通过

端点安全

终结点安全性可确保对云托管的计算终结点资源进行全面保护。 有效的终结点安全性可防止未经授权的访问、检测和响应威胁,并维护云环境中运行的虚拟化基础结构的安全合规性。

没有全面的端点安全能力:

  • 恶意软件和勒索软件感染: 不受保护的云虚拟机允许恶意软件执行、勒索软件加密和持续威胁损害工作负荷完整性和业务作。
  • 凭据被盗和横向移动: 受入侵的云终结点使攻击者能够获取凭据、提升特权,并在云环境和虚拟网络之间横向移动。
  • 数据外泄: 非托管云工作负载缺少数据保护控制,从而允许从云存储和数据库进行未经授权的数据传输。
  • 合规性违规: 无法展示云基础设施的终端安全控制措施,将导致法规审计失败并可能面临制裁。
  • 非托管云资源: 没有安全代理的已部署虚拟机绕过保护控制机制,导致安全漏洞和监控盲点。
  • 配置偏移: 使用不一致的安全配置运行的云虚拟机会创建漏洞并降低整体安全状况。

下面是 Endpoint Security 安全域的两个核心支柱。

云终结点威胁防护: 为云虚拟机部署全面的威胁检测和响应功能,包括反恶意软件、行为分析和自动修正。 实施实时威胁情报关联和集成的扩展检测与响应(XDR),以便在对云工作负载造成损害之前识别和消除威胁。

相关控件:

云终结点安全配置: 在所有云虚拟机(包括作系统配置、应用程序控件和安全功能启用)中强制实施安全基线和强化标准。 通过自动配置管理和云托管计算资源的偏移检测来保持一致的安全态势。

相关控件:

ES-1:使用终结点检测和响应 (EDR)

Azure Policy: 请参阅 Azure 内置策略定义:ES-1

安全原则

实现全面的终结点检测和响应功能,实时了解终结点活动、行为分析和自动威胁响应。 使安全组织能够检测高级威胁、调查事件并快速响应,以遏制和修正整个环境中的终结点泄露。

需要缓解的风险

在没有全面终结点检测和响应功能的情况下运行的组织面临绕过传统预防性控制的高级威胁的重大风险。 没有 EDR:

  • 未被检测到的高级威胁: 复杂的攻击,包括无文件恶意软件、借助系统工具的技术和零日攻击,可逃避基于签名的检测,长时间不被检测到。
  • 延迟的事件响应: 对终结点活动缺乏实时可见性可防止快速威胁检测和响应,使攻击者能够及时建立持久性和外泄数据。
  • 威胁可见性有限: 安全团队无法识别攻击模式、横向移动或命令和控制通信,而无需全面的终结点遥测和行为分析。
  • 无效的威胁遏制: 手动调查和修正过程允许威胁在响应活动期间分散在终结点之间,从而产生更广泛的组织影响。
  • 缺少取证功能: 缺少历史终结点活动数据可防止根本原因分析、攻击重建和从安全事件中吸取的教训。
  • 安全状况中的盲点: 不受监视的终结点活动会创建可见性差距,防止检测内部威胁、特权升级和数据外泄尝试。

如果没有 EDR 功能,组织仅在发生重大损害后(而不是在攻击执行阶段)检测威胁。

MITRE ATT&CK

  • 初始访问(TA0001):通过网络钓鱼(T1566)和利用面向公众的应用程序(T1190)在终端设备上未被发现地获得初始立足点。
  • 执行(TA0002):命令和脚本解释器(T1059)在绕过预防性控制措施的终结点上执行恶意代码。
  • 持久性(TA0003):创建或修改系统进程(T1543),建立传统反恶意软件未检测到的持久访问机制。
  • 防御逃避(TA0005):削弱防御(T1562),通过禁用安全工具和模糊处理文件或信息(T1027)来避开检测机制。
  • 凭据访问(TA0006):OS 凭据转储(T1003)从终结点内存中获取凭据,以便提升特权和横向移动。

ES-1.1:部署终结点检测和响应解决方案

传统的防病毒签名检测无法检测到使用无文件技术、本地二进制文件以及复杂的混淆技术来逃避静态分析的现代威胁,从而使终端容易受到零日漏洞和高级持续性威胁的攻击。 终端检测与响应提供行为监视和机器学习技术,能够识别无论签名是否可用的恶意活动,检测异常进程执行、凭证访问尝试以及横向移动行为。 全面的遥测收集使法医调查和威胁搜寻能够重建攻击时间线,并确定初始检测期间错过的入侵指标。

通过以下 EDR 功能建立行为威胁检测:

EDR 配置最佳做法:

  • 启用行为检测: 配置行为分析,以监视进程执行模式、文件系统更改、网络连接和注册表修改,重点是托管敏感工作负荷的高价值 Azure VM。
  • 调整检测敏感度:根据工作负荷的关键程度来调整威胁检测敏感度,在误报率和检测覆盖率之间找到平衡,以检测无文件恶意软件、LOLBins(利用合法系统工具进行恶意活动)以及凭据访问尝试。
  • 配置自动响应: 定义适合不同工作负荷类型的自动响应措施,包括对非关键VM进行进程终止,以及仅为需要手动检查的生产系统发出警报。
  • 建立调查过程: 利用流程树分析、时间线重建和网络连接跟踪记录调查工作流,确保安全团队能够快速评估事件范围。
  • 定义警报升级: 在定义的响应时间目标内配置警报严重性阈值和升级路径,将关键威胁路由到呼叫安全人员。

EDR 部署策略:

  • 通用云终结点覆盖范围: 在所有 Azure Windows VM、Linux VM、Azure 虚拟桌面会话主机和虚拟机规模集上部署 Microsoft Defender for Endpoint 代理,确保全面可见性,而不会造成覆盖差距。
  • 自动预配: 通过 Microsoft Defender for Cloud 为新虚拟机启用自动代理预配,确保资源创建后立即得到保护。
  • 传感器运行状况监视: 持续监视 EDR 传感器运行状况、版本合规性和遥测流,并针对脱机或配置错误的云虚拟机自动发出警报。
  • 云原生体系结构: 云提供的 EDR 平台与本机 Azure 集成提供云工作负载的自动更新和可伸缩性。
  • 性能优化: 轻型传感器设计将虚拟机资源消耗降到最低,同时维护云工作负载的综合监视功能。

ES-1.2:将 EDR 集成到扩展检测和响应系统(XDR)中

独立终端检测会生成脱节的警报,这些警报未能检测跨多个系统和服务涉及身份泄露、横向移动和数据外泄的复杂攻击链。 扩展的检测和响应将终结点、标识提供者、云基础结构和网络流量的遥测关联起来,以揭示单信号检测无法识别的完整攻击叙述。 统一事件上下文使安全团队能够了解完整的攻击范围,并同时在所有受影响的系统中实施协调遏制,而不是独立响应每个警报。

通过以下 XDR 集成功能关联跨平台威胁:

  • 将终结点检测和响应与 Microsoft Defender XDR 集成,以跨标识、电子邮件、应用程序和云基础结构关联安全遥测,从而在整个环境中实现统一的威胁检测和协调响应。

XDR 集成最佳做法:

  • 启用交叉信号关联: 激活 Microsoft Defender XDR 集成,将云 VM 事件与 Azure 活动日志、Microsoft Entra ID 身份验证信号以及创建统一事件上下文的 Azure 网络观察程序 流量分析相关联。
  • 配置事件分组: 定义相关规则,将来自云 VM、标识系统和基础结构更改的相关警报分组到单个事件中,从而减少调查开销并缩短平均检测时间(MTTD)。
  • 设计响应手册:创建协调响应工作流,通过网络安全组更新实现自动化 VM 隔离,通过 Microsoft Entra ID 暂停服务帐户,并为取证创建快照。
  • 建立优先级评分: 配置事件严重性评分,包括 VM 关键性标记、数据分类和攻击进度阶段,以确定安全运营团队响应的优先级。
  • 查看攻击路径可视化效果: 定期分析 XDR 生成的攻击路径,确定横向移动机会和需要体系结构修正的特权访问风险。

XDR 体系结构组件:

  • 标识信号:Microsoft Entra ID Protection 集成,将云 VM 活动与身份验证异常、不可能旅行和基于云的标识凭据泄露指示器相关联。
  • 云基础结构集成: 将虚拟机恶意软件检测与 Azure 活动日志、资源部署事件和基础结构更改相关联,这些更改标识供应链和基于配置的攻击。
  • 云工作负荷保护: 跨 Azure 虚拟机、容器实例和 Microsoft Defender for Cloud 受保护资源(检测跨云订阅和区域的威胁)的统一可见性。
  • 网络检测集成: VM 通信与 Azure 网络观察程序 以及虚拟网络流量分析的关联,用于识别跨云网络的命令和控制流量和横向移动。

ES-1.3:启用 EDR 自动化和集成

手动调查和响应大量安全警报可造成不可持续的分析工作负荷,同时引入响应延迟,使威胁从初始泄露到数据外泄。 自动调查分析警报上下文,执行取证分析,并在数秒内确定修正作,而不是手动分析数小时。 安全业务流程将 EDR 遥测与云基础结构控制和标识管理集成,可实现协调的自动响应,从而隔离受损的系统、撤销凭据并同时保留取证证据。

通过以下自动化功能加速威胁响应:

  • 实现自动调查、修正和安全作集成,减少平均响应时间(MTTR),并跨安全平台实现统一的威胁检测。

自动调查和修正:

  • 启用自动调查: 针对非生产虚拟机的中等和高严重性警报,激活自动调查以建立调查基线;同时,生产环境负载则需要手动批准。
  • 定义审批工作流: 为生产虚拟机上自动执行的修正操作建立审批关卡,这些修正操作需要安全架构师审查,因为其更改会影响业务运营。
  • 配置自动修正: 通过 Azure 网络安全组 更新和安全配置还原启用自动恶意软件删除、持久性消除、VM 网络隔离。
  • 文档升级条件: 定义在相似性分析识别协调的竞选活动或高级持久性威胁时,将自动调查升级给人工分析师的条件。

安全运营集成:

  • 与 SIEM 集成: 将 EDR 遥测流式传输到 Microsoft Sentinel ,可实现统一的安全监视,并开发相关规则,将 EDR 警报与 Azure 活动日志、资源更改和标识信号相结合。
  • 启用 SOAR 自动化: 配置自动响应 playbook,将 EDR 控制、Azure 资源隔离、身份管理和虚拟网络安全更新进行协调。
  • 保留历史数据: 维护历史 EDR 数据,以满足合规性要求、威胁搜寻和追溯分析,从而调查复杂的威胁。
  • 扩充威胁情报: 实现自动威胁情报查找、文件哈希分析和 Azure 资源元数据收集加速调查和响应决策。

实现示例

运营云托管交易平台的金融服务机构在法医调查期间发现了高级持续性威胁,这些威胁在数周内未被发现,并已危及客户账户数据。

挑战: 云 VM 上的传统防病毒仅提供基于签名的检测、缺少无文件攻击和横向移动。 安全团队缺乏对攻击时间线的可见性,并且难以跨分布式云基础结构进行手动调查。

解决方案方法:

  • 全面的 EDR 部署: 通过与 Microsoft Defender for Cloud 的集成,使用 Azure Policy 自动预配跨 Windows/Linux VM 和 Azure 虚拟桌面会话主机,启用 Microsoft Defender for Endpoint
  • 自动威胁响应: 为加密货币矿工、Web shell 和未经授权的软件配置了自动修正。 部署响应手册,通过网络安全组更新和触发取证快照来隔离受损的虚拟机。
  • XDR 集成: 部署 Microsoft Defender XDR ,将 VM 遥测与 Microsoft Entra ID 身份验证信号和 Azure 基础结构更改相关联,从而创建统一的事件上下文。
  • 主动威胁搜寻: 使用高级搜寻查询建立的威胁搜寻计划,侧重于跨 Azure 虚拟网络的横向移动模式。

结果: 将威胁检测时间从数周大幅缩短到数小时。 自动响应包含大多数威胁,无需手动干预。 统一事件视图显著缩短了调查时间。

严重性级别

必须具有。

控件映射

  • NIST SP 800-53 Rev.5: SI-4(1)、SI-4(2)、SI-4(5)、SI-4(12)、SI-4(16)、IR-4(1)、IR-4(4)
  • PCI-DSS v4: 5.3.2、5.3.4、10.2.1、11.5.1
  • CIS 控件 v8.1: 8.5、8.11、13.2、13.10
  • NIST CSF v2.0: DE.CM-1、DE.CM-4、DE.CM-7、RS.AN-1
  • ISO 27001:2022: A.8.16、A.5.24、A.5.26
  • SOC 2: CC7.2、CC7.3

ES-2:使用新式反恶意软件

Azure Policy: 请参阅 Azure 内置策略定义:ES-2

安全原则

部署新式反恶意软件解决方案,将基于签名的检测与行为分析、机器学习、云提供的智能和利用防护相结合,以防止已知和未知威胁。 在所有端点平台上确保全面的恶意软件防护,将性能影响降到最低,并实现集中管理。

需要缓解的风险

依赖于过时或仅签名的反恶意软件解决方案的组织面临逃避传统检测方法的新式威胁的风险越来越大。 没有新式反恶意软件功能:

  • 零日攻击漏洞: 基于签名的检测在创建和分发签名之前无法识别新的恶意软件变体和零天攻击。
  • 多态恶意软件逃避: 使用多态代码、加密和模糊处理技术的高级恶意软件绕过签名匹配和静态分析。
  • 无文件攻击执行: 内存驻留攻击完全在 RAM 中执行,无需触摸磁盘即可逃避传统的基于文件的扫描机制。
  • 勒索软件加密: 新式勒索软件变体在基于签名的检测能够识别和阻止恶意进程之前快速执行加密。
  • 基于脚本的攻击传递: PowerShell、JavaScript 和其他脚本攻击利用受信任的系统工具逃避基于应用程序的反恶意软件控制。
  • 性能降低: 消耗过多系统资源的旧式反恶意软件解决方案会影响终结点性能和用户工作效率。

传统的基于签名的反恶意软件提供不足的保护,而现代威胁环境需要高级行为检测和机器学习功能。

MITRE ATT&CK

  • 执行(TA0002):恶意文件(T1204.002)执行通过钓鱼攻击、下载或可移动媒体传送的恶意软件负载。
  • 防御规避(TA0005):通过模糊处理的文件或信息(T1027)和虚拟化/沙盒规避(T1497)绕过基于签名的检测。
  • 影响(TA0040):在检测发生之前部署勒索软件(T1486),加密组织数据。

ES-2.1:部署下一代反恶意软件解决方案

基于签名的反恶意软件提供针对已知威胁的基本基线保护,但新式恶意软件采用多态性、打包和加密来逃避需要行为分析和机器学习分类的传统检测。 多层保护将已知威胁的静态签名与动态行为监视和云驱动的智能相结合,用于检测新兴恶意软件变体和零天攻击。 集中管理可确保在所有终结点上保持一致的保护基线,而篡改保护可防止攻击者在获得初始访问后禁用安全控制。

通过以下防御层部署全面的恶意软件防护:

  • 在 Azure 虚拟机上实施 Microsoft Defender 防病毒 ,提供多层保护,包括基于签名的检测、行为分析、机器学习分类,以及针对云工作负荷的防护功能。

反恶意软件配置最佳做法:

  • 配置保护层: 默认情况下,启用所有保护层(基于签名、启发式、行为、云驱动的 ML),仅当安全团队记录和批准的特定工作负荷要求时,才允许选择性禁用。
  • 启用云提供的保护: 使用未知文件的自动示例提交来激活云保护,但处理需要空封保护模型的高敏感数据的 VM 除外。
  • 配置排除管理: 建立正式的异常流程,要求业务理由、安全审查和对反恶意软件排除项进行限时审批,从而最大程度地减少攻击面暴露。
  • 测试篡改防护: 在所有生产 VM 上启用篡改防护,并通过受控测试验证有效性,确保反恶意软件在模拟攻击期间保持正常运行。
  • 建立集中管理: 通过 Microsoft Defender for Cloud 和 Azure Policy 实现集中式反恶意软件管理,定义用于配置更改的组织基线配置和治理工作流。

ES-2.2:启用高级威胁防护功能

仅当攻击者利用内存损坏漏洞、滥用合法系统功能并在传统签名检测到其存在之前加密数据时,恶意软件检测就提供不足的保护。 攻击保护缓解措施(DEP、ASLR、控制流防护)阻止基于内存的攻击,而不考虑恶意软件签名,从而阻止利用应用程序漏洞。 攻击面减少规则通过阻止脚本从不受信任的源头执行、限制访问凭据以及在勒索软件加密之前保护关键数据文件夹,从而限制攻击技术。

通过这些高级保护防止利用技术:

  • 配置高级保护功能,包括攻击保护、攻击面减少、受控文件夹访问和网络保护,以防止攻击技术和减少攻击面。

攻击保护配置:

  • 启用内存保护: 在生产部署之前,在开发环境中测试应用程序兼容性的所有 Azure VM 上激活 数据执行防护(DEP)地址空间布局随机化(ASLR)和控制 流防护(CFG )。
  • 配置特定于应用程序的保护: 对高风险应用程序(浏览器、Office 应用、PDF 阅读器)应用有针对性的攻击保护,并按季度记录和查看异常。
  • 测试缓解效果: 进行受控的利用模拟测试,验证对常见技术(堆喷洒、ROP、SEH 覆盖)的防护效果,并根据结果调整配置。
  • 建立异常过程: 定义开发保护异常的正式审批工作流,这些异常需要安全架构师评审、业务理由和补偿控制措施。

攻击面减少配置:

  • 逐步部署 ASR 规则: 在审核模式下启用 攻击面减少规则 ,首先分析影响 30 天,然后切换到以低影响规则开始的阻止模式。
  • 配置脚本执行控制:阻止从不受信任的源执行混淆处理的 JavaScript/VBScript/PowerShell脚本,同时保留合法的自动化脚本的记录异常。
  • 启用勒索软件保护: 配置 受控文件夹访问权限 ,保护经批准的应用程序列表每月查看的关键数据文件夹。
  • 实现凭据保护:启用 LSASS 保护,阻止从 Windows 本地安全机构子系统中窃取凭据,防止因误报影响合法的安全工具。
  • 监视 ASR 规则有效性: 查看 ASR 规则阻止每周的事件,确定攻击模式并调整优化安全覆盖范围的规则配置。

网络保护:

  • Web 威胁防护: 阻止与恶意 IP 地址、域和 URL 的连接,防止命令和控制通信和恶意下载。
  • SmartScreen 集成:Microsoft Defender SmartScreen 实时信誉检查已下载的文件和访问的网站,从而阻止访问已知的网络钓鱼和恶意软件分发网站。
  • 网络入侵防护: 在终结点级别检测和阻止基于网络的攻击尝试和横向移动活动。

实现示例

医疗保健组织遭受勒索软件攻击,加密 Azure 虚拟桌面基础结构上的患者记录。 传统防病毒无法检测通过武器化医疗成像文件传送的内存驻留恶意软件。

挑战: 基于签名的旧保护无法检测无文件攻击或基于脚本的勒索软件。 临床医生需要不间断地获得医疗应用程序,同时保持 HIPAA 安全控制。 检测之前,勒索软件加密了患者记录。

解决方案方法:

  • 行为检测: 部署 Microsoft Defender 防病毒 ,其中包含云提供的保护和行为分析,用于检测医疗应用程序 VM 上的无文件恶意软件和基于脚本的攻击。
  • 攻击面减少: 配置的 ASR 规则阻止 PowerShell 从不受信任的源执行,并防止在托管电子健康记录的应用程序服务器上进行凭据转储。
  • 勒索软件防护: 在 Azure 虚拟桌面上实现受控文件夹访问,防止患者数据目录遭到未经授权的修改,从而阻止勒索软件加密尝试。
  • 攻击防护: 为 Web 浏览器和医疗成像查看器启用了攻击保护,从而阻止了初始入侵途径。

结果: 在加密前几秒钟内检测到并阻止了后续勒索软件尝试。 通过行为分析大幅减少误报。 保持 HIPAA 合规性,并提供全面的保护覆盖。

严重性级别

必须具有。

控件映射

  • NIST SP 800-53 Rev.5: SI-3(1)、SI-3(2)、SI-3(4)、SI-3(7)、SI-3(8)
  • PCI-DSS v4: 5.1.1、5.2.1、5.2.2、5.2.3、5.3.1、5.3.2
  • CIS 控件 v8.1: 10.1、10.2、10.5、10.7
  • NIST CSF v2.0: DE:CM-4, PR:DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1、CC7.2

ES-3:确保反恶意软件和签名已更新

安全原则

通过自动签名更新、软件版本管理和更新合规性监视来维护当前的反恶意软件防护。 确保所有终结点都能及时接收保护更新,尽量减少漏洞窗口和维护有效的威胁检测功能。

需要缓解的风险

过时的反恶意软件签名和软件版本使终结点容易受到已知威胁的攻击,这些威胁可能会受到当前保护的阻止。 缺少及时更新:

  • 已知恶意软件检测失败: 过时的签名无法检测在上次更新后识别的新恶意软件变体、攻击和威胁活动。
  • 保护绕过: 攻击者特别针对具有过时保护的终结点,知道签名差距允许恶意软件执行。
  • 攻击漏洞: 未修补的反恶意软件包含攻击者利用的漏洞来禁用保护或提升特权。
  • 合规性违规: 法规框架需要当前的反恶意软件防护,审核失败导致签名或软件版本过时。
  • 事件响应差距: 过时的保护可防止在初始攻击阶段进行检测,从而允许威胁在更新启用检测之前建立持久性。

维护当前反恶意软件更新的组织可显著减少恶意软件感染率并提高整体安全状况。

MITRE ATT&CK

  • 防御逃避(TA0005):通过削弱防御(T1562),利用过时的反恶意软件来避免检测。
  • 执行(TA0002):利用已知漏洞(T1203)的客户端执行,该漏洞通过当前签名可检测到。

ES-3.1:配置和强制实施自动更新

随着威胁签名的老化和检测引擎过时,反恶意软件防护会迅速下降,新的恶意软件变体不断出现,从而逃避较旧的检测功能。 自动更新机制可确保终结点维护当前的威胁情报和检测算法,而无需依赖引入延迟和覆盖差距的手动过程。 合规性监视可识别具有过时保护的终结点,这些终结点表示安全外围的高风险漏洞,从而在攻击者利用保护漏洞之前启用有针对性的修正。

通过以下更新过程维护当前的反恶意软件有效性:

  • 通过合规性监视和强制实施实现自动反恶意软件签名和软件更新过程,确保终结点无需手动干预即可维护当前保护。

自动更新配置:

  • 启用自动签名更新: 每天配置自动签名更新检查,确保快速部署应对新兴威胁的新威胁情报。
  • 启用自动引擎更新: 配置自动检测引擎和平台更新,确保终结点接收增强的检测功能和关键安全改进。
  • 配置可靠的更新源: 使用故障转移机制建立主要云交付更新,确保一致的更新传递,防止更新服务中断。
  • 验证更新完整性: 在部署之前启用签名和软件更新的自动验证,防止损坏或恶意更新包损害终结点保护。
  • 测试关键更新: 在生产部署之前,验证非生产环境中的主要软件版本更新,确认兼容性和有效性,防止作中断。

合规性监视和执行:

  • 监控更新合规性: 在终端设备中跟踪签名的时效性和软件版本,识别那些保护措施过时且超出安全策略阈值的设备。
  • 强制实施自动修正: 为不合规的终结点配置自动更新强制实施,确保及时保护更新,而无需手动干预。
  • 限制不合规的访问:与网络访问控制集成,限制那些具有严重过时防护的终结点的访问,直到修正完成。
  • 管理安全异常: 为需要延迟更新的终结点建立正式的异常过程,其中包含记录的补偿控制和限时审批。

实现示例

当过时的防病毒签名无法检测已知恶意软件变体、暴露敏感数据和中断作时,具有全球运营的组织遭受了恶意软件爆发,影响了关键业务系统。

挑战: 跨多个时区的全局作使得协调更新变得困难。 区域带宽约束延迟签名分布。 手动更新过程创建了终结点在高峰运行期间运行过时保护的漏洞。

解决方案方法:

  • 自动更新节奏: 配置的云交付更新每 2 小时检查一次,确保快速威胁情报部署。 删除了对手动更新进程的依赖项。
  • 合规性执行: 通过 Azure Policy 实现了对签名超过 7 天的监视警报。 集成网络访问控制,拒绝不合规终结点的访问。
  • 分阶段推出策略: 在全面推出之前,配置小型试点组进行主要版本的分阶段测试部署,从而在保持保护的有效性的同时防止操作中断。

结果: 将平均签名年龄从周减少到数小时。 在后续期间,实现了高合规性,没有出现与过时签名相关的恶意软件事件。

严重性级别

必须具有。

控件映射

  • NIST SP 800-53 Rev.5: SI-3(2)、SI-2(2)、SI-2(5)
  • PCI-DSS v4: 5.3.3、6.3.3
  • CIS 控件 v8.1: 10.3、7.2
  • NIST CSF v2.0: DE.CM-4、PR.IP-1
  • ISO 27001:2022: A.8.7、A.8.8
  • SOC 2: CC8.1
  • Last updated on