3.0) 解决方案
若要从 Azure 门户部署 零信任 (TIC 3.0) 解决方案,请执行以下操作:
在“Microsoft Sentinel”中,选择“内容中心”,并找到零信任 (TIC 3.0) 解决方案。
在右下角,选择“ 查看详细信息”,然后选择“ 创建”。 选择要在其中安装解决方案的订阅、资源组和工作区,然后查看将部署的相关安全内容。
完成后,选择“ 查看 + 创建 ”以安装解决方案。
有关详细信息,请参阅 部署现装内容和解决方案。
示例使用方案
以下部分介绍了安全运营分析师如何使用与 零信任 (TIC 3.0) 解决方案一起部署的资源来查看要求、浏览查询、配置警报和实现自动化。
安装零信任 (TIC 3.0) 解决方案后,使用部署到Microsoft Sentinel工作区的工作簿、分析规则和 playbook 来管理网络中零信任。
可视化零信任数据
导航到Microsoft Sentinel工作簿>零信任 (TIC 3.0) 工作簿,然后选择“查看保存的工作簿”。
在“零信任 (TIC 3.0) 工作簿”页中,选择要查看的 TIC 3.0 功能。 对于此过程,请选择“ 入侵检测”。
提示
使用页面顶部的 “指南 ”切换可显示或隐藏建议和指南窗格。 请确保在 “订阅”、“ 工作区”和“ TimeRange ”选项中选择了正确的详细信息,以便可以查看要查找的特定数据。
选择要显示的控件卡。 对于此过程,请选择“自适应访问控制”,然后继续滚动以查看显示卡。
提示
使用左上角的 参考线 切换可查看或隐藏建议和指南窗格。 例如,当你首次访问工作簿时,这些可能很有用,但在了解相关概念后就没有必要。
浏览查询。 例如,在自适应访问控制卡的右上角,选择三点选项菜单,然后在“日志”视图中选择“打开最后一个运行查询”。
查询在“Microsoft Sentinel日志”页中打开:
配置与零信任相关的警报
在 Microsoft Sentinel 中,导航到“分析”区域。 通过搜索 TIC3.0,查看随 零信任 (TIC 3.0) 解决方案一起部署的现用分析规则。
默认情况下,零信任 (TIC 3.0) 解决方案会安装一组分析规则,这些规则配置为按控制系列监视零信任 (TIC3.0) 态势,并且可以自定义阈值,以提醒合规性团队出现态势变化。
例如,如果工作负荷的复原状况在一周内低于指定百分比,Microsoft Sentinel将生成警报,详细说明相应的策略状态 (通过/失败) 、确定的资产、上次评估时间,并提供指向云Microsoft Defender的深层链接以进行修正操作。
根据需要更新规则或配置新规则:
有关详细信息,请参阅 创建自定义分析规则以检测威胁。
使用 SOAR 进行响应
在 Microsoft Sentinel中,导航到“自动化>活动 playbook”选项卡,并找到 Notify-GovernanceComplianceTeam playbook。
使用此 playbook 可自动监视 CMMC 警报,并通过电子邮件和Microsoft Teams 消息通知治理合规性团队相关详细信息。 根据需要修改 playbook:
有关详细信息,请参阅在Microsoft Sentinel playbook 中使用触发器和操作。
常见问题解答
是否支持自定义视图和报表?
是。 您可以自定义零信任 (TIC 3.0) 工作簿,以便按订阅、工作区、时间、控件系列或成熟度级别参数查看数据,并且可以导出和打印工作簿。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据。
是否需要其他产品?
需要 Microsoft Sentinel 和 Microsoft Defender for Cloud。
除了这些服务,每个控件卡都基于多个服务中的数据,具体取决于卡中显示的数据类型和可视化效果。 超过 25 个Microsoft服务为 零信任 (TIC 3.0) 解决方案提供扩充。
对于没有数据的面板,我该怎么做?
没有数据的面板提供了解决零信任和 TIC 3.0 控制要求的起点,包括解决相应控制的建议。
是否支持多个订阅、云和租户?
是。 可以使用工作簿参数、Azure Lighthouse 和 Azure Arc 跨所有订阅、云和租户利用 零信任 (TIC 3.0) 解决方案。
有关详细信息,请参阅使用 Azure Monitor 工作簿来可视化和监视数据,以及将 Microsoft Sentinel 中的多个租户作为 MSSP 进行管理。
是否支持合作伙伴集成?
是。 工作簿和分析规则都可自定义,以便与合作伙伴服务集成。
有关详细信息,请参阅使用 Azure Monitor 工作簿可视化和监视数据,以及警报中的 Surface 自定义事件详细信息。
这是否在政府区域中可用?
是。 零信任 (TIC 3.0) 解决方案以公共预览版提供,可部署到商业/政府区域。 有关详细信息,请参阅 适用于商业和美国政府客户的云功能可用性。
使用此内容需要哪些权限?
Microsoft Sentinel参与者用户可以创建和编辑工作簿、分析规则和其他Microsoft Sentinel资源。
Microsoft Sentinel Reader 用户可以查看数据、事件、工作簿和其他Microsoft Sentinel资源。
有关详细信息,请参阅 Microsoft Sentinel 中的权限。
后续步骤
有关更多信息,请参阅:
观看我们的视频:
阅读我们的博客!