Stratégie de Confiance Zéro du DoD pour le pilier d’automatisation et d’orchestration

Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.

Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.

Utiliser les liens suivants pour accéder aux sections du guide.

6 Automatisation et orchestration

Cette section contient de l’aide et des recommandations de Microsoft pour les activités Confiance Zéro du DoD dans le pilier Automatisation et orchestration. Pour en savoir plus, consultez Visibilité, automatisation et orchestration avec Confiance Zéro.

6.1 Point de décision de stratégie (PDP) et orchestration de stratégie

Microsoft Sentinel dispose de SOAR (Orchestration, automatisation et réponse en matière de sécurité) via des ressources cloud. Automatisez la détection et les réponses aux cyber-attaques. Sentinel s’intègre à Microsoft Entra ID, à Microsoft Defender XDR, à Microsoft 365, à Azure et à des plateformes non-Microsoft. Ces intégrations extensibles permettent à Sentinel de coordonner les actions de détection et de réponse de cybersécurité entre les plateformes, ce qui augmente l’efficacité et l’efficience des opérations de sécurité.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.1.1 Inventaire et développement des stratégies L’entreprise du DoD collabore avec les organisations pour cataloguer et inventorier les politiques et normes existantes de cybersécurité. Les stratégies sont mises à jour et créées dans les activités interpiliers en fonction des besoins pour répondre aux fonctionnalités critiques de la cible CZ. Résultats : – Les stratégies ont été collectées en référence à la conformité et aux risques applicables (par exemple RMF, NIST) – Les stratégies ont été examinées pour détecter les piliers et fonctionnalités manquants d’après l’architecture de référence Confiance Zéro (ARCZ) – Les zones manquantes des stratégies sont mises à jour pour répondre aux fonctionnalités d’après l’architecture de référence Confiance Zéro (ARCZ)	Microsoft Purview Compliance Manager Utilisez Microsoft Purview Compliance Manager pour évaluer et gérer la conformité dans un environnement multicloud. - Compliance Manager - Azure, Dynamics 365, Microsoft Purview - Prise en charge du multicloud Microsoft Defender pour le cloud Utilisez les fonctionnalités de conformité réglementaire de Defender pour le cloud pour visualiser et améliorer la conformité avec les initiatives Azure Policy dans un environnement multicloud. - Améliorer la conformité réglementaire - Haute conformité réglementaire FedRAMP High - Conformité réglementaire NIST SP 800-53 Rev. 5 - Conformité réglementaire CMMC Microsoft Sentinel Le hub de contenu Sentinel a des solutions pour visualiser et mesurer la progression par rapport aux exigences de sécurité spécifiques au domaine. - Catalogue du hub de contenu Sentinel - Classeur Sentinel CZ du DoD - Solution NIST SP 800-53
`Target` 6.1.2 Profil d’accès de l’organisation Les organisations du DoD développent des profils d’accès de base pour l’accès de mission/tâche et non-mission/tâche DAAS à l’aide des données provenant des piliers utilisateur, données, réseau et appareil. L’entreprise DoD travaille avec les organisations pour développer un profil de sécurité d’entreprise en utilisant les profils de sécurité organisationnels existants afin de créer une approche d’accès commune à DAAS. Une approche par phases peut être utilisée dans les organisations pour limiter les risques des accès DAAS critiques à la mission/tâche une fois que le ou les profils de sécurité sont créés. Résultats : – Des profils délimités à l’organisation sont créés pour déterminer l’accès à DAAS en utilisant les fonctionnalités des piliers Utilisateur, Données, Réseau et Appareil – La norme d’accès au profil d’entreprise initial est développée pour l’accès à DAAS – Quand c’est possible, le ou les profils d’organisation utilisent les services d’entreprise disponibles dans les piliers Utilisateur, Données, Réseau et Appareil	Accès conditionnel Définissez des ensembles de stratégies DoD standardisés avec l’accès conditionnel. Incluez la force de l’authentification, la conformité des appareils ainsi que les contrôles des risques liés aux utilisateurs et aux connexions. - Accès conditionnel
`Target` 6.1.3 Profil de sécurité d’entreprise Pt1 Le profil de sécurité d’entreprise couvre initialement les piliers Utilisateur, Données, Réseau et Appareil. Les profils de sécurité organisationnels existants sont intégrés pour l’accès DAAS de non-mission/tâche ci-dessous. Résultats : – Un ou des profils d’entreprise sont créés pour accéder à DAAS en utilisant les fonctionnalités des piliers Utilisateur, Données, Réseau et Appareil – Un ou des profils d’organisation critiques de non-mission/tâche sont intégrés aux profils d’entreprise en utilisant une approche standardisée	Effectuer l’activité 6.1.2. API Microsoft Graph Utilisez l’API Microsoft Graph pour gérer et déployer des stratégies d’accès conditionnel, des paramètres d’accès interlocataire et d’autres paramètres de configuration Microsoft Entra. - Accès par programmation - API des paramètres d’accès interlocataire - Fonctionnalités et services Graph
`Advanced` 6.1.4 Profil de sécurité d’entreprise Pt2 Le nombre minimal de profils de sécurité d’entreprise existe en accordant l’accès à la plus large gamme de DAAS entre les piliers au sein des organisations du DoD. Les profils d’organisation de mission/tâche sont intégrés aux profils de sécurité d’entreprise et les exceptions sont gérés selon une approche méthodique basée sur les risques. Résultats : – Un ou des profils d’entreprise ont été réduits et simplifiés pour prendre en charge un plus large éventail d’accès à DAAS – Là où un ou des profils critiques de mission/tâche appropriés ont été intégrés et pris en charge, les profils d’organisation sont considérés comme l’exception	Accès conditionnel Utilisez les insights d’accès conditionnel et le classeur de production de rapports pour voir comment les stratégies d’accès conditionnel affectent votre organisation. Si possible, combinez des stratégies. Un ensemble de stratégies simplifié est plus facile à gérer, dépanner et piloter de nouvelles fonctionnalités d’accès conditionnel. Vous pouvez utiliser des modèles d’accès conditionnel pour simplifier les stratégies. - Insights et rapports - Modèles Utilisez l’outil What If et le mode rapport uniquement pour dépanner et évaluer de nouvelles stratégies. - Résoudre les problèmes d’accès conditionnel - Mode Rapport uniquement Réduisez la dépendance de votre organisation par rapport aux emplacements réseau approuvés. Utilisez les emplacements pays/régions déterminés par les coordonnées GPS ou l’adresse IP pour simplifier les conditions d’emplacement dans les stratégies d’accès conditionnel. - Conditions d’emplacement Attributs de sécurité personnalisés Utilisez des attributs de sécurité personnalisés et des filtres d’application dans les stratégies d’accès conditionnel pour étendre l’autorisation d’attribut de sécurité affectée aux objets d’application, tels que la sensibilité. - Attributs de sécurité personnalisés - Filtrage des applications

6.2 Automatisation des processus critiques

L’automatisation de Microsoft Sentinel exécute des tâches généralement effectuées par les analystes de sécurité de niveau 1. Les règles d’automatisation utilisent Azure Logic Apps pour vous aider à développer des workflows détaillés et automatisés qui améliorent les opérations de sécurité. Par exemple, enrichissement des incidents : lien vers des sources de données externes pour détecter les activités malveillantes.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.2.1 Analyse de l’automatisation des tâches Les organisations du DoD identifient et énumèrent toutes les activités des tâches qui peuvent être exécutées manuellement et de façon automatisée. Les activités des tâches sont organisées selon les catégories « automatisée » et « manuelle ». Les activités manuelles sont analysées quand à la possibilité de les mettre hors service. Résultats : – Les tâches automatisables sont identifiées – Les tâches sont énumérées – Inventaire et développement des stratégies	Effectuer l’activité 6.1.1. Azure Resource Manager Utilisez des modèles ARM et Azure Blueprints pour automatiser les déploiements en utilisant Infrastructure en tant que code (IaC). - Modèles ARM - Azure Blueprints Azure Policy Organisez les affectations Azure Policy en utilisant ses définitions d’initiative. - Azure Policy - Définition d’initiative Microsoft Defender pour le cloud Déployez Defender pour les normes réglementaires et les points de référence cloud. - Affecter des normes de sécurité Gouvernance de Microsoft Entra ID Définissez des catalogues de packages d’accès pour établir des normes pour les affectations et les révisions des packages d’accès. Développez des workflows de cycle de vie des identités en utilisant Azure Logic Apps pour automatiser les tâches liées aux employés qui rejoignent, changent de poste ou quittent l’organisation, et d’autres tâches automatisables. - Ressources de gestion des droits d’utilisation - Accès utilisateur externe - Déploiement de la révision des accès - Créer des workflows de cycle de vie
`Target` 6.2.2 Intégration Entreprise et approvisionnement des workflows Pt1 L’entreprise du DoD établit des intégrations de référence dans la solution SOAR (Security Orchestration, Automation and Response) requise pour activer la fonctionnalité ACZ (Architecture Confiance Zéro) au niveau de la cible. Les organisations DoD identifient les points d’intégration et traitent en priorité les points clés conformément à la ligne de base de l’entreprise DoD. Les intégrations critiques se font entre les services clés, permettant des fonctionnalités de récupération et de protection. Résultats : – Implémenter des intégrations d’entreprise complètes – Identifier les intégrations clés – Identifier les exigences de récupération et de protection	Microsoft Sentinel Connectez les sources de données appropriées à Sentinel pour activer des règles d’analyse. Incluez des connecteurs pour Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender pour le cloud, Pare-feu Azure, Azure Resource Manager, les événements de sécurité avec l’Agent Azure Monitor (AMA) et d’autres sources de données d’API, Syslog ou Common Event Format (CEF). - Connecteurs de données Sentinel - UEBA dans Sentinel Microsoft Defender XDR Configurez des intégrations des composants Microsoft Defender XDR déployés et connectez Microsoft Defender XDR à Sentinel. - Connecter des données de Defender XDR à Sentinel Consultez Aide de Microsoft 2.7.2 dans Appareil. Utilisez Defender XDR pour détecter, investiguer, alerter et répondre aux menaces - Investigation et réponse automatisées
`Advanced` 6.2.3 Intégration Entreprise et approvisionnement des workflows Pt2 Les organisations du DoD intègrent les services restants pour répondre aux exigences de référence et aux exigences avancées en matière de fonctionnalités ACZ en fonction de l’environnement. Le provisionnement de services est intégré et automatisé dans les workflows quand il est nécessaire de répondre aux fonctionnalités cibles de l’ACZ. Résultats : – Services identifiés – Le provisionnement de services est implémenté	Microsoft Defender XDR Microsoft Defender XDR protège les identités, les appareils, les données et les applications. Utilisez Defender XDR pour configurer les intégrations de composants - Configuration de l’outil XDR - Corrections Defender XDR Microsoft Sentinel Connectez de nouvelles sources de données à Sentinel, et activez les règles d’analyse standard et personnalisées. - SOAR dans Sentinel

6.3 Machine Learning

Microsoft Defender XDR et Microsoft Sentinel utilisent l’intelligence artificielle (IA), le Machine Learning (ML) et la veille des menaces pour détecter et répondre aux menaces avancées. Utilisez les intégrations de Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection et l’accès conditionnel pour utiliser des signaux de risque afin d’appliquer des stratégies d’accès adaptatives.

Découvrez la pile de sécurité Microsoft et ML, Se préparer pour Sécurité Copilot dans les clouds US Government.

Descriptions et résultats des activités du DoD Conseils et recommandations de Microsoft

Target 6.3.1 Implémenter les outils ML d’étiquetage et de classification des données
Les organisations du DoD utilisent les normes et exigences existantes en matière d’étiquetage et de classification des données pour acquérir une ou plusieurs solutions Machine Learning en fonction des besoins. La ou les solutions Machine Learning sont implémentées dans les organisations, et des référentiels de données étiquetées et classifiées existants sont utilisés pour établir des lignes de bases. La ou les solutions Machine Learning appliquent des étiquettes de données selon une approche supervisée pour améliorer l’analyse de façon continue.

Résultat :
– Les outils d’étiquetage et de classification des données implémentés sont intégrés aux outils ML Microsoft Purview
Configurez l’étiquetage automatique dans Microsoft Purview pour le côté service (Microsoft 365) et pour le côté client (applications Microsoft Office), et dans Mappage de données Microsoft Purview.
- Étiquettes de confidentialité de données dans Mappage de données

Consultez l’aide Microsoft 4.3.4 et 4.3.5 dans Données.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.3.1 Implémenter les outils ML d’étiquetage et de classification des données Les organisations du DoD utilisent les normes et exigences existantes en matière d’étiquetage et de classification des données pour acquérir une ou plusieurs solutions Machine Learning en fonction des besoins. La ou les solutions Machine Learning sont implémentées dans les organisations, et des référentiels de données étiquetées et classifiées existants sont utilisés pour établir des lignes de bases. La ou les solutions Machine Learning appliquent des étiquettes de données selon une approche supervisée pour améliorer l’analyse de façon continue. Résultat : – Les outils d’étiquetage et de classification des données implémentés sont intégrés aux outils ML	Microsoft Purview Configurez l’étiquetage automatique dans Microsoft Purview pour le côté service (Microsoft 365) et pour le côté client (applications Microsoft Office), et dans Mappage de données Microsoft Purview. - Étiquettes de confidentialité de données dans Mappage de données Consultez l’aide Microsoft 4.3.4 et 4.3.5 dans Données.

6.4 Intelligence artificielle

Microsoft Defender XDR et Microsoft Sentinel utilisent l’intelligence artificielle (IA), le Machine Learning (ML) et la veille des menaces pour détecter et répondre aux menaces avancées. Les intégrations entre Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection et l’accès conditionnel vous aident à utiliser des signaux de risque pour appliquer des stratégies d’accès adaptatives.

Découvrez la pile de sécurité Microsoft et l’IA, Se préparer pour Sécurité Copilot dans les clouds US Government.

Descriptions et résultats des activités du DoD Conseils et recommandations de Microsoft

Advanced 6.4.1 Implémenter des outils d’automatisation de l’IA
Les organisations du DoD identifient les domaines d’amélioration en fonction des techniques de Machine Learning existantes pour l’intelligence artificielle. Les solutions d’IA sont identifiées, fournies et implémentées en utilisant les domaines identifiés comme exigences.

Résultats :
– Développer des exigences en matière d’outils IA
– Se procurer et implémenter des outils IA Fusion dans Microsoft Sentinel
Fusion est une règle d’analyse avancée de détection d’attaques multi-étapes dans Sentinel. Fusion est un moteur de corrélation avec apprentissage par ML qui détecte les attaques multi-étapes ou les menaces persistantes avancées (APT). Il identifie les comportements anormaux et les activités suspectes qui sans cela seraient difficiles à détecter. Les incidents sont de faible volume, de haute fidélité et de gravité élevée.
- Détection avancée des attaques multi-étapes
- Anomalies personnalisables
- Règles d’analyse de détection d’anomalies

Microsoft Entra ID Protection
Identity Protection utilise des algorithmes de Machine Learning (ML) pour détecter et corriger les risques basés sur l’identité. Activez Microsoft Entra ID Protection pour créer des stratégies d’accès conditionnel pour les risques liés aux utilisateurs et aux connexions.
- Microsoft Entra ID Protection
- Configurer et activer les stratégies de risque

Azure DDoS Protection
Azure DDoS Protection utilise le profilage intelligent du trafic pour en savoir plus sur le trafic des applications et adapter le profil en fonction de l’évolution du trafic.
- Azure DDoS Protection

Advanced 6.4.2 L’IA pilotée par l’analyse décide des modifications d’A&O
Les organisations du DoD qui utilisent des fonctions de Machine Learning existantes implémentent et utilisent la technologie IA comme les réseaux neuronaux pour prendre des décisions d’automatisation et d’orchestration. La prise de décision est déplacée autant que possible dans l’IA, ce qui libère le personnel humain pour d’autres tâches. En utilisant des modèles historiques, l’IA va apporter des changements anticipés dans l’environnement afin de mieux réduire les risques.

Résultat :
– L’IA peut apporter des changements aux activités de workflows automatisées Microsoft Sentinel
Permet aux règles d’analyse de détecter les attaques multi-étapes avancées avec les anomalies Fusion et UEBA dans Microsoft Sentinel. Concevez des règles d’automatisation et des playbooks pour la réponse aux problèmes de sécurité.

Consultez l’aide Microsoft dans 6.2.3 et 6.4.1.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Advanced` 6.4.1 Implémenter des outils d’automatisation de l’IA Les organisations du DoD identifient les domaines d’amélioration en fonction des techniques de Machine Learning existantes pour l’intelligence artificielle. Les solutions d’IA sont identifiées, fournies et implémentées en utilisant les domaines identifiés comme exigences. Résultats : – Développer des exigences en matière d’outils IA – Se procurer et implémenter des outils IA	Fusion dans Microsoft Sentinel Fusion est une règle d’analyse avancée de détection d’attaques multi-étapes dans Sentinel. Fusion est un moteur de corrélation avec apprentissage par ML qui détecte les attaques multi-étapes ou les menaces persistantes avancées (APT). Il identifie les comportements anormaux et les activités suspectes qui sans cela seraient difficiles à détecter. Les incidents sont de faible volume, de haute fidélité et de gravité élevée. - Détection avancée des attaques multi-étapes - Anomalies personnalisables - Règles d’analyse de détection d’anomalies Microsoft Entra ID Protection Identity Protection utilise des algorithmes de Machine Learning (ML) pour détecter et corriger les risques basés sur l’identité. Activez Microsoft Entra ID Protection pour créer des stratégies d’accès conditionnel pour les risques liés aux utilisateurs et aux connexions. - Microsoft Entra ID Protection - Configurer et activer les stratégies de risque Azure DDoS Protection Azure DDoS Protection utilise le profilage intelligent du trafic pour en savoir plus sur le trafic des applications et adapter le profil en fonction de l’évolution du trafic. - Azure DDoS Protection
`Advanced` 6.4.2 L’IA pilotée par l’analyse décide des modifications d’A&O Les organisations du DoD qui utilisent des fonctions de Machine Learning existantes implémentent et utilisent la technologie IA comme les réseaux neuronaux pour prendre des décisions d’automatisation et d’orchestration. La prise de décision est déplacée autant que possible dans l’IA, ce qui libère le personnel humain pour d’autres tâches. En utilisant des modèles historiques, l’IA va apporter des changements anticipés dans l’environnement afin de mieux réduire les risques. Résultat : – L’IA peut apporter des changements aux activités de workflows automatisées	Microsoft Sentinel Permet aux règles d’analyse de détecter les attaques multi-étapes avancées avec les anomalies Fusion et UEBA dans Microsoft Sentinel. Concevez des règles d’automatisation et des playbooks pour la réponse aux problèmes de sécurité. Consultez l’aide Microsoft dans 6.2.3 et 6.4.1.

6.5 Orchestration, automatisation et réponse en matière de sécurité (SOAR)

Microsoft Defender XDR offre des fonctionnalités de détection et de réponse avec des détections standard et personnalisables. Étendez la fonctionnalité en utilisant des règles d’analyse Microsoft Sentinel pour déclencher des actions d’orchestration, d’automatisation et de réponse de sécurité (SOAR) avec Azure Logic Apps.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.5.1 Analyse de l’automatisation des réponses Les organisations du DoD identifient et énumèrent toutes les activités de réponse qui sont exécutées à la fois manuellement et de manière automatisée. Les activités de réponse sont organisées selon les catégories « automatisée » et « manuelle ». Les activités manuelles sont analysées quand à la possibilité de les mettre hors service. Résultat : – Les activités de réponse automatisables sont identifiées – Les activités de réponse sont énumérées	Microsoft Defender XDR Microsoft Defender XDR a des actions de réponse automatiques et manuelles pour les incidents de fichier et d’appareil. - Incidents dans Defender XDR
`Target` 6.5.2 Implémenter des outils SOAR L’entreprise du DoD, en collaboration avec les organisations, développe un ensemble d’exigences standard pour les outils d’orchestration, d’automatisation et réponse en matière de sécurité (SOAR) afin d’activer des fonctions ACZ au niveau de la cible. Les organisations du DoD utilisent des exigences approuvées pour obtenir et implémenter une solution SOAR. Les intégrations d’infrastructure de base pour les fonctionnalités SOAR futures sont terminées. Résultats : – Développer des exigences pour l’outil SOAR – Acquérir l’outil SOAR	Microsoft Defender XDR Utilisez les fonctionnalités de réponse standard de Microsoft Defender XDR. Consultez l’aide de Microsoft 6.5.1. Microsoft Sentinel Sentinel utilise Azure Logic Apps pour la fonctionnalité SOAR. Utilisez Logic Apps pour créer et exécuter des workflows automatisés avec peu ou pas de code. Utilisez Logic Apps pour vous connecter et interagir avec des ressources en dehors de Microsoft Sentinel. - Playbooks avec des règles d’automatisation - Automatiser la réponse aux menaces avec des playbooks
`Advanced` 6.5.3 Implémenter des playbooks Les organisations du DoD passent en revue tous les playbooks existants afin d’identifier les possibilités d’automatisation future. Des playbooks sont développés pour les processus manuels et automatisés existants pour lesquels il n’y a pas de playbooks. Les playbooks sont classés par ordre de priorité pour que l’automatisation soit intégrée aux activités des workflows automatisés couvrant les processus critiques. Les processus manuels sans playbooks sont autorisés en utilisant une approche méthodique basée sur les risques. Résultats : – Dans la mesure du possible, automatiser les playbooks basés sur la fonctionnalité de workflow automatisé – Les playbooks manuels sont développés et implémentés	Microsoft Sentinel Passez en revue les processus de sécurité actuels et utilisez les meilleures pratiques dans le Microsoft Cloud Adoption Framework (CAF). Pour étendre les fonctionnalités SOAR, créez et personnalisez des playbooks. Commencez par les modèles de playbook Sentinel. - Opérations de sécurité - Framework de processus SOC - Playbooks à partir de modèles

6.6 Standardisation des API

L’API Microsoft Graph dispose d’une interface standard pour interagir avec les services de cloud computing Microsoft. Gestion des API Azure peut protéger les API hébergées par votre organisation.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.6.1 Analyse de la conformité des outils Les outils et solutions d’automatisation et d’orchestration sont analysés du point de vue de leur conformité et de leurs capacités, sur la base de la norme et des exigences de l’interface de programmation d’entreprise du DoD. D’autres outils ou solutions sont identifiés pour prendre en charge les normes et les exigences de l’interface de programmation. Résultats : – L’état des API est déterminé comme conforme ou non conforme aux normes pour les API – Les outils à utiliser sont identifiés	API de sécurité Microsoft Graph Microsoft Defender, Microsoft Sentinel et Microsoft Entra ont des API documentées. - API de Sécurité - Travailler avec Microsoft Graph - API de protection de l’identité Suivez les meilleures pratiques pour les API développées par votre organisation. - Interface de programmation d’applications - Conception des API web RESTful
`Target` 6.6.2 Appels et schémas d’API standardisés Pt1 L’entreprise du DoD travaille avec des organisations pour établir la norme et les exigences d’une interface de programmation (par exemple une API) en fonction des besoins pour activer les fonctionnalités ACZ cibles. Les organisations du DoD mettent à jour les interfaces de programmation vers la nouvelle norme et imposent des outils nouvellement acquis/développés pour respecter la nouvelle norme. Les outils qui ne peuvent pas répondre à la norme sont autorisés à titre exceptionnel, en utilisant une approche méthodique basée sur les risques. – Les outils non conformes sont remplacés	Effectuer l’activité 6.6.1 Gestion des API Azure Utilisez Gestion des API Azure comme passerelle API pour communiquer avec les API et créer un schéma d’accès cohérent pour les différentes API. - Gestion des API Azure Outils Azure Automation Orchestrez les actions Confiance Zéro en utilisant des outils Azure Automation. - Intégration et automatisation dans Azure
`Target` 6.6.3 Appels et schémas d’API standardisés Pt2 Les organisations du DoD effectuent la migration vers la nouvelle norme pour les interfaces de programmation. Les outils marqués pour être désactivés dans l’activité précédente sont mis hors service et les fonctions sont migrées vers des outils modernisés. Les schémas approuvés sont adoptés en fonction de la norme/des exigences de l’entreprise du DoD. Résultat : – Tous les appels et schémas sont implémentés	Microsoft Sentinel Utilisez Sentinel comme moteur d’orchestration pour déclencher et exécuter des actions dans les outils d’automatisation cités dans ce document. - Automatiser la réponse aux menaces avec des playbooks

6.7 Centre des opérations de sécurité (SOC) et réponse aux incidents (IR)

Microsoft Sentinel est une solution de gestion des cas pour investiguer et gérer les incidents de sécurité. Pour automatiser les actions de réponse en matière de sécurité, connecter des solutions de veille des menaces, déployer des solutions Sentinel, activer l’analyse du comportement des entités utilisateur (UEBA) et créer des playbooks avec Azure Logic Apps.

Découvrez comment augmenter la maturité du SOC en consultant Investigation et gestion des cas d’incidents de Sentinel.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.7.1 Enrichissement des workflows Pt1 L’entreprise du DoD travaille avec des organisations pour établir une norme de réponse aux incidents de cybersécurité en utilisant les meilleures pratiques du secteur, comme NIST. Les organisations du DoD utilisent la norme d’entreprise pour déterminer les workflows de réponse aux incidents. Les sources externes d’enrichissement sont identifiées en vue d’une intégration future. Résultats : – Les événements de menace sont identifiés – Des workflows pour les événements de menace sont développés	Connecteurs de données Microsoft Sentinel Enrichissez les workflows Sentinel en connectant la veille des menaces de Microsoft Defender à Sentinel. - Connecteur de données pour la veille des menaces Defender Solutions Microsoft Sentinel Utilisez les solutions Sentinel pour passer en revue les meilleures pratiques du secteur. - Solution NIST 800-53 - Solution CMMS 2.0 - Classeurs Sentinel CZ du DoD - Contenu et solutions Sentinel
`Target` 6.7.2 Enrichissement de workflows Pt2 Les organisations du DoD identifient et établissent des workflows étendus pour des types de réponses aux incidents supplémentaires. Les sources de données d’enrichissement initiales sont utilisées pour les workflows existants. Des sources d’enrichissement supplémentaires sont identifiées pour de futures intégrations. Résultats : – Des workflows pour les événements de menace avancés sont développés – Les événements de menaces avancés sont identifiés	Microsoft Sentinel Utilisez la détection avancée des attaques multi-étapes dans Fusion et les règles d’analyse de détection des anomalies de l’UEBA dans Microsoft Sentinel pour déclencher des playbooks de réponse automatisée en matière de sécurité. Consultez l’aide Microsoft 6.2.3 et 6.4.1 dans cette section. Pour enrichir les workflows Sentinel, connectez la veille des menaces de Microsoft Defender et d’autres solutions de plateformes de renseignement sur les menaces à Microsoft Sentinel. - Connecter des plateformes de renseignement sur les menaces à Sentinel - Connecter Sentinel aux flux de renseignement sur les menaces STIX/ TAXII Consultez l’aide Microsoft 6.7.1.
`Advanced` 6.7.3 Enrichissement des workflows Pt3 Les organisations du DoD utilisent des sources de données d’enrichissement finales sur des workflows de réponse aux menaces de base et étendus. Résultats : – Les données d’enrichissement ont été identifiées – Les données d’enrichissement sont intégrées aux workflows	Microsoft Sentinel Ajoutez des entités pour améliorer les résultats des renseignements sur les menaces dans Sentinel. - Tâches pour gérer les incidents dans Sentinel - Enrichir les entités avec des données de géolocalisation Enrichir les workflows d’investigation et gérer les incidents dans Sentinel. - Tâches pour gérer les incidents dans Sentinel - Enrichir les entités avec des données de géolocalisation
`Advanced` 6.7.4 Workflow automatisé Les organisations du DoD se concentrent sur l’automatisation des fonctions et les playbooks d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR). Les processus manuels au sein des opérations de sécurité sont identifiés et entièrement automatisés quand c’est possible. Les processus manuels restants sont désactivés quand c’est possible ou marqués pour exception en utilisant une approche basée sur les risques. Résultats : – Les processus de workflow sont entièrement automatisés – Les processus manuels ont été identifiés – Les processus restants sont marqués comme exceptions et documentés	Playbooks Microsoft Sentinel Les playbooks Sentinel sont basés sur Logic Apps, un service cloud qui planifie, automatise et orchestre les tâches et les workflows entre les systèmes d’une entreprise. Créez des playbooks de réponse avec des modèles, déployez des solutions à partir du hub de contenu Sentinel. Créez des règles d’analyse et des actions de réponse personnalisées avec Azure Logic Apps. - Playbooks Sentinel à partir de modèles - Automatiser la réponse aux menaces avec des playbooks - Catalogue du hub de contenu Sentinel - Azure Logic Apps

Étapes suivantes

Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2024-04-16