Estrategia de Confianza cero de DoD para el pilar de automatización y orquestación

La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.

Use los vínculos siguientes para ir a las secciones de la guía.

6 Automatización y orquestación

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero de DoD en el pilar Automatización y orquestación. Para obtener más información, consulte visibilidad, automatización y orquestación con Confianza cero.

6.1 Punto de decisión de directiva (PDP) y orquestación de directivas

Microsoft Sentinel tiene funciones de respuesta automatizada de orquestación de seguridad (SOAR) mediante recursos basados en la nube. Automatice la detección y las respuestas a los ciberataques. Sentinel se integra con Microsoft Entra ID, XDR de Microsoft Entra, Microsoft 365, Azure y plataformas que no son de Microsoft. Estas integraciones extensibles permiten a Sentinel coordinar las acciones de detección y respuesta de ciberseguridad en todas las plataformas, lo que aumenta la eficacia de las operaciones de seguridad.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.1.1 Desarrollo e inventario de directivas La empresa del DoD trabaja con las organizaciones para catalogar e inventariar las directivas y estándares de ciberseguridad existentes. Las directivas se actualizan y crean en actividades entre pilares según sea necesario para satisfacer la funcionalidad crítica del destino de Confianza cero. Resultados: - Se han recopilado directivas en referencia al cumplimiento y el riesgo aplicables (por ejemplo, RMF, NIST) - Se han revisado las directivas para los pilares y funcionalidades que faltan según ZTRA - Se han actualizados las áreas que faltan de las directivas para satisfacer las funcionalidades según ZTRA	Administrador de cumplimiento de Microsoft Purview Use Administrador de cumplimiento de Microsoft Purview para evaluar y administrar el cumplimiento en un entorno multinube. - Administrador de cumplimiento - Azure, Dynamics 365, Microsoft Purview - Compatibilidad multinube Microsoft Defender for Cloud Use las características de cumplimiento normativo de Defender for Cloud para ver y mejorar el cumplimiento con iniciativas de Azure Policy en un entorno multinube. - Mejora del cumplimiento normativo - Cumplimiento normativo elevado de FedRAMP - Cumplimiento normativo de NIST SP 800-53 Rev. 5 - Cumplimiento normativo de CMMC Microsoft Sentinel El centro de contenido de Sentinel tiene soluciones para visualizar y medir el progreso con requisitos de seguridad específicos del dominio. - Catálogo del centro de contenido de Sentinel - Libro DoD ZT Sentinel - Solución NIST SP 800-53
`Target` 6.1.2 Perfil de acceso de la organización Las organizaciones del DoD desarrollan perfiles de acceso básicos para el acceso DAAS de misión o tarea y de no misión o tarea mediante los datos de los pilares Usuario, Datos, Red y Dispositivo. La empresa del DoD trabaja con las organizaciones para desarrollar un perfil de seguridad empresarial mediante los perfiles de seguridad de la organización existentes para crear un enfoque de acceso común a DAAS. Se puede usar un enfoque por fases en las organizaciones para limitar el riesgo del acceso DAAS crítico para misiones o tareas una vez que se crean los perfiles de seguridad. Resultados: - Se crean perfiles con ámbito de la organización para determinar el acceso a DAAS mediante funcionalidades de los pilares Usuario, Datos, Red y Dispositivo - El estándar de acceso inicial del perfil de empresa se desarrolla para el acceso a DAAS - Siempre que sea posible, los perfiles de la organización usan servicios empresariales disponibles en los pilares Usuario, Datos, Red y Dispositivo	Acceso condicional Defina conjuntos de directivas DoD estandarizadas con acceso condicional. Incluya la seguridad de autenticación, el cumplimiento de dispositivos, también los controles de riesgo de usuario e inicio de sesión. - Acceso condicional
`Target` 6.1.3 Perfil de seguridad empresarial, parte 1 El perfil de seguridad empresarial abarca inicialmente los pilares Usuario, Datos, Red y Dispositivo. Los perfiles de seguridad de la organización existentes se integran para el acceso DAAS que no sea de misión o tarea. Resultados: - Los perfiles de empresa se crean para acceder a DAAS mediante funcionalidades de pilares Usuario, Datos, Red y Dispositivo - Los perfiles de la organización que no son críticos para la tarea o la misión se integran con los perfiles empresariales mediante un enfoque estandarizado	Actividad completa 6.1.2. Microsoft Graph API Use Microsoft Graph API para administrar e implementar directivas de acceso condicional, configuración de acceso entre inquilinos y otras opciones de configuración de Microsoft Entra. - Acceso mediante programación - API de configuración de acceso entre inquilinos - Características y servicios de Graph
`Advanced` 6.1.4 Perfil de seguridad empresarial, parte 2 Existe el número mínimo de perfiles de seguridad empresarial que conceden acceso a la gama más amplia de DAAS en los pilares de las organizaciones del DoD. Los perfiles de la organización para la misión y la tarea se integran con los perfiles de seguridad empresarial y las excepciones se administran en un enfoque metódico basado en riesgos. Resultados: - Los perfiles de empresa se han reducido y simplificado para admitir una amplia gama de acceso a DAAS - Cuando se han integrado los perfiles de críticos para la misión y la tarea adecuados y los perfiles de la organización admitidos se consideran la excepción	Acceso condicional Use la información de acceso condicional y el libro de informes para ver cómo afectan las directivas de acceso condicional a la organización. Si es posible, combine directivas. Un conjunto de directivas simplificado facilita la administración, la solución de problemas y las pruebas de nuevas características de acceso condicional. Puede usar plantillas de acceso condicional para simplificar las directivas. - Conclusiones e informes - Plantillas Use la herramienta What If y el modo de solo informe para solucionar problemas y evaluar nuevas directivas. - Solución de problemas de acceso condicional - Modo de solo informe Reduzca la dependencia de la organización de ubicaciones de red de confianza. Use ubicaciones de país o región determinadas por coordenadas GPS o dirección IP para simplificar las condiciones de ubicación en las directivas de acceso condicional. - Condiciones de ubicaciónAtributos de seguridad personalizados Use atributos de seguridad personalizados y filtros de aplicación en las directivas de acceso condicional para definir el ámbito de la autorización de atributo de seguridad asignada a los objetos de aplicación, como la confidencialidad. - Atributos de seguridad personalizados - Filtrado de aplicaciones

6.2 Automatización de procesos críticos

La automatización de Microsoft Sentinel ejecuta tareas que normalmente realizan los analistas de seguridad de nivel 1. Las reglas de automatización usan Azure Logic Apps para ayudarle a desarrollar flujos de trabajo detallados y automatizados que mejoran las operaciones de seguridad. Por ejemplo, el enriquecimiento de incidentes: vínculo a orígenes de datos externos para detectar actividades malintencionadas.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.2.1 Análisis de la automatización de tareas Las organizaciones del DoD identifican y enumeran todas las actividades de tareas que se pueden ejecutar manualmente y de forma automatizada. Las actividades de tareas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultados: - Se identifican las tareas que se pueden automatizar - Se enumeran las tareas - Inventario y desarrollo de directivas	Actividad completa 6.1.1. Azure Resource Manager Use plantillas de ARM y Azure Blueprints para automatizar implementaciones mediante infraestructura como código (IaC). - Plantillas de ARM - Azure Blueprints Azure Policy Organice asignaciones de Azure Policy mediante sus definiciones de iniciativa. - Azure Policy - Definición de iniciativas Microsoft Defender for Cloud Implemente estándares normativos y puntos de referencia de Defender for Cloud. - Asignación de estándares de seguridad Gobierno de Microsoft Entra ID Defina catálogos de paquetes de acceso a fin de establecer estándares para las asignaciones y revisiones de paquetes de acceso. Desarrolle flujos de trabajo de ciclo de vida de la identidad mediante Azure Logic Apps para automatizar la unión, el movimiento, la salida y otras tareas. - Recursos de administración de derechos - Acceso de usuario externo - Implementación de revisión de acceso - Creación de flujos de trabajo de ciclo de vida
`Target` 6.2.2 Integración empresarial y aprovisionamiento de flujos de trabajo, parte 1 La empresa del DoD establece integraciones de línea de base dentro de la solución de respuesta automatizada de orquestación de seguridad (SOAR) necesarias para habilitar la funcionalidad ZTA de nivel de destino. Las organizaciones del DoD identifican los puntos de integración y priorizan los clave según la línea de base empresarial del DoD. Las integraciones críticas se producen al satisfacer los servicios clave, lo que habilita las funcionalidades de recuperación y protección. Resultados: - Implementación de integraciones empresariales completas - Identificación de las integraciones clave - Identificación de los requisitos de recuperación y protección	Microsoft Sentinel Conecte los orígenes de datos pertinentes a Sentinel para habilitar reglas de análisis. Incluya conectores para Microsoft 365, XDR de Microsoft Defender, Protección de Microsoft Entra ID, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, Eventos de seguridad con el agente de Azure Monitor (AMA) y otras API, Syslog u orígenes de datos de formato de evento común (CEF). - Conectores de datos de Sentinel - UEBA en Sentinel XDR de Microsoft Defender Configure integraciones de componentes XDR de Microsoft Defender implementados y conecte XDR de Microsoft Defender a Sentinel. - Conexión de datos desde XDR de Defender a Sentinel Vea la guía de Microsoft 2.7.2 en Dispositivo. Uso de XDR de Defender para buscar, investigar, alertar y responder a amenazas - Investigación y respuesta automatizadas
`Advanced` 6.2.3 Integración empresarial y aprovisionamiento de flujos de trabajo, parte 2 Las organizaciones del DoD integran los servicios restantes para satisfacer los requisitos de línea de base y los requisitos avanzados de funcionalidad de ZTA según corresponda en cada entorno. El aprovisionamiento de servicios se integra y se automatiza en flujos de trabajo en los que se necesitan funcionalidades de destino de ZTA. Resultados: - Servicios identificados - Se implementa el aprovisionamiento de servicios	XDR de Microsoft Defender XDR de Microsoft Defender protege identidades, dispositivos, datos y aplicaciones. Use XDR de Defender para configurar integraciones de componentes - Configuración de la herramienta XDR - Correcciones de XDR de Defender Microsoft Sentinel Conecte nuevos orígenes de datos a Sentinel y habilite reglas de análisis estándar y personalizadas. - SOAR en Sentinel

6.3 Aprendizaje automático

XDR de Microsoft Defender y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Use integraciones de XDR de Microsoft Defender, Microsoft Intune, Protección de Microsoft Entra ID y acceso condicional a fin de usar señales de riesgo para aplicar directivas de acceso adaptables.

Obtenga información sobre la pila de seguridad y el aprendizaje automático de Microsoft, Preparación de Copilot para la seguridad en nubes de la Administración Pública de EE. UU..

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 6.3.1 Implementación del etiquetado de datos y herramientas de ML de clasificación
Las organizaciones del DoD usan los estándares y requisitos de clasificación y etiquetado de datos existentes para adquirir soluciones de aprendizaje automático según sea necesario. Las soluciones de aprendizaje automático se implementan en las organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas de base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis.

Resultado:
- Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de aprendizaje automático Microsoft Purview
Configure el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (Aplicaciones de Microsoft Office), y en Mapa de datos de Microsoft Purview.
- Etiquetas de datos de confidencialidad en Mapa de datos

Vea la guía de Microsoft 4.3.4 y 4.3.5 en Datos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.3.1 Implementación del etiquetado de datos y herramientas de ML de clasificación Las organizaciones del DoD usan los estándares y requisitos de clasificación y etiquetado de datos existentes para adquirir soluciones de aprendizaje automático según sea necesario. Las soluciones de aprendizaje automático se implementan en las organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas de base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis. Resultado: - Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de aprendizaje automático	Microsoft Purview Configure el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (Aplicaciones de Microsoft Office), y en Mapa de datos de Microsoft Purview. - Etiquetas de datos de confidencialidad en Mapa de datos Vea la guía de Microsoft 4.3.4 y 4.3.5 en Datos.

6.4 Inteligencia artificial

XDR de Microsoft Defender y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Las integraciones entre XDR de Microsoft Defender, Microsoft Intune, Protección de Microsoft Entra ID y acceso condicional le ayudan a usar señales de riesgo para aplicar directivas de acceso adaptables.

Obtenga información sobre la pila de seguridad y la inteligencia artificial de Microsoft, Preparación de Copilot para la seguridad en nubes de la Administración Pública de EE. UU..

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Advanced 6.4.1 Implementación de herramientas de automatización de IA
Las organizaciones del DoD identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la inteligencia artificial. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos.

Resultados:
- Desarrollo de requisitos de herramientas de inteligencia artificial
- Adquisición e implementación de herramientas de inteligencia artificial Fusion en Microsoft Sentinel
Fusion es una regla de análisis de detección avanzada de ataques de varias fases de Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y gravedad alta.
- Detección avanzada de ataques de varias fases
- Anomalías personalizables
- Reglas de análisis de detección de anomalías

Microsoft Entra ID Protection
Identity Protection usa algoritmos de aprendizaje automático (ML) para detectar y corregir riesgos basados en identidades. Habilite Protección de Microsoft Entra ID a fin de crear directivas de acceso condicional para el riesgo de usuario e inicio de sesión.
- Protección de Microsoft Entra ID
- Configuración y habilitación de directivas de riesgo

Azure DDoS Protection
Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación y ajustar el perfil a medida que cambia el tráfico.
- Azure DDoS Protection

Advanced 6.4.2 La inteligencia artificial controlada por análisis decide las modificaciones de A&O
Las organizaciones del DoD que usan las funciones de aprendizaje automático existentes implementan y usan tecnología de inteligencia artificial como redes neuronales para impulsar las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo.

Resultado:
- La inteligencia artificial puede realizar cambios en las actividades de flujo de trabajo automatizadas Microsoft Sentinel
Habilite reglas analíticas para detectar ataques avanzados en varias fases con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñe reglas de automatización y cuadernos de estrategias para la respuesta de seguridad.

Vea la guía de Microsoft en 6.2.3 y 6.4.1.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Advanced` 6.4.1 Implementación de herramientas de automatización de IA Las organizaciones del DoD identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la inteligencia artificial. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos. Resultados: - Desarrollo de requisitos de herramientas de inteligencia artificial - Adquisición e implementación de herramientas de inteligencia artificial	Fusion en Microsoft Sentinel Fusion es una regla de análisis de detección avanzada de ataques de varias fases de Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y gravedad alta. - Detección avanzada de ataques de varias fases - Anomalías personalizables - Reglas de análisis de detección de anomalías Microsoft Entra ID Protection Identity Protection usa algoritmos de aprendizaje automático (ML) para detectar y corregir riesgos basados en identidades. Habilite Protección de Microsoft Entra ID a fin de crear directivas de acceso condicional para el riesgo de usuario e inicio de sesión. - Protección de Microsoft Entra ID - Configuración y habilitación de directivas de riesgo Azure DDoS Protection Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación y ajustar el perfil a medida que cambia el tráfico. - Azure DDoS Protection
`Advanced` 6.4.2 La inteligencia artificial controlada por análisis decide las modificaciones de A&O Las organizaciones del DoD que usan las funciones de aprendizaje automático existentes implementan y usan tecnología de inteligencia artificial como redes neuronales para impulsar las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo. Resultado: - La inteligencia artificial puede realizar cambios en las actividades de flujo de trabajo automatizadas	Microsoft Sentinel Habilite reglas analíticas para detectar ataques avanzados en varias fases con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñe reglas de automatización y cuadernos de estrategias para la respuesta de seguridad. Vea la guía de Microsoft en 6.2.3 y 6.4.1.

6.5 Respuesta automatizada de orquestación de seguridad (SOAR)

XDR de Microsoft Defender tiene funcionalidades de detección y respuesta con detecciones estándar y personalizables. Amplíe la funcionalidad mediante reglas de análisis de Microsoft Sentinel para desencadenar acciones de respuesta automatizada de orquestación de seguridad (SOAR) con Azure Logic Apps.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.5.1 Análisis de la automatización de respuestas Las organizaciones del DoD identifican y enumeran todas las actividades de respuestas que se pueden ejecutar manualmente y de forma automatizada. Las actividades de respuestas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultado: - Se identifican las actividades de respuesta que se pueden automatizar - Las actividades de respuesta se enumeran	XDR de Microsoft Defender XDR de Microsoft Defender tiene acciones de respuesta automáticas y manuales para incidentes de archivos y dispositivos. - Incidentes en XDR de Defender
`Target` 6.5.2 Implementación de herramientas SOAR La empresa del DoD que trabaja con las organizaciones desarrolla un conjunto estándar de requisitos para las herramientas de respuesta automatizada de orquestación de seguridad (SOAR) para habilitar las funciones ZTA de nivel de destino. Las organizaciones del DoD usan los requisitos aprobados para adquirir e implementar la solución SOAR. Se completan las integraciones de infraestructura básicas para la funcionalidad SOAR futura. Resultados: - Desarrollo de requisitos para la herramienta SOAR - Obtención de la herramienta SOAR	XDR de Microsoft Defender Use las funcionalidades de respuesta estándar de XDR de Microsoft Defender. Vea la guía de Microsoft 6.5.1. Microsoft Sentinel Sentinel usa Azure Logic Apps para la funcionalidad SOAR. Use Logic Apps para crear y ejecutar flujos de trabajo automatizados con poco o ningún código. Use Logic Apps para conectarse e interactuar con recursos fuera de Microsoft Sentinel. - Cuadernos de estrategias con reglas de automatización - Automatización de la respuesta a amenazas con cuadernos de estrategias
`Advanced` 6.5.3 Implementación de cuadernos de estrategias Las organizaciones del DoD revisan todos los cuadernos de estrategias existentes para identificar la automatización futura. Se desarrollan cuadernos de estrategias para los procesos manuales y automatizados existentes en los que faltan. Los cuadernos de estrategias tienen prioridad para que la automatización se integre con las actividades de flujos de trabajo automatizados que abarcan procesos críticos. Los procesos manuales sin cuadernos de estrategias se autorizan mediante un enfoque metódico basado en riesgos. Resultados: - Siempre que sea posible, automatice los cuadernos de estrategias basados en la funcionalidad de flujos de trabajo automatizados - Se desarrollan e implementan cuadernos de estrategias manuales	Microsoft Sentinel Revise los procesos de seguridad actuales y use los procedimientos recomendados en Microsoft Cloud Adoption Framework (CAF). Para ampliar las funcionalidades SOAR, cree y personalice cuadernos de estrategias. Comience con las plantillas de cuaderno de estrategias de Sentinel. - Operaciones de seguridad - Marco de proceso de SOC - Cuadernos de estrategias a partir de plantillas

6.6 Normalización de API

Microsoft Graph API tiene una interfaz estándar para interactuar con los servicios en la nube de Microsoft. Azure API Management puede proteger las API hospedadas por su organización.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.6.1 Análisis de cumplimiento de herramientas Las herramientas y soluciones de automatización y orquestación se analizan para el cumplimiento y las funcionalidades basadas en el estándar y los requisitos de la interfaz de programación de la empresa del DoD. Se identifican más herramientas o soluciones para admitir los requisitos y estándares de la interfaz mediante programación. Resultados: - El estado de la API determina el cumplimiento o la no conformidad con los estándares de API - Se identifican las herramientas que se van a usar	API de seguridad de Microsoft Graph Microsoft Defender, Microsoft Sentinel y Microsoft Entra han documentado las API. - Security API - Trabajo con las API de Microsoft Graph - Protección de la identidad Siga los procedimientos recomendados para las API desarrolladas por la organización. - Interfaz de programación de aplicaciones - Diseño de API web RESTful
`Target` 6.6.2 Llamadas API estandarizadas y esquemas, parte 1 La empresa del DoD trabaja con las organizaciones para establecer una interfaz programática (por ejemplo, API) estándar y los requisitos según sea necesario para habilitar las funcionalidades de ZTA de destino. Las organizaciones del DoD actualizan las interfaces programáticas al nuevo estándar y exigen herramientas recién adquiridas o desarrolladas para satisfacer el nuevo estándar. Las herramientas que no pueden cumplir el estándar se permiten con una excepción mediante un enfoque metódico basado en riesgos. Resultados: - Se implementan las llamadas iniciales y los esquemas - Se reemplazan las herramientas no compatibles	Actividad completa 6.6.1 Azure API Management Use Azure API Management como puerta de enlace de API para comunicarse con las API y crear un esquema de acceso coherente para varias API. - Azure API Management Herramientas de Azure Automation Orqueste acciones de Confianza cero mediante herramientas de Azure Automation. - Integración y automatización en Azure
`Target` 6.6.3 Llamadas API estandarizadas y esquemas, parte 2 Las organizaciones del DoD completan la migración al nuevo estándar de interfaz de programación. Las herramientas marcadas para la retirada en la actividad anterior se retiran y las funciones se migran a herramientas modernizadas. Los esquemas aprobados se adoptan en función del estándar o los requisitos de la empresa del DoD. Resultado: - Se implementan todas las llamadas y esquemas	Microsoft Sentinel Use Sentinel como motor de orquestación para desencadenar y ejecutar acciones en herramientas de automatización citadas en este documento. - Automatización de la respuesta ante amenazas con cuadernos de estrategias

6.7 Centro de operaciones de seguridad (SOC) y respuesta a incidentes (IR)

Microsoft Sentinel es una solución de administración de casos para investigar y administrar incidentes de seguridad. Para automatizar acciones de respuesta de seguridad, conecte soluciones de inteligencia sobre amenazas, implemente soluciones de Sentinel, habilite el análisis de comportamiento de entidades de usuario (UEBA) y cree cuadernos de estrategias con Azure Logic Apps.

Obtenga información sobre cómo aumentar la madurez de SOC, vea Investigación de incidentes de Sentinel y administración de casos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.7.1 Enriquecimiento del flujo de trabajo, parte 1 La empresa del DoD trabaja con las organizaciones para establecer un estándar de respuesta a incidentes de ciberseguridad mediante procedimientos recomendados del sector como NIST. Las organizaciones del DoD usan el estándar empresarial para determinar los flujos de trabajo de respuesta a incidentes. Se identifican orígenes externos de enriquecimiento para su futura integración. Resultados: - Se identifican eventos de amenazas - Se desarrollan flujos de trabajo para eventos de amenazas	Conectores de datos de Microsoft Sentinel Enriquezca flujos de trabajo de Sentinel mediante la conexión de Inteligencia sobre amenazas de Microsoft Defender a Sentinel. - Conector de datos para Inteligencia sobre amenazas de Defender Soluciones de Microsoft Sentinel Use soluciones de Sentinel para revisar los procedimientos recomendados del sector. - Solución NIST 800-53 - Solución CMMS 2.0 - Libros de DoD ZT Sentinel - Contenido y soluciones de Sentinel
`Target` 6.7.2 Enriquecimiento del flujo de trabajo, parte 2 Las organizaciones del DoD identifican y establecen flujos de trabajo extendidos para tipos de respuesta a incidentes adicionales. Se usan los orígenes de datos de enriquecimiento inicial para los flujos de trabajo existentes. Se identifican orígenes de enriquecimiento adicionales para futuras integraciones. Resultados: - Se desarrollan flujos de trabajo para eventos de amenazas avanzados - Se identifican eventos de amenazas avanzados	Microsoft Sentinel Use la detección avanzada de ataques en varias fases de Fusion y las reglas de análisis de anomalías de UEBA, en Microsoft Sentinel para desencadenar cuadernos de estrategias de respuesta de seguridad automatizados. Vea la guía de Microsoft 6.2.3 y 6.4.1 en esta sección. Para enriquecer los flujos de trabajo de Sentinel, conecte Inteligencia sobre amenazas de Microsoft Defender y otras soluciones de plataformas de inteligencia sobre amenazas a Microsoft Sentinel. - Conexión de plataformas de inteligencia sobre amenazas a Sentinel - Conexión de Sentinel a fuentes de inteligencia sobre amenazas STIX/TAXII Vea la guía de Microsoft 6.7.1.
`Advanced` 6.7.3 Enriquecimiento del flujo de trabajo, parte 3 Las organizaciones del DoD usan orígenes de datos de enriquecimiento finales en flujos de trabajo de respuesta a amenazas básicas y extendidas. Resultados: - Se han identificado datos de enriquecimiento - Los datos de enriquecimiento se integran en flujos de trabajo	Microsoft Sentinel Agregue entidades para mejorar los resultados de inteligencia sobre amenazas en Sentinel. - Tareas para administrar incidentes en Sentinel - Enriquecimiento de entidades con datos de geolocalización Enriquezca flujos de trabajo de investigación y administre incidentes en Sentinel. - Tareas para administrar incidentes en Sentinel - Enriquecimiento de entidades con datos de geolocalización
`Advanced` 6.7.4 Flujo de trabajo automatizado Las organizaciones del DoD se centran en automatizar las funciones y cuadernos de estrategias de respuesta automatizada de orquestación de seguridad (SOAR). Los procesos manuales dentro de las operaciones de seguridad se identifican y se automatizan completamente si es posible. Los procesos manuales restantes se retiran cuando sea posible o se marcan para la excepción mediante un enfoque basado en riesgos. Resultados: - Los procesos de flujo de trabajo están totalmente automatizados - Los procesos manuales se han identificado - Los procesos restantes se marcan como excepciones y se documentan	Cuadernos de estrategias de Microsoft Sentinel Los cuadernos de estrategias de Sentinel se basan en Logic Apps, un servicio en la nube que programa, automatiza y organiza tareas y flujos de trabajo entre sistemas empresariales. Cree cuadernos de estrategias de respuesta con plantillas e implemente soluciones desde el centro de contenido de Sentinel. Cree reglas de análisis personalizadas y acciones de respuesta con Azure Logic Apps. - Cuadernos de estrategias de Sentinel a partir de plantillas - Automatización de la respuesta a amenazas con cuadernos de estrategias - Catálogo del centro de contenido de Sentinel - Azure Logic Apps

Pasos siguientes

Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2024-04-18