Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.
Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.
Utiliser les liens suivants pour accéder aux sections du guide.
- Introduction
- Utilisateur
- Appareil
- Applications et charges de travail
- Données
- Réseau
- Automatisation et orchestration
- Visibilité et analyse
7 Visibilité et analyse
Cette section propose des conseils et des recommandations Microsoft pour les activités de Confiance Zéro du DoD dans le pilier Visibilité et analyse. Pour en savoir plus, consultez Visibilité, automatisation et orchestration avec Confiance Zéro.
7.1 Journaliser tout le trafic
Microsoft Sentinel est un système SIEM (gestion des informations et des événements de sécurité) natif Cloud scalable. Sentinel est également une solution SOAR (orchestration, automatisation et réponse en matière de sécurité) pour gérer de grands volumes de données provenant de différentes sources. Les connecteurs de données Sentinel ingèrent les données des utilisateurs, des appareils, des applications et de l’infrastructure, localement et dans plusieurs clouds.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
7.1.1 Considérations d’échelleLes organisations du DoD effectuent une analyse pour déterminer les besoins actuels et futurs en matière de mise à l’échelle. La mise à l’échelle est analysée selon les bonnes pratiques courantes du secteur et les piliers ZT. L’équipe travaille avec les groupes existants BCP (Business Continuity Planning) et DPR (Disaster Recovery Planning) pour déterminer les besoins en matière d’environnement distribué en cas d’urgence et quand les organisations se développent en taille. Résultats : - Infrastructure suffisante en place - Environnement distribué établi - Bande passante suffisante pour le trafic réseau |
Microsoft Sentinel Sentinel utilise un espace de travail Log Analytics pour stocker les données des journaux de sécurité destinées à l’analyse. Log Analytics est une plateforme en tant que service (PaaS) dans Azure. Il n’y a pas d’infrastructure à gérer ou à créer. - Architecture d’espace de travail - Bonnes pratiques en matière d’architecture d’espace de travail - Réduire les coûts pour Sentinel Agent Azure Monitor Diffusez les journaux en streaming avec l’agent Azure Monitor pour les machines virtuelles (VMs) ainsi que des appliances réseau localement et dans d’autres clouds. - Événements de sécurité Windows avec AMA - Diffuser les journaux en streaming au format CEF et Syslog - Collecte des données - Point de référence des performances de l’agent Azure Monitor - Ingestion scalable Infrastructure réseau Veillez à ce que l’infrastructure réseau corresponde aux exigences de bande passante de Microsoft 365 et du monitoring de sécurité basé sur le cloud pour les serveurs locaux. - Connectivité réseau Microsoft 365 - Planification et réglage des performances du réseau - Azure ExpressRoute - Exigences réseau de l’agent de la machine connectée Gestion de la continuité d’activité dans Azure Azure propose des programmes matures de gestion de la continuité d’activité pour plusieurs secteurs d’activité. Passez en revue la gestion de la continuité d’activité et la répartition des responsabilités. - Gestion de la continuité d’activité - Conseils pour la fiabilité |
Target
7.1.2 Analyse des journauxLes organisations du DoD identifient et hiérarchisent les sources des journaux et des flux (par exemple, pare-feu, détection de point de terminaison et réponse, Active Directory, commutateurs, routeurs, etc.), et développent un plan de collecte des journaux haute priorité d’abord, puis basse priorité. Un format de journal ouvert standardisé est convenu au niveau de l’infrastructure globale du DoD avec les organisations, et implémenté dans les futures exigences en matière d’approvisionnement. Les solutions et les technologies existantes sont migrées vers le format de manière continue. Résultats : - Formats de journal standardisés - Règles développées pour chaque format de journal |
Connecteurs de données Microsoft Sentinel Connectez les sources de données appropriées à Sentinel. Activez et configurez des règles analytiques. Les connecteurs de données utilisent des formats de journal standardisés. - Monitorer les architectures de sécurité Confiance Zéro - Créer des connecteurs personnalisés Sentinel - API d’ingestion des journaux dans Azure Monitor Consultez les conseils Microsoft 6.2.2 dans Automatisation et orchestration. Standardisez la journalisation au format CEF (Common Event Format), une norme du secteur utilisée par les fournisseurs de sécurité pour l’interopérabilité des événements entre plateformes. Utilisez Syslog pour les systèmes qui ne prennent pas en charge les journaux au format CEF. - CEF avec le connecteur Azure Monitor pour Sentinel - Ingérer des messages Syslog et CEF dans Sentinel avec Azure Monitor Utilisez le modèle ASIM (Advanced Security Information Model) (préversion publique) pour collecter et voir les données de plusieurs sources avec un schéma normalisé. - ASIM pour normaliser les données |
Target
7.1.3 Analyse des journauxLes activités courantes des utilisateurs et des appareils sont identifiées et hiérarchisées en fonction du risque. Pour les activités considérées comme les plus simplistes et risquées, une analytique est créée en utilisant différentes sources de données, comme les journaux. Les tendances et les modèles sont développés en fonction de l’analyse collectée pour examiner les activités sur de longues périodes. Résultats : - Développer une analytique par activité - Identifier les activités à analyser |
Effectuez l’activité 7.1.2. Microsoft Defender XDR Microsoft Defender XDR est une suite unifiée de défense d’entreprise efficace avant et après violation, qui coordonne en mode natif la détection, la prévention, l’investigation et la réponse sur l’ensemble des points de terminaison, des identités, des e-mails et des applications. Utilisez Defender XDR pour vous protéger contre les attaques sophistiquées et y répondre. - Investiguer les alertes - Confiance Zéro avec Defender XDR - Defender XDR pour le gouvernement américain Microsoft Sentinel Développez des requêtes analytiques personnalisées et visualisez les données collectées avec des workbooks. - Règles analytiques personnalisées pour détecter les menaces - Visualiser les données collectées |
7.2 Informations de sécurité et gestion des événements
Microsoft Defender XDR et Microsoft Sentinel travaillent ensemble pour détecter les menaces de sécurité, envoyer des alertes sur ces menaces et y répondre. Microsoft Defender XDR détecte les menaces dans Microsoft 365, les identités, les appareils, les applications et l’infrastructure. Defender XR génère des alertes dans le portail Microsoft Defender. Connectez des alertes et des données brutes de Microsoft Defender XDR à Sentinel, et utilisez des règles analytiques avancées pour mettre en corrélation les événements et générer des incidents pour les alertes haute fidélité.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
7.2.1 Alertes de menace Pt1Les organisations du DoD utilisent la solution SIEM (gestion des informations et des événements de sécurité) existante pour développer des règles de base et des alertes pour les événements de menace courants (programmes malveillants, hameçonnage, etc.) Les alertes et/ou les déclenchements de règles sont alimentés dans l’activité parallèle « ID de ressource et corrélation des alertes » pour automatiser les réponses. Résultat : - Règles développées pour la corrélation des menaces |
Microsoft Defender XDR Microsoft Defender XDR propose des alertes pour les menaces détectées dans l’ensemble des points de terminaison multiplateformes, identités, e-mails, outils de collaboration, applications et infrastructure cloud. La plateforme agrège automatiquement les alertes associées dans des incidents pour simplifier la révision de sécurité. - Analyse des alertes Règles analytiques Microsoft Sentinel Activez des règles analytiques standard pour les sources de données connectées et créez des règles analytiques personnalisées pour détecter les menaces dans Sentinel. Consultez les conseils Microsoft dans la section 7.1.3. |
Target
7.2.2 Alertes de menace Pt2Les organisations du DoD étendent les alertes de menace dans la solution SIEM (gestion des informations et des événements de sécurité) aux flux de données de veille des cybermenaces (CTI, Cyber Threat Intelligence). Des règles de déviation et d’anomalie sont développées dans la solution SIEM pour détecter les menaces avancées. Résultat : - Développer une analytique pour détecter les déviations |
Microsoft Sentinel Threat Intelligence Connectez des flux CTI (veille des cybermenaces) à Sentinel. - Veille des menaces Consultez les conseils Microsoft 6.7.1 et 6.7.2 dans Automatisation et orchestration. Solutions Microsoft Sentinel Utilisez des règles analytiques et des workbooks dans le hub de contenu Microsoft Sentinel. - Contenu et solutions Sentinel Règles analytiques Microsoft Sentinel Créez des règles analytiques planifiées pour détecter les déviations, créer des incidents et déclencher des actions d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR). - Règles analytiques personnalisées pour détecter les menaces |
Advanced
7.2.3 Alertes de menace Pt3Les alertes de menace sont étendues aux sources de données avancées comme XDR (détection étendue et réponse), UEBA (analyse des comportements des utilisateurs et des entités) et UAM (monitoring des activités utilisateur). Ces sources de données avancées sont utilisées pour développer des détections améliorées des activités anormales et de celles qui suivent un schéma. Résultats : - Identifier le déclenchement d’événements anormaux - Implémenter une stratégie de déclenchement |
Connecteurs de données Microsoft Sentinel Connectez Microsoft Defender XDR à Sentinel pour agréger des alertes, des incidents et des données brutes. - Connecter Defender XDR à Sentinel Anomalies personnalisables Microsoft Sentinel Utilisez des modèles d’anomalie personnalisables Microsoft Sentinel pour réduire le bruit avec des règles de détection d’anomalie - Anomalies personnalisables pour détecter les menaces Fusion dans Microsoft Sentinel Le moteur Fusion met en corrélation les alertes pour détecter les attaques multi-étapes avancées. - Détections du moteur Fusion Consultez les conseils Microsoft 6.4.1 dans Automatisation et orchestration. |
Target
7.2.4 ID de ressource et corrélation des alertesLes organisations du DoD développent des règles de corrélation de base en utilisant des données de ressource et d’alerte. La réponse aux événements de menace courants (par exemple, les programmes malveillants, le hameçonnage, etc.) est automatisée dans la solution SIEM (gestion des informations et des événements de sécurité). Résultat : - Règles développées pour des réponses basées sur l’ID de ressource |
Microsoft Defender XDR Microsoft Defender XDR met en corrélation les signaux de l’ensemble des points de terminaison multiplateformes, identités, e-mails, outils de collaboration, applications et infrastructure cloud. Configurez l’auto-réparation avec les fonctionnalités d’investigation et de réponse automatisées de Microsoft Defender. - Microsoft Defender XDR - Investigation et réponse automatisées Entités Microsoft Sentinel Les alertes que reçoit Sentinel ou qu’il génère contiennent des éléments de données que Sentinel classifie dans des entités : comptes d’utilisateur, hôtes, fichiers, processus, adresses IP, URL. Utilisez les pages des entités pour voir les informations de l’entité, analyser le comportement et améliorer les investigations. - Classifier et analyser les données avec des entités - Investiguer les pages d’entité |
Target
7.2.5 Bases de référence utilisateur/appareilLes organisations du DoD développent des approches de base de référence pour les utilisateurs et les appareils, basées sur les standard de l’entreprise DoD pour le pilier approprié. Les attributs utilisés dans la base de référence sont extraits des standard de l’infrastructure globale développés dans les activités inter-piliers. Résultat : - Identifier les bases de référence des utilisateurs et des appareils |
Connecteurs de données Microsoft Sentinel Établissez une base de référence d’ingestion de données pour Sentinel. Au minimum, ajoutez les connecteurs Microsoft Entra ID et Microsoft Defender XDR, configurez des règles analytiques standard et activez l’analyse du comportement des entités et des utilisateurs (UEBA). - Connecter Defender XDR à Sentinel - Activer UEBA Azure Lighthouse Configurez Azure Lighthouse pour gérer les espaces de travail Sentinel dans plusieurs locataires. - Étendre Sentinel à tous les espaces de travail et les locataires - Opérations multilocataires pour les organisations de défense |
7.3 Analytique commune de la sécurité et des risques
Microsoft Defender XDR propose des détections de menace, des analyses et des alertes standard. Utilisez des règles analytiques en quasi temps réel personnalisables Microsoft Sentinel pour vous aider à mettre en corrélation et détecter les anomalies dans l’ensemble des sources de données connectées, et générer des alertes.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
7.3.1 Implémenter des outils analytiquesLes organisations du DoD apportent et implémentent des outils analytiques de base cyber-ciblés. Le développement analytique est hiérarchisé en fonction du risque et de la complexité, en recherchant d’abord une analytique facilement impactante. Le développement analytique continu se concentre sur les exigences du pilier pour mieux répondre aux besoins en matière de rapport. Résultats : - Développer des exigences pour l’environnement analytique - Procurer et implémenter des outils analytiques |
Microsoft Defender XDR et Microsoft Sentinel Configurez l’intégration de Microsoft Defender XDR et Sentinel. - Microsoft Defender XDR - Sentinel et Defender XDR pour la Confiance Zéro |
Target
7.3.2 Établir des comportements de référence pour les utilisateursEn utilisant l’analytique développée pour les utilisateurs et les appareils dans une activité parallèle, les bases de référence sont établies dans une solution technique. Ces bases de référence sont initialement appliquées à un ensemble identifié d’utilisateurs en fonction du risque, puis étendues à la base d’utilisateurs plus grande des organisations du DoD. La solution technique utilisée est intégrée aux fonctionnalités de Machine Learning pour commencer l’automatisation. Résultats : - Identifier les utilisateurs pour la base de référence - Établir des bases de référence basées sur le ML |
Microsoft Defender XDR La détection et la réponse automatisées intégrées de Microsoft Defender XDR représentent la première ligne de défense. Les conseils des piliers Utilisateur et Appareil établissent un comportement de référence et appliquent des stratégies avec les signaux de Microsoft Defender XDR dans Microsoft Intune (conformité des appareils) et l’accès conditionnel (appareil conforme et risque d’identité). Consultez les conseils Microsoft dans Utilisateur et Appareil. Règles analytiques Microsoft Sentinel Utilisez Sentinel pour mettre en corrélation les événements, détecter les menaces et déclencher des actions de réponse. Connectez les sources de données appropriées à Sentinel et créez des règles analytiques en quasi-temps réel pour détecter les menaces pendant l’ingestion des données. - Détecter les menaces Consultez les conseils Microsoft dans la section7.2.5. Notebooks Microsoft Sentinel Créez des modèles ML personnalisés pour analyser les données Sentinel avec des notebooks Jupyter et la plateforme BYO-ML (bring-your-own-Machine-Learning). - BYO-ML dans Sentinel - Notebooks Jupyter et MSTICPy |
7.4 Analyse du comportement des entités et des utilisateurs
Microsoft Defender XDR et Microsoft Sentinel détectent les anomalies à partir de l’analyse du comportement des entités et des utilisateurs (UEBA). Détecter les anomalies dans Sentinel avec des règles analytiques Fusion, UEBA et Machine Learning (ML). Par ailleurs, Sentinel intègre Azure Notebooks (Jupyter Notebook) pour la fonctionnalité BYO-ML (bring-your-own-Machine-Learning) et la fonctionnalité de visualisation.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
7.4.1 Base de référence et profilage Pt1En utilisant l’analytique développée pour les utilisateurs et les appareils dans une activité parallèle, des profils communs sont créés pour les types d’utilisateurs et d’appareils classiques. L’analytique tirée des bases de référence est mise à jour pour englober les conteneurs et les profils plus grands. Résultats : - Développer une analytique pour détecter les changements des conditions de menace - Identifier les profils de menace des utilisateurs et des appareils |
Microsoft Defender XDR Visitez le portail Microsoft Defender pour avoir une vue unifiée des incidents, des alertes, des rapports et de l’analyse des menaces. Utilisez le degré de sécurisation Microsoft pour évaluer et améliorer la posture de sécurité. Créez des détections personnalisées pour monitorer les événements de sécurité dans Microsoft Defender XDR et y répondre. - Portail Microsoft Defender - Évaluer la posture de sécurité avec le degré de sécurisation - Détections personnalisées Microsoft Sentinel Utilisez des workbooks pour visualiser et monitorer les données. Créez des règles analytiques personnalisées et activez la détection d’anomalie pour identifier les changements de conditions de menace et envoyer des alertes. - Visualiser et monitorer les données - Analytique personnalisée pour détecter les menaces - Personnaliser les anomalies pour détecter les menaces |
Advanced
7.4.2 Base de référence et profilage Pt2Les organisations du DoD développent les bases de référence et les profils pour inclure des types d’appareil non managés et non standard, y compris l’Internet des objets (IoT) et la technologie opérationnelle (OT) en monitorant la sortie des données. Ces appareils sont à nouveau profilés en fonction des attributs standardisés et des cas d’usage. L’analytique est mise à jour pour prendre en compte les nouvelles bases de référence et les nouveaux profils, ce qui produit d’autres détections et réponses. Les utilisateurs et appareils à risque spécifiques sont automatiquement hiérarchisés pour renforcer le monitoring en fonction du risque. La détection et la réponse sont intégrées aux fonctionnalités inter-piliers. Résultats : - Ajouter des profils de menace pour les appareils IoT et OT - Développer et étendre l’analytique - Étendre les profils de menace aux utilisateurs et appareils individuels |
Microsoft Defender XDR Découvrez et sécurisez les appareils non managés avec Microsoft Defender for Endpoint. - Découverte d’appareils - Attachement de locataire pour prendre en charge les stratégies de sécurité de point de terminaison d’Intune - Sécuriser les appareils managés et non managés - Analyses d’appareils réseau authentifiés - Analyse authentifiée des appareils Windows non managés Microsoft Defender pour IoT Déployer des capteurs Defender pour IoT dans des réseaux de technologie opérationnelle (OT). Defender pour IoT prend en charge le monitoring des appareils sans agent pour les réseaux OT hybrides, cloud, locaux. Activez le mode d’apprentissage pour établir une base de référence de votre environnement et connectez Defender pour IoT à Microsoft Sentinel. - Defender pour IoT pour les organisations - Monitoring OT - Base de référence apprise des alertes OT - Connecter Defender pour IoT à Sentinel - Investiguer les entités avec les pages d’entité |
Advanced
7.4.3 Prise en charge de la base de référence UEBA Pt1L’analyse du comportement des utilisateurs et des entités (UEBA) au sein des organisations du DoD étend le monitoring à des analyses avancées comme le Machine Learning (ML). Ces résultats sont à leur tour examinés et renvoyés dans les algorithmes ML pour améliorer la détection et la réponse. Résultat : - Implémenter l’analytique basée sur le ML pour détecter les anomalies |
Effectuez l’activité 7.3.2. Règles analytiques Microsoft Sentinel Sentinel utilise deux modèles pour créer des bases de référence et détecter les anomalies, UEBA et le Machine Learning. - Anomalies détectées Anomalies UEBA UEBA détecte les anomalies en fonction de bases de référence d’entité dynamiques. - Activer UEBA - Anomalies UEBA Anomalies Machine Learning Les anomalies ML identifient un comportement inhabituel avec des modèles de règles analytiques standard. - Anomalies ML |
Advanced
7.4.4 Prise en charge de la base de référence UEBA Pt2L’analyse du comportement des utilisateurs et des entités (UEBA) au sein des organisations du DoD se développe en utilisant les résultats traditionnels et basés sur le Machine Learning (ML) et en les intégrant dans des algorithmes d’intelligence artificielle (IA). Les détections basées initialement sur l’IA sont supervisées, mais grâce aux techniques avancées comme les réseaux neuronaux, les opérateurs UEBA ne font finalement pas partie du processus d’apprentissage. Résultat : - Implémenter l’analytique basée sur le ML pour détecter les anomalies (détections par IA supervisées) |
Fusion dans Microsoft Sentinel Utilisez la détection avancée des attaques multi-étapes dans une règle analytique Fusion, dans Sentinel. Fusion est un moteur de corrélation entraîné par le ML qui détecte les attaques multi-étapes et les menaces persistantes avancées (APT). Il identifie des combinaisons de comportements anormaux et d’activités suspectes, difficiles à intercepter autrement. - Détection avancée des attaques multi-étapes Notebooks Microsoft Sentinel Créez vos propres modèles ML personnalisés pour analyser les données Microsoft Sentinel avec des notebooks Jupyter et la plateforme BYO-ML (bring-your-own-Machine-Learning). - BYO-ML dans sentinel - Notebooks Jupyter et MSTICPy |
7.5 Intégration de la veille des menaces
Microsoft Defender Threat Intelligence simplifie le triage, la réponse aux incidents, la chasse aux menaces, la gestion des vulnérabilités et la veille des cybermenaces (CTI) effectués par les experts Microsoft spécialisés dans les menaces et d’autres sources. Microsoft Sentinel se connecte à Microsoft Defender Threat Intelligence et aux sources CTI tierces.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Target
7.5.1 Programme de veille des cybermenaces Pt1L’entreprise DoD collabore avec les organisations pour développer une stratégie, une norme et un processus dans le cadre du programme de veille des cybermenaces (CTI). Les organisations utilisent cette documentation pour développer des équipes CTI organisationnelles avec les principales parties prenantes de mission/tâche. Les équipes CTI intègrent les flux courants de données à la gestion des informations et des événements de sécurité (SIEM) pour améliorer les alertes et les réponses. Des intégrations aux points d’application Appareil et Réseau (par exemple, pare-feu, suites de sécurité de point de terminaison, etc.) sont créées pour effectuer un monitoring de base des données pilotées par CTI. Résultats : - Une équipe de veille des cybermenaces est en place avec les parties prenantes critiques - Les flux CTI publics et de référence sont utilisés par la solution SIEM pour les alertes - Des points d’intégration de base coexistent avec les points d’application Appareil et Réseau (par exemple, NGAV, NGFW, NG-IPS) |
Microsoft Defender Threat Intelligence Connectez Defender Threat Intelligence et d’autres flux de veille des menaces à Sentinel. - Defender Threat Intelligence - Activez le connecteur de données pour Defender Threat Intelligence - Connectez des plateformes de veille des menaces à Sentinel Réseau Azure Intégrez des ressources réseau à Microsoft Sentinel. - Sentinel avec le pare-feu d’application web Azure - Pare-feu Azure avec Sentinel |
Target
7.5.2 Programme de veille des cybermenaces Pt2Les organisations du DoD renforcent leurs équipes de veille des cybermenaces (CTI) avec des nouvelles parties prenantes selon les besoins. Des flux de données CTI authentifiés, privés et contrôlés sont intégrés à la solution SIEM (gestion des informations et des événements de sécurité) et aux points d’application des piliers Appareil, Utilisateur, Réseau et Données. Résultats : - Une équipe de veille des cybermenaces est en place avec d’autres parties prenantes selon les besoins - Un flux contrôlé et privé est utilisé par la solution SIEM et d’autres outils analytiques appropriés pour les alertes et le monitoring - Une intégration est en place pour davantage de points d’application dans les piliers Appareil, Utilisateur, Réseau et Données (UEBA, UAM) |
Connecteurs de données Microsoft Sentinel Gérez les ressources réseau dans Azure avec l’API REST. Établissez une intégration de base des points d’application réseau en utilisant des playbooks Sentinel et Logic Apps. - Opérations REST de réseau virtuel - Réponse aux menaces avec des playbooks Sentinel Recherchez des playbooks pour d’autres points d’application réseau dans le dépôt de playbooks Sentinel. - Playbooks Sentinel dans GitHub |
7.6 Stratégies dynamiques automatisées
La pile de sécurité Microsoft utilise le Machine Learning (ML) et l’intelligence artificielle (IA) pour protéger les identités, les appareils, les applications, les données et l’infrastructure. Avec Microsoft Defender XDR et l’accès conditionnel, les détections ML établissent des niveaux de risque agrégés pour les utilisateurs et les appareils.
Utilisez le risque d’appareil pour marquer un appareil comme non conforme. Le niveau de risque d’identité permet aux organisations d’exiger des méthodes d’authentification résistantes au hameçonnage, des appareils conformes, une plus grande fréquence de connexion, etc. Utilisez des conditions de risque et des contrôles d’accès conditionnel pour appliquer des stratégies d’accès dynamiques automatisées.
| Description et résultat de l’activité du DoD | Conseils et recommandations de Microsoft |
|---|---|
Advanced
7.6.1 Accès réseau piloté par l’IALes organisations du DoD utilisent l’infrastructure SDN et des profils de sécurité d’entreprise pour activer l’accès réseau piloté par l’intelligence artificielle (IA) et le Machine Learning (ML). L’analyse des activités précédentes est utilisée pour montrer aux algorithmes IA/ML comment améliorer la prise de décision. Résultat : - L’accès réseau est piloté par l’IA en fonction de l’analyse de l’environnement |
Microsoft Defender XDR La perturbation automatique des attaques dans Microsoft Defender XDR limite le mouvement latéral. Cette action réduit les effets d’une attaque par ransomware. Les chercheurs en sécurité Microsoft utilisent des modèles d’IA pour contrer la complexité des attaques avancées avec Defender XDR. La solution met en corrélation les signaux dans des incidents haute confiance pour identifier et contenir les attaques en temps réel. - Perturbations d’attaque Les fonctionnalités de protection réseau dans Microsoft Defender SmartScreen et la protection web s’étendent au système d’exploitation pour bloquer les attaques par commande et contrôle (C2). - Protégez votre réseau - L’IA pour perturber les ransomwares gérés par l’homme) Microsoft Sentinel Utilisez le Pare-feu Azure pour visualiser les activités de pare-feu, détecter les menaces avec les fonctionnalités d’investigation de l’IA, mettre en corrélation les activités et automatiser les actions de réponse. - Pare-feu Azure avec Sentinel |
Advanced
7.6.2 Contrôle d’accès dynamique piloté par l’IALes organisations du DoD utilisent l’accès dynamique basé sur les règles précédentes pour montrer aux algorithmes d’intelligence artificielle (IA) et de Machine Learning (ML) comment prendre une décision d’accès pour différentes ressources. Les algorithmes de l’activité « Accès réseau piloté par l’IA » sont mis à jour pour étendre la prise de décision à toutes les DAAS. Résultat : - Les accès JIT/JEA sont intégrés à l’IA |
Accès conditionnel Exigez le niveau de risque de machine Microsoft Defender for Endpoint dans la stratégie de conformité Microsoft Intune. Utilisez la conformité des appareils et les conditions de risque Protection Microsoft Entra ID dans les stratégies d’accès conditionnel. - Stratégies d’accès basées sur les risques - Stratégies de conformité pour définir des règles pour les appareils gérés par Intune Privileged Identity Management Utilisez les signaux de niveau de risque de protection des identités et de conformité des appareils pour définir un contexte d’authentification pour l’accès privilégié. Exigez un contexte d’authentification pour les demandes PIM afin d’appliquer des stratégies pour l’accès juste-à-temps (JIT). Consultez les conseils Microsoft 7.6.1 dans cette section et 1.4.4 dans Utilisateur. |
Étapes suivantes
Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :
- Introduction
- Utilisateur
- Appareil
- Applications et charges de travail
- Données
- Réseau
- Automatisation et orchestration
- Visibilité et analyse