Den här webbläsaren stöds inte längre.
Uppgradera till Microsoft Edge och dra nytta av de senaste funktionerna och säkerhetsuppdateringarna, samt teknisk support.
Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:
| Verifiera explicit | Använd åtkomst med minst behörighet | Anta intrång |
|---|---|---|
| Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. |
Den här artikeln beskriver hur du använder lösningen Microsoft Sentinel Nolltillit (TIC 3.0), som hjälper styrnings- och efterlevnadsteam att övervaka och svara på Nolltillit krav enligt initiativet TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Microsoft Sentinel-lösningar är uppsättningar paketerat innehåll som är förkonfigurerat för en specifik uppsättning data. Lösningen Nolltillit (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok som tillhandahåller en automatiserad visualisering av Nolltillit principer, som går över till ramverket För betrodda Internetanslutningar, vilket hjälper organisationer att övervaka konfigurationer över tid.
Anteckning
Få en omfattande vy över organisationens Nolltillit status med initiativet Nolltillit i Microsoft Exposure Management. Mer information finns i Modernisera säkerhetsstatusen snabbt för Nolltillit | Microsoft Learn.
Nolltillit och TIC 3.0 är inte samma sak, men de delar många vanliga teman och ger tillsammans en gemensam historia. Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) erbjuder detaljerade övergångsställen mellan Microsoft Sentinel och Nolltillit-modellen med TIC 3.0-ramverket. Dessa övergångsställen hjälper användarna att bättre förstå överlappningarna mellan de två.
Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) ger vägledning om bästa praxis, men Microsoft garanterar inte eller antyder inte efterlevnad. Alla krav, valideringar och kontroller för betrodd internetanslutning (TIC) styrs av Byrån för cybersäkerhet och infrastruktursäkerhet.
Lösningen Nolltillit (TIC 3.0) ger synlighet och situationsmedvetenhet för kontrollkrav som levereras med Microsoft-tekniker i övervägande molnbaserade miljöer. Kundupplevelsen varierar beroende på användare, och vissa fönster kan kräva ytterligare konfigurationer och frågeändring för åtgärd.
Rekommendationer innebär inte täckning av respektive kontroller, eftersom de ofta är ett av flera åtgärdssätt för att närma sig krav, vilket är unikt för varje kund. Rekommendationer bör betraktas som utgångspunkt för att planera fullständig eller partiell täckning av respektive kontrollkrav.
Microsoft Sentinel-lösningen för Nolltillit (TIC 3.0) är användbar för någon av följande användare och användningsfall:
Kontrollera att du har följande förutsättningar innan du installerar lösningen Nolltillit (TIC 3.0):
Registrera Microsoft-tjänster: Kontrollera att både Microsoft Sentinel och Microsoft Defender för molnet är aktiverade i din Azure-prenumeration.
Microsoft Defender för molnet krav: I Microsoft Defender för molnet:
Lägg till nödvändiga regelstandarder på instrumentpanelen. Se till att lägga till både Microsoft Cloud Security Benchmark och NIST SP 800-53 R5-utvärderingar på din Microsoft Defender för molnet instrumentpanel. Mer information finns i lägga till en regelstandard på instrumentpanelen i Microsoft Defender för molnet dokumentationen.
Exportera kontinuerligt Microsoft Defender för molnet data till din Log Analytics-arbetsyta. Mer information finns i Exportera kontinuerligt Microsoft Defender för molnet data.
Nödvändiga användarbehörigheter. Om du vill installera lösningen Nolltillit (TIC 3.0) måste du ha åtkomst till din Microsoft Sentinel-arbetsyta med behörigheter för säkerhetsläsare.
Lösningen Nolltillit (TIC 3.0) förbättras också av integreringar med andra Microsoft-tjänster, till exempel:
Distribuera lösningen Nolltillit (TIC 3.0) från Azure Portal:
I Microsoft Sentinel väljer du Innehållshubb och letar upp lösningen Nolltillit (TIC 3.0).
Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.
När du är klar väljer du Granska + Skapa för att installera lösningen.
Mer information finns i Distribuera out-of-the-box-innehåll och lösningar.
Följande avsnitt visar hur en säkerhetsåtgärdsanalytiker kan använda de resurser som distribueras med lösningen Nolltillit (TIC 3.0) för att granska kraven, utforska frågor, konfigurera aviseringar och implementera automatisering.
När du har installerat lösningen Nolltillit (TIC 3.0) använder du arbetsboken, analysregler och spelboken som distribuerats till din Microsoft Sentinel-arbetsyta för att hantera Nolltillit i nätverket.
Gå till arbetsboken Microsoft Sentinel-arbetsböcker Nolltillit (TIC 3.0) och välj Visa sparad arbetsbok.>
På arbetsbokssidan Nolltillit (TIC 3.0) väljer du de TIC 3.0-funktioner som du vill visa. För den här proceduren väljer du Intrångsidentifiering.
Dricks
Använd växlingsknappen Guide överst på sidan för att visa eller dölja rekommendationer och guidefönster. Kontrollera att rätt information har valts i alternativen Prenumeration, Arbetsyta och Tidsintervall så att du kan visa specifika data som du vill hitta.
Välj de kontrollkort som du vill visa. För den här proceduren väljer du Anpassningsbar åtkomstkontroll och fortsätter sedan att rulla för att visa det visade kortet.
Dricks
Använd guiderna längst upp till vänster för att visa eller dölja rekommendationer och guidefönster. Dessa kan till exempel vara användbara när du först kommer åt arbetsboken, men onödiga när du har förstått relevanta begrepp.
Utforska frågor. Längst upp till höger på kortet Anpassningsbar åtkomstkontroll väljer du menyn Alternativ med tre punkter och väljer sedan Öppna den senaste körningsfrågan i loggvyn.
Frågan öppnas på sidan Microsoft Sentinel-loggar:
I Microsoft Sentinel navigerar du till området Analys . Visa färdiga analysregler som distribuerats med lösningen Nolltillit (TIC 3.0) genom att söka efter TIC3.0.
Som standard installerar Nolltillit-lösningen (TIC 3.0) en uppsättning analysregler som är konfigurerade för att övervaka Nolltillit (TIC3.0) hållning efter kontrollfamilj, och du kan anpassa tröskelvärden för att varna efterlevnadsteam om ändringar i hållningen.
Om din arbetsbelastnings återhämtningsstatus till exempel understiger en angiven procentsats under en vecka genererar Microsoft Sentinel en avisering för att beskriva respektive principstatus (pass/fail), de tillgångar som identifierades, den senaste utvärderingstiden och ger djupa länkar till Microsoft Defender för molnet för reparationsåtgärder.
Uppdatera reglerna efter behov eller konfigurera en ny:
Mer information finns i Skapa anpassade analysregler för att identifiera hot.
I Microsoft Sentinel går du till fliken Automation>Active-spelböcker och letar upp spelboken Notify-GovernanceComplianceTeam .
Använd den här spelboken för att automatiskt övervaka CMMC-aviseringar och meddela teamet för styrningsefterlevnad relevant information via både e-post och Microsoft Teams-meddelanden. Ändra spelboken efter behov:
Mer information finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.
Ja. Du kan anpassa din Nolltillit-arbetsbok (TIC 3.0) för att visa data efter prenumeration, arbetsyta, tid, kontrollfamilj eller mognadsnivåparametrar, och du kan exportera och skriva ut arbetsboken.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data.
Både Microsoft Sentinel och Microsoft Defender för molnet krävs.
Förutom dessa tjänster baseras varje kontrollkort på data från flera tjänster, beroende på vilka typer av data och visualiseringar som visas på kortet. Över 25 Microsoft-tjänster ger berikande för lösningen Nolltillit (TIC 3.0).
Paneler utan data ger en startpunkt för att hantera Nolltillit och TIC 3.0-kontrollkrav, inklusive rekommendationer för att hantera respektive kontroller.
Ja. Du kan använda arbetsboksparametrar, Azure Lighthouse och Azure Arc för att utnyttja lösningen Nolltillit (TIC 3.0) i alla dina prenumerationer, moln och klientorganisationer.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och hantera flera klienter i Microsoft Sentinel som en MSSP.
Ja. Både arbetsböcker och analysregler är anpassningsbara för integreringar med partnertjänster.
Mer information finns i Använda Azure Monitor-arbetsböcker för att visualisera och övervaka dina data och anpassad händelseinformation för Surface i aviseringar.
Ja. Lösningen Nolltillit (TIC 3.0) finns i offentlig förhandsversion och kan distribueras till kommersiella/myndighetsregioner. Mer information finns i Tillgänglighet för molnfunktioner för kommersiella och amerikanska myndighetskunder.
Användare av Microsoft Sentinel-deltagare kan skapa och redigera arbetsböcker, analysregler och andra Microsoft Sentinel-resurser.
Microsoft Sentinel-läsare kan visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser.
Mer information finns i Behörigheter i Microsoft Sentinel.
Mer information finns i:
Titta på våra videor:
Läs våra bloggar!
Utbildning
Modul
Identifiera Microsoft Sentinel-lösningen för SAP BTP - Training
Förstå Microsoft Sentinel-lösningen för SAP BTP. Modulen utforskar fördelarna med att övervaka BTP-aktivitet och beskriver stegen för att distribuera Microsoft Sentinel-lösningen för SAP BTP.
Certifiering
Microsoft Certified: Säkerhetsoperationsanalytiker Associate - Certifications
Undersöka, söka efter och minimera hot med hjälp av Microsoft Sentinel, Microsoft Defender för molnet och Microsoft 365 Defender.