Microsoft Entra ID 및 PCI-DSS 요구 사항 10
요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 로깅 및 모니터링
정의된 방식 요구 사항
10.1 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스를 로깅 및 모니터링하기 위한 프로세스 및 메커니즘을 정의하고 문서화합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.1.1 요구 사항 10에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 10.1.2 요구 사항 10의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
10.2 변칙 및 의심스러운 활동 검색 및 이벤트에 대한 포렌식 분석을 지원하기 위해 감사 로그를 구현합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.2.1 모든 시스템 구성 요소 및 카드 소유자 데이터에 대해 감사 로그를 사용하도록 설정하고 활성화합니다. | Microsoft Entra 감사 로그를 보관하여 보안 정책 및 Microsoft Entra 테넌트 구성에 대한 변경 내용을 가져옵니다. SIEM(보안 정보 및 이벤트 관리) 시스템에 Microsoft Entra 활동 로그를 보관하여 사용량에 대해 알아봅니다. Azure Monitor에서 Microsoft Entra 활동 로그 |
| 10.2.1.1 감사 로그에서 카드 소유자 데이터에 대한 모든 개별 사용자 액세스를 캡처합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 10.2.1.2 감사 로그에서 애플리케이션 또는 시스템 계정의 모든 대화형 사용을 포함하여 관리 액세스 권한이 있는 개인이 수행한 모든 작업을 캡처합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 10.2.1.3 감사 로그에서 감사 로그에 대한 모든 액세스를 캡처합니다. | Microsoft Entra ID에서는 로그를 초기화하거나 수정할 수 없습니다. 권한 있는 사용자는 Microsoft Entra ID에서 로그를 쿼리할 수 있습니다. 감사 로그를 Azure Log Analytics 작업 영역, 스토리지 계정 또는 타사 SIEM 시스템과 같은 시스템으로 내보낼 때 Microsoft Entra ID 의 태스크별 최소 권한 있는 역할은 액세스를 모니터링합니다. |
| 10.2.1.4 감사 로그에서 모든 잘못된 논리적 액세스 시도를 캡처합니다. | Microsoft Entra ID는 사용자가 잘못된 자격 증명으로 로그인하려고 할 때 활동 로그를 생성합니다. 조건부 액세스 정책으로 인해 액세스가 거부되는 경우 활동 로그를 생성합니다. |
| 10.2.1.5 감사 로그에서 식별 및 인증 자격 증명에 대한 모든 변경 내용(다음을 포함하되 이제 제한되지 않음)을 캡처합니다. 새 계정 만들기 권한 상승 관리 권한이 있는 계정에 대한 모든 변경, 추가 또는 삭제 |
Microsoft Entra ID는 이 요구 사항의 이벤트에 대한 감사 로그를 생성합니다. |
| 10.2.1.6 감사 로그에서 다음을 캡처합니다. 새 감사 로그의 모든 초기화 및 기존 감사 로그의 모든 시작, 중지 또는 일시 중지 |
Microsoft Entra ID에는 적용되지 않습니다. |
| 10.2.1.7 감사 로그에서 시스템 수준 개체의 모든 생성 및 삭제를 캡처합니다. | Microsoft Entra ID는 이 요구 사항의 이벤트에 대한 감사 로그를 생성합니다. |
| 10.2.2 감사 로그에서 감사 가능한 각 이벤트에 대한 다음과 같은 세부 정보를 기록합니다. 사용자 식별 이벤트 유형 날짜 및 시간 성공 및 실패 표시 이벤트의 발생 위치 영향을 받는 데이터, 시스템 구성 요소, 리소스 또는 서비스의 ID 또는 이름(예: 이름 및 프로토콜) |
Microsoft Entra ID의 감사 로그 참조 |
10.3 감사 로그의 삭제 및 무단 수정을 방지합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.3.1 감사 로그 파일에 대한 읽기 권한은 작업 관련 필요가 있는 사용자로 제한합니다. | 권한 있는 사용자는 Microsoft Entra ID에서 로그를 쿼리할 수 있습니다. Microsoft Entra ID의 태스크별 최소 권한 역할 |
| 10.3.2 감사 로그 파일을 개인이 수정하지 못하도록 보호합니다. | Microsoft Entra ID에서는 로그를 초기화하거나 수정할 수 없습니다. 감사 로그를 Azure Log Analytics 작업 영역, 스토리지 계정 또는 타사 SIEM 시스템과 같은 시스템으로 내보내는 경우 해당 시스템의 액세스를 모니터링합니다. |
| 10.3.3 외부용 기술에 대한 로그 파일을 포함해 감사 로그 파일을 중앙의 안전한 내부 로그 서버나 수정하기 어려운 기타 미디어에 즉시 백업합니다. | Microsoft Entra ID에서는 로그를 초기화하거나 수정할 수 없습니다. 감사 로그를 Azure Log Analytics 작업 영역, 스토리지 계정 또는 타사 SIEM 시스템과 같은 시스템으로 내보내는 경우 해당 시스템의 액세스를 모니터링합니다. |
| 10.3.4 경고 생성 없이 기존 로그 데이터를 변경할 수 없도록 감사 로그에 파일 무결성 모니터링 또는 변경 탐지 메커니즘을 사용합니다. | Microsoft Entra ID에서는 로그를 초기화하거나 수정할 수 없습니다. 감사 로그를 Azure Log Analytics 작업 영역, 스토리지 계정 또는 타사 SIEM 시스템과 같은 시스템으로 내보내는 경우 해당 시스템의 액세스를 모니터링합니다. |
10.4 감사 로그를 검토하여 변칙 또는 의심스러운 활동을 식별합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.4.1 다음 감사 로그는 매일 한 번 이상 검토합니다. 모든 보안 이벤트 CHD(카드 소유자 데이터) 및/또는 SAD(중요 인증 데이터)를 저장, 처리 또는 전송하는 모든 시스템 구성 요소의 로그 모든 중요 시스템 구성 요소의 로그 보안 기능을 수행하는 모든 서버 및 시스템 구성 요소(예: 네트워크 보안 제어, IDS/IPS(침입 탐지 시스템/침입 방지 시스템), 인증 서버 등)의 로그 |
이 프로세스에 Microsoft Entra 로그를 포함합니다. |
| 10.4.1.1 자동화된 메커니즘을 사용하여 감사 로그 검토를 수행합니다. | 이 프로세스에 Microsoft Entra 로그를 포함합니다. Microsoft Entra 로그가 Azure Monitor와 통합된 경우 자동화된 작업 및 경고를 구성합니다. Azure Monitor 배포: 경고 및 자동화된 작업 |
| 10.4.2 다른 모든 시스템 구성 요소(요구 사항 10.4.1에 지정되지 않은 구성 요소)의 로그를 주기적으로 검토합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 10.4.2.1 요구 사항 10.4.1에 정의되지 않은 다른 모든 시스템 구성 요소에 대한 정기 로그 검토의 빈도를 요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 엔터티의 대상 지정 위험 분석에서 정의합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 10.4.3 검토 프로세스 중에 확인된 예외와 비정상 부분을 해결합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
10.5 감사 로그 기록은 보존되며 분석에 사용할 수 있습니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.5.1 최소 12개월간의 감사 로그 기록을 유지하며, 적어도 최근 3개월의 기록은 분석에 즉시 사용할 수 있습니다. | Azure Monitor와 통합하고 장기 보관을 위해 로그를 내보냅니다. Microsoft Entra 로그를 Azure Monitor 로그와 통합하여 Microsoft Entra 로그 데이터 보존 정책에 대해 알아봅니다. Microsoft Entra 데이터 보존 |
10.6 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.6.1 시간 동기화 기술을 사용하여 시스템 클록 및 시간을 동기화합니다. | Azure 서비스의 시간 동기화 메커니즘에 대해 알아봅니다. Azure의 금융 서비스에 대한 시간 동기화 |
| 10.6.2 다음과 같이 시스템을 정확하고 일관된 시간으로 구성합니다. 하나 이상의 지정된 시간 서버가 사용 중입니다. 지정된 중앙 시간 서버만 외부 소스에서 시간을 받습니다. 외부 소스에서 받은 시간은 국제 원자시 또는 UTC(협정 세계시)를 기반으로 합니다. 지정된 시간 서버는 업계에서 허용하는 특정 외부 소스를 통한 시간 업데이트만 수락합니다. 지정된 시간 서버가 두 개 이상 있는 경우 시간 서버가 서로 피어링하여 정확한 시간을 유지합니다. 내부 시스템은 지정된 중앙 시간 서버에서만 시간 정보를 받습니다. |
Azure 서비스의 시간 동기화 메커니즘에 대해 알아봅니다. Azure의 금융 서비스에 대한 시간 동기화 |
| 10.6.3 시간 동기화 설정 및 데이터를 다음과 같이 보호합니다. 시간 데이터에 대한 액세스를 업무상 필요한 직원으로만 제한합니다. 중요한 시스템의 시간 설정 변경 내용은 로그하고, 모니터링하며, 검토합니다. |
Microsoft Entra ID는 Azure의 시간 동기화 메커니즘을 사용합니다. Azure 절차에서는 GPS(글로벌 위치 시스템) 위성에 동기화되는 NTP Stratum 1-시간 서버와 서버 및 네트워크 디바이스를 동기화합니다. 동기화는 5분마다 수행됩니다. Azure는 서비스 호스트 동기화 시간을 보장합니다. Microsoft Entra Connect 서버와 같은 Microsoft Entra ID의 Azure 하이브리드 구성 요소에서 금융 서비스에 대한 시간 동기화는 온-프레미스 인프라와 상호 작용합니다. 고객은 온-프레미스 서버의 시간 동기화를 소유합니다. |
10.7 중요한 보안 제어 시스템의 오류를 신속하게 탐지, 보고 및 응답합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 10.7.2 서비스 공급자만을 위한 추가 요구 사항: 중요한 보안 제어 시스템의 오류는 다음과 같은 중요한 보안 제어 시스템의 실패를 포함하지만 이에 국한되지 않는 즉시 검색, 경고 및 해결됩니다. 네트워크 보안 제어 IDS/IPS FIM(파일 무결성 모니터링) 맬웨어 방지 솔루션 물리적 액세스 제어 논리 액세스 제어 감사 로깅 메커니즘 구분 제어(사용되는 경우) |
Microsoft Entra ID는 Azure의 시간 동기화 메커니즘을 사용합니다. Azure는 운영 환경에서 실시간 이벤트 분석을 지원합니다. 내부 Azure 인프라 시스템은 잠재적 손상에 대한 이벤트 경고를 거의 실시간으로 생성합니다. |
| 10.7.2 중요한 보안 제어 시스템의 오류를 신속하게 탐지, 경고 및 해결합니다. 여기에는 다음과 같은 중요 보안 제어 시스템의 오류가 포함됩니다(이에 제한되지 않음). 네트워크 보안 제어 IDS/IPS 변경 탐지 메커니즘 맬웨어 방지 솔루션 물리적 액세스 제어 논리적 액세스 제어 감사 로깅 메커니즘 구분 제어(사용되는 경우) 감사 로그 검토 메커니즘 자동 보안 테스트 도구(사용되는 경우) |
Microsoft Entra 보안 운영 가이드 참조 |
| 10.7.3 다음을 포함하되 이에 국한되지 않는 중요한 보안 제어 시스템의 오류에 신속하게 응답합니다. 보안 기능 복원 보안 실패 기간(시작에서 종료까지의 날짜와 시간) 식별 및 문서화 실패의 원인을 식별 및 문서화하고 필요한 수정 문서화 실패 중 발생한 보안 문제의 식별 및 해결 보안 실패의 결과로 추가적인 조치가 필요한지 여부 결정 실패의 원인이 다시 발생하지 않도록 위한 제어 구현 보안 제어 모니터링 재개 |
Microsoft Entra 보안 운영 가이드 참조 |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 로깅 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침