Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Zero Trust is een beveiligingsstrategie voor het ontwerpen en implementeren van de volgende beveiligingsprincipes:
| Expliciet controleren | Minimale toegangsrechten gebruiken | Ga ervan uit dat er sprake is van |
|---|---|---|
| Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten. | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbescherming. | Straal van ontploffing en segmenttoegang minimaliseren. Controleer end-to-endversleuteling en gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren. |
In dit artikel wordt beschreven hoe u de oplossing Microsoft Sentinel Zero Trust (TIC 3.0) kunt gebruiken, waarmee governance- en nalevingsteams Zero Trust vereisten kunnen bewaken en erop kunnen reageren volgens het initiatief TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Microsoft Sentinel oplossingen zijn sets gebundelde inhoud, vooraf geconfigureerd voor een specifieke set gegevens. De Zero Trust -oplossing (TIC 3.0) bevat een werkmap, analyseregels en een playbook, die een geautomatiseerde visualisatie van Zero Trust principes bieden, kruislings verbonden met het framework Voor internetverbinding vertrouwen, waarmee organisaties configuraties in de loop van de tijd kunnen bewaken.
Opmerking
Krijg een uitgebreid overzicht van de Zero Trust status van uw organisatie met het Zero Trust-initiatief in Microsoft Exposure Management. Zie Uw beveiligingspostuur snel moderniseren voor Zero Trust | Microsoft Learn.
De Zero Trust-oplossing en het TIC 3.0-framework
Zero Trust en TIC 3.0 zijn niet hetzelfde, maar ze delen veel gemeenschappelijke thema's en bieden samen een gemeenschappelijk verhaal. De Microsoft Sentinel-oplossing voor Zero Trust (TIC 3.0) biedt gedetailleerde kruisingen tussen Microsoft Sentinel en het Zero Trust-model met het TIC 3.0-framework. Deze crosswalks helpen gebruikers om de overlappingen tussen de twee beter te begrijpen.
Hoewel de Microsoft Sentinel-oplossing voor Zero Trust (TIC 3.0) richtlijnen voor best practices biedt, garandeert Microsoft naleving niet en impliceert dit niet. Alle vereisten, validaties en besturingselementen voor vertrouwde internetverbinding (TIC) worden beheerd door de Cybersecurity & Infrastructure Security Agency.
De Zero Trust -oplossing (TIC 3.0) biedt zichtbaarheid en situationeel bewustzijn voor controlevereisten die worden geleverd met Microsoft-technologieën in omgevingen die voornamelijk op de cloud zijn gebaseerd. De klantervaring verschilt per gebruiker en voor sommige deelvensters zijn mogelijk aanvullende configuraties en querywijziging vereist voor de bewerking.
Aanbevelingen impliceren geen dekking van de respectieve besturingselementen, omdat ze vaak een van de verschillende acties zijn voor het benaderen van vereisten, wat uniek is voor elke klant. Aanbevelingen moeten worden beschouwd als uitgangspunt voor het plannen van volledige of gedeeltelijke dekking van de respectieve controlevereisten.
De Microsoft Sentinel-oplossing voor Zero Trust (TIC 3.0) is handig voor een van de volgende gebruikers en use cases:
- Beveiligingsbeheer-, risico- en nalevingsprofessionals voor evaluatie en rapportage van nalevingspostuur
- Technici en architecten, die Zero Trust en op TIC 3.0 afgestemde workloads moeten ontwerpen
- Beveiligingsanalisten, voor het bouwen van waarschuwingen en automatisering
- Managed Security Service Providers (MSSP's) voor adviesservices
- Beveiligingsmanagers, die vereisten moeten beoordelen, rapportage moeten analyseren, mogelijkheden moeten evalueren
Vereisten
Voordat u de oplossing Zero Trust (TIC 3.0) installeert, moet u aan de volgende vereisten zijn voldaan:
Microsoft-services onboarden: zorg ervoor dat u zowel Microsoft Sentinel als Microsoft Defender voor Cloud hebt ingeschakeld in uw Azure-abonnement.
Microsoft Defender voor cloudvereisten: in Microsoft Defender voor cloud:
Voeg de vereiste regelgevingsstandaarden toe aan uw dashboard. Zorg ervoor dat u zowel de Microsoft Cloud-beveiligingsbenchmark als NIST SP 800-53 R5-evaluaties toevoegt aan uw Microsoft Defender voor Cloud-dashboard. Zie Een regelgevingsstandaard toevoegen aan uw dashboard in de documentatie Microsoft Defender voor cloud voor meer informatie.
Exporteer continu Microsoft Defender voor cloudgegevens naar uw Log Analytics-werkruimte. Zie Continu Microsoft Defender exporteren voor cloudgegevens voor meer informatie.
Vereiste gebruikersmachtigingen. Als u de oplossing Zero Trust (TIC 3.0) wilt installeren, moet u toegang hebben tot uw Microsoft Sentinel werkruimte met machtigingen voor beveiligingslezer.
De oplossing Zero Trust (TIC 3.0) wordt ook verbeterd door integraties met andere Microsoft-services, zoals:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Microsoft Defender voor Cloud
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender voor Office 365
De oplossing Zero Trust (TIC 3.0) installeren
De oplossing Zero Trust (TIC 3.0) implementeren vanuit de Azure Portal:
Selecteer in Microsoft Sentinel De hub Inhoud en zoek de oplossing Zero Trust (TIC 3.0).
Selecteer rechtsonder details weergeven en vervolgens Maken. Selecteer het abonnement, de resourcegroep en de werkruimte waarin u de oplossing wilt installeren en controleer vervolgens de bijbehorende beveiligingsinhoud die wordt geïmplementeerd.
Wanneer u klaar bent, selecteert u Beoordelen en maken om de oplossing te installeren.
Zie Out-of-the-box inhoud en oplossingen implementeren voor meer informatie.
Voorbeeld van gebruiksscenario
In de volgende secties ziet u hoe een beveiligingsanalist de resources kan gebruiken die zijn geïmplementeerd met de TIC 3.0-oplossing (Zero Trust) om vereisten te controleren, query's te verkennen, waarschuwingen te configureren en automatisering te implementeren.
Nadat u de oplossing Zero Trust (TIC 3.0) hebt geïnstalleerd, gebruikt u de werkmap, analyseregels en playbook die zijn geïmplementeerd in uw Microsoft Sentinel werkruimte om Zero Trust in uw netwerk te beheren.
Zero Trust gegevens visualiseren
Navigeer naar de werkmap Microsoft Sentinel Workbooks>Zero Trust (TIC 3.0) en selecteer Opgeslagen werkmap weergeven.
Selecteer op de werkmappagina Zero Trust (TIC 3.0) de TIC 3.0-mogelijkheden die u wilt weergeven. Selecteer voor deze procedure Inbraakdetectie.
Tip
Gebruik de wisselknop Gids boven aan de pagina om aanbevelingen en hulpvensters weer te geven of te verbergen. Zorg ervoor dat de juiste details zijn geselecteerd in de opties Abonnement, Werkruimte en TimeRange , zodat u de specifieke gegevens kunt bekijken die u wilt zoeken.
Selecteer de besturingskaarten die u wilt weergeven. Voor deze procedure selecteert u Adaptieve Access Control en schuift u verder om de weergegeven kaart weer te geven.
Tip
Gebruik de wisselknop Hulplijnen linksboven om aanbevelingen en hulplijnen weer te geven of te verbergen. Deze kunnen bijvoorbeeld handig zijn wanneer u de werkmap voor het eerst opent, maar niet wanneer u de relevante concepten begrijpt.
Query's verkennen. Selecteer bijvoorbeeld rechtsboven op de kaart Adaptieve Access Control het menu Opties met drie puntjes en selecteer vervolgens De laatste uitvoeringsquery openen in de weergave Logboeken.
De query wordt geopend op de pagina Microsoft Sentinel logboeken:
Waarschuwingen voor Zero Trust configureren
Navigeer in Microsoft Sentinel naar het gebied Analyse. Bekijk out-of-the-box analyseregels die zijn geïmplementeerd met de oplossing Zero Trust (TIC 3.0) door te zoeken naar TIC3.0.
De oplossing Zero Trust (TIC 3.0) installeert standaard een set analyseregels die zijn geconfigureerd om Zero Trust (TIC3.0)-houding te bewaken per controlegroep en u kunt drempelwaarden aanpassen om nalevingsteams te waarschuwen voor wijzigingen in de houding.
Als de tolerantiepostuur van uw workload bijvoorbeeld in een week onder een bepaald percentage komt, genereert Microsoft Sentinel een waarschuwing om de respectieve beleidsstatus (geslaagd/mislukt), de geïdentificeerde assets, de laatste evaluatietijd en deeplinks naar Microsoft Defender voor Cloud voor herstelacties te geven.
Werk de regels zo nodig bij of configureer een nieuwe:
Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
Reageren met SOAR
Ga in Microsoft Sentinel naar het tabblad ActieveAutomation-playbooks> en zoek het playbook Notify-GovernanceComplianceTeam.
Gebruik dit playbook om CMMC-waarschuwingen automatisch te bewaken en het governance-complianceteam op de hoogte te stellen van relevante details via zowel e-mail als Microsoft Teams-berichten. Wijzig het playbook indien nodig:
Zie Triggers en acties gebruiken in Microsoft Sentinel playbooks voor meer informatie.
Veelgestelde vragen
Worden aangepaste weergaven en rapporten ondersteund?
Ja. U kunt uw Zero Trust (TIC 3.0)-werkmap aanpassen om gegevens weer te geven per abonnement, werkruimte, tijd, besturingsfamilie of volwassenheidsniveauparameters, en u kunt uw werkmap exporteren en afdrukken.
Zie Use Azure Monitor workbooks to visual and monitor your data (Werkmappen gebruiken om uw gegevens te visualiseren en te bewaken) voor meer informatie.
Zijn er aanvullende producten vereist?
Zowel Microsoft Sentinel als Microsoft Defender voor cloud zijn vereist.
Afgezien van deze services is elke besturingskaart gebaseerd op gegevens van meerdere services, afhankelijk van de typen gegevens en visualisaties die op de kaart worden weergegeven. Meer dan 25 Microsoft-services bieden verrijking voor de Zero Trust -oplossing (TIC 3.0).
Wat moet ik doen met panelen zonder gegevens?
Panels zonder gegevens bieden een uitgangspunt voor het aanpakken van Zero Trust- en TIC 3.0-besturingsvereisten, inclusief aanbevelingen voor het aanpakken van de respectieve besturingselementen.
Worden meerdere abonnementen, clouds en tenants ondersteund?
Ja. U kunt werkmapparameters, Azure Lighthouse en Azure Arc gebruiken om de oplossing Zero Trust (TIC 3.0) te gebruiken voor al uw abonnementen, clouds en tenants.
Zie Azure Werkmappen bewaken gebruiken om uw gegevens te visualiseren en te bewaken enMeerdere tenants beheren in Microsoft Sentinel als een MSSP voor meer informatie.
Wordt partnerintegratie ondersteund?
Ja. Zowel werkmappen als analyseregels kunnen worden aangepast voor integraties met partnerservices.
Zie Werkmappen Azure bewaken gebruiken om uw gegevens enaangepaste surface-gebeurtenisdetails in waarschuwingen te visualiseren en te bewaken voor meer informatie.
Is dit beschikbaar in overheidsregio's?
Ja. De oplossing Zero Trust (TIC 3.0) bevindt zich in openbare preview en kan worden geïmplementeerd in commerciële/overheidsregio's. Zie Beschikbaarheid van cloudfuncties voor commerciële klanten en klanten van de Amerikaanse overheid voor meer informatie.
Welke machtigingen zijn vereist voor het gebruik van deze inhoud?
Microsoft Sentinel Inzender kunnen gebruikers werkmappen, analyseregels en andere Microsoft Sentinel resources maken en bewerken.
Microsoft Sentinel Reader-gebruikers kunnen gegevens, incidenten, werkmappen en andere Microsoft Sentinel resources bekijken.
Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Volgende stappen
Zie voor meer informatie:
- Aan de slag met Microsoft Sentinel
- Uw gegevens visualiseren en bewaken met werkmappen
- Microsoft Zero Trust Model
- Zero Trust-implementatiecentrum
Bekijk onze video's:
- Demo: Microsoft Sentinel Zero Trust (TIC 3.0)-oplossing
- Microsoft Sentinel: Zero Trust (TIC 3.0)-werkmapdemo
Lees onze blogs!
- Aankondiging van de Microsoft Sentinel: Zero Trust -oplossing (TIC3.0)
- TIC 3.0-workloads (Zero Trust) bouwen en bewaken voor federale informatiesystemen met Microsoft Sentinel
- Zero Trust: 7 acceptatiestrategieën van beveiligingsleiders
- Implementeren van Zero Trust met Microsoft Azure: Identiteits- en toegangsbeheer (6-delige reeks)