DoD ゼロ トラスト戦略とロードマップは、国防総省の各部署と国防産業基盤 (DIB) パートナーによる、ゼロ トラストの原則に基づく新しいサイバーセキュリティ フレームワークを導入するための大まかな道筋を示しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。
ガイドの各セクションに移動するには次のリンクを使用してください。
6 オートメーションとオーケストレーション
このセクションでは、オートメーションとオーケストレーションの柱における DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。 詳しくは、「ゼロ トラストによる可視性、自動化、およびオーケストレーション」を参照してください。
6.1 ポリシー決定ポイント (PDP) とポリシー オーケストレーション
Microsoft Sentinel には、クラウドベースのリソースを通じたセキュリティ オーケストレーション、オートメーション、応答 (SOAR) 機能があります。 サイバー攻撃の検出と対応を自動化します。 Sentinel は、Microsoft Entra ID、Microsoft Defender XDR、Microsoft 365、Azure、および Microsoft 以外のプラットフォームと統合されます。 これらの拡張可能な統合により、Sentinel はプラットフォーム間でサイバーセキュリティの検出と対応のアクションを調整し、セキュリティ オペレーションの効果と効率を高めます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.1.1 ポリシー インベントリと開発DoD エンタープライズは組織と連携して、既存のサイバー セキュリティ ポリシーと標準をカタログ化し、インベントリを作成します。 ポリシーは、重要な ZT ターゲット機能を満たすために必要に応じて、柱をまたがるアクティビティの中で更新および作成されます。 結果: - 適用可能なコンプライアンスとリスク (RMF、NIST など) に関連してポリシーが収集されます - ZTRA に従って不足している柱と機能についてポリシーがレビューされます - ZTRA に従って機能を満たすようにポリシーの不足領域が更新されます |
Microsoft Purview Compliance Manager Microsoft Purview Compliance Manager を使用して、マルチクラウド環境内でコンプライアンスにアクセスし、管理します。 - Compliance Manager - Azure、Dynamics 365、Microsoft Purview - マルチクラウドのサポート Microsoft Defender for Cloud Defender for Cloud 規制コンプライアンス機能を使用して、マルチクラウド環境内での Azure Policy イニシアチブへのコンプライアンスを表示し、強化します。 - 規制コンプライアンスを向上させる - FedRAMP High 規制コンプライアンス - NIST SP 800-53 Rev. 5 規制コンプライアンス - CMMC 規制コンプライアンス Microsoft Sentinel Sentinel コンテンツ ハブには、ドメイン固有のセキュリティ要件を使用して進捗状況を視覚化および測定するためのソリューションがあります。 - Sentinel コンテンツ ハブ カタログ - DoD ZT Sentinel ブック - NIST SP 800-53 ソリューション |
Target
6.1.2 組織アクセス プロファイルDoD 組織は、ユーザー、データ、ネットワーク、およびデバイスの柱からのデータを使用して、ミッション/タスクおよび非ミッション/タスク DAAS アクセスの基本的なアクセス プロファイルを開発します。 DoD エンタープライズは組織と連携して、既存の組織セキュリティ プロファイルを使用してエンタープライズ セキュリティ プロファイルを開発し、DAAS に対する一般的なアクセス アプローチを作成します。 組織では段階的なアプローチを使用して、セキュリティ プロファイルの作成後に、ミッション/タスクの重要な DAAS アクセスに対するリスクを制限できます。 結果: - 組織スコープ プロファイルが作成され、ユーザー、データ、ネットワーク、およびデバイスの柱の機能を使用して DAAS へのアクセスを決定します - DAAS にアクセスするために初期のエンタープライズ プロファイル アクセス標準が開発されます - 可能な場合、組織プロファイルでは、ユーザー、データ、ネットワーク、およびデバイスの柱における企業の利用可能サービスを利用します |
条件付きアクセス 条件付きアクセスを使用して標準化された DoD ポリシー セットを定義します。 認証の強度、デバイスのコンプライアンス、ユーザーとサインインのリスク コントロールを含めます。 - 条件付きアクセス |
Target
6.1.3 エンタープライズ セキュリティ プロファイル Pt1エンタープライズ セキュリティ プロファイルは、最初はユーザー、データ、ネットワーク、およびデバイスの柱をカバーします。 既存の組織セキュリティ プロファイルは、非ミッション/タスク DAAS アクセス用に統合されています。 結果: - ユーザー、データ、ネットワーク、デバイスの柱の機能を使用して DAAS にアクセスするためのエンタープライズ プロファイルが作成されます - 非ミッション/タスクの重要な組織プロファイルは、標準化されたアプローチを使用してエンタープライズ プロファイルと統合されます |
アクティビティ 6.1.2 を完了します。 Microsoft Graph API Microsoft Graph API を使用して、条件付きアクセス ポリシー、テナント間アクセス設定、およびその他の Microsoft Entra 構成設定を管理およびデプロイします。 - プログラムによるアクセス - テナント間アクセス設定 API - Graph の機能とサービス |
Advanced
6.1.4 エンタープライズ セキュリティ プロファイル Pt2DoD 組織内の柱全体で最も広い範囲の DAAS へのアクセスを許可する最低限の数のエンタープライズ セキュリティ プロファイルが存在します。 ミッション/タスク組織プロファイルはエンタープライズ セキュリティ プロファイルと統合され、例外はリスクベースの方法論的なアプローチで管理されます。 結果: - エンタープライズ プロファイルが縮小および簡素化され、DAAS への最も幅広いアクセスがサポートされます - 適切な場合、ミッション/タスクの重要なプロファイルが統合され、サポートされている組織プロファイルが例外と見なされます |
条件付きアクセス 条件付きアクセスの分析情報とレポートのブックを使用して、条件付きアクセス ポリシーが自分の組織内に及ぼす影響を確認できます。 可能であれば、ポリシーを組み合わせます。 簡略化されたポリシー セットを使用すると、新しい条件付きアクセス機能の管理、トラブルシューティング、パイロット運用が簡単になります。 条件付きアクセス テンプレートを使用して、ポリシーをより簡単に作成できます。 - 分析情報とレポート - テンプレート What If ツールとレポート専用モードを使用して、新しいポリシーのトラブルシューティングと評価を行います。 - 条件付きアクセスのトラブルシューティング - レポート専用モード 信頼できるネットワークの場所への組織の依存を減らします。 GPS座標またはIPアドレスで決定された国/地域の場所を使用して、条件付きアクセスポリシーにおける場所条件を簡素化します。 - 場所の条件 カスタムセキュリティ属性 条件付きアクセスポリシーでカスタムセキュリティ属性およびアプリケーションフィルターを活用し、セキュリティ属性承認(例:感度)をアプリケーションオブジェクトに割り当てる際のスコープを設定します。 - カスタムセキュリティ属性 - アプリのフィルター処理 |
6.2 クリティカル プロセス オートメーション
Microsoft Sentinel オートメーションでは、一般に Tier-1 セキュリティ アナリストが実行するタスクが実行されます。 オートメーション ルールは、Azure Logic Apps を使用して、セキュリティ オペレーションを強化する詳細で自動化されたワークフローの開発を支援します。 例: インシデント エンリッチメント: 外部データ ソースにリンクして悪意のあるアクティビティを検出します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.2.1 タスク オートメーション分析DoD 組織は、手動と自動の両方の方法で実行できるすべてのタスク アクティビティを特定し、列挙します。 タスク アクティビティは、自動化カテゴリと手動カテゴリに分類されます。 手動アクティビティでは、廃止の可能性が分析されます。 結果: - 自動化可能なタスクが特定されます - タスクが列挙されます - ポリシー インベントリと開発 |
アクティビティ 6.1.1 を完了します。 Azure Resource Manager ARM テンプレートと Azure Blueprints を使用し、コードとしてのインフラストラクチャ (IaC) を使用してデプロイを自動化します。 - ARM テンプレート - Azure Blueprints Azure Policy イニシアチブ定義を使用して Azure Policy の割り当てを整理します。 - Azure Policy - イニシアチブ定義 Microsoft Defender for Cloud Defender for Cloud の規制標準とベンチマークをデプロイします。 - セキュリティ標準を割り当てる Microsoft Entra ID Governance アクセス パッケージ カタログを定義して、アクセス パッケージの割り当てとレビューの標準を確立します。 Azure Logic Apps を使用して ID ライフサイクル ワークフローを開発し、就職者、異動者、離職者、その他の自動化可能なタスクを自動化します。 - エンタイトルメント管理リソース - 外部ユーザー アクセス - アクセス レビューのデプロイ - ライフサイクル ワークフローを作成する |
Target
6.2.2 エンタープライズ統合とワークフロー プロビジョニング Pt1DoD エンタープライズは、ターゲット レベルの ZTA 機能を有効にするために必要なセキュリティ オーケストレーション、オートメーション、応答ソリューション (SOAR) 内でベースライン統合を確立します。 DoD 組織は、DoD エンタープライズ ベースラインに従って統合ポイントを特定し、主要なものに優先順位を付けます。 重要な統合が行われ、回復と保護の機能を有効にする主要なサービスを満たします。 結果: - 完全なエンタープライズ統合を実装します - 主要な統合を特定します - 回復と保護の要件を特定します |
Microsoft Sentinel 関連するデータ ソースを Sentinel に接続して、分析ルールを有効にします。 Microsoft 365、Microsoft Defender XDR、Microsoft Entra ID、Microsoft Entra ID Protection、Microsoft Defender for Cloud、Azure Firewall、Azure Resource Manager、Azure Monitor Agent (AMA) を使用したセキュリティ イベント、およびその他の API、Syslog、または共通イベント形式 (CEF) データ ソースのコネクタを含めます。 - Sentinel データ コネクタ - Sentinel での UEBA Microsoft Defender XDR デプロイされた Microsoft Defender XDR コンポーネントの統合を構成し、Microsoft Defender XDR を Sentinel に接続します。 - Defender XDR から Sentinel にデータを接続する 「デバイス」の Microsoft ガイダンス 2.7.2 を参照してください。 Defender XDR を使用して、脅威の検出、調査、アラート、対応を行います - 自動調査と対応 |
Advanced
6.2.3 エンタープライズ統合とワークフローのプロビジョニング Pt2DoD 組織は、環境に応じてベースライン要件と高度な ZTA 機能要件を満たすために残りのサービスを統合します。 サービス プロビジョニングは、必要な場合にワークフローに統合および自動化され、ZTA ターゲット機能を満たします。 結果: - 特定されたサービス - サービス プロビジョニングが実装されます |
Microsoft Defender XDR Microsoft Defender XDR は、ID、デバイス、データ、アプリケーションを保護します。 Defender XDR を使用してコンポーネントの統合を構成します - XDR ツールを設定する - Defender XDR での修復 Microsoft Sentinel Sentinel に新しいデータ ソースを接続し、標準およびカスタム分析ルールを有効にします - Sentinel での SOAR |
6.3 機械学習
Microsoft Defender XDR と Microsoft Sentinel は、人工知能 (AI)、機械学習 (ML)、脅威インテリジェンスを使用して、高度な脅威を検出し、対応します。 Microsoft Defender XDR、Microsoft Intune、Microsoft Entra ID Protection、条件付きアクセスの統合を使用し、リスク シグナルを使用してアダプティブ アクセス ポリシーを適用します。
Microsoft のセキュリティ スタックと ML については、「米国政府機関向けクラウドでの Security Copilot の準備」を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.3.1 データ タグ付けと分類 ML ツールの実装DoD 組織は、既存のデータ タグ付けと分類の標準と要件を利用して、必要に応じて機械学習ソリューションを調達します。 機械学習ソリューションは組織に実装され、既存のタグ付けおよび分類されたデータ リポジトリを使用してベースラインを設定します。 機械学習ソリューションは、監視対象のアプローチでデータ タグを適用して、分析を継続的に改善します。 結果: - 実装されたデータのタグ付けおよび分類ツールが ML ツールと統合されます |
Microsoft Purview サービス側 (Microsoft 365) とクライアント側 (Microsoft Office アプリ)、および Microsoft Purview データ マップで自動ラベル付けを構成します。 - データ マップの秘密度データ ラベル 「データ」の Microsoft ガイダンス 4.3.4 および 4.3.5 を参照してください。 |
6.4 人工知能
Microsoft Defender XDR と Microsoft Sentinel は、人工知能 (AI)、機械学習 (ML)、脅威インテリジェンスを使用して、高度な脅威を検出し、対応します。 Microsoft Defender XDR、Microsoft Intune、Microsoft Entra ID Protection、条件付きアクセス間の統合により、リスク シグナルを使用してアダプティブ アクセス ポリシーを適用できます。
Microsoft のセキュリティ スタックと AI については、「米国政府機関向けクラウドでの Security Copilot の準備」を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Advanced
6.4.1 AI オートメーション ツールの実装DoD 組織は、人工知能の既存の機械学習手法に基づいて改善の領域を特定します。 AI ソリューションは、特定された領域を要件として使用して識別、調達、実装されます。 結果: - AI ツールの要件を開発します - AI ツールを調達および実装します |
Microsoft Sentinel の Fusion Fusion は、Sentinel の高度なマルチステージ攻撃検出分析ルールです。 Fusion は、マルチステージ攻撃または持続的標的型攻撃 (APT) を検出する ML トレーニング済みの相関エンジンです。 捕捉が難しい異常な動作や不審なアクティビティを特定します。 インシデントは、少量、高忠実度、高重大度です。 - 高度なマルチステージ攻撃の検出 - カスタマイズ可能な異常 - 異常検出分析ルール Microsoft Entra ID Protection Identity Protection では、機械学習 (ML) アルゴリズムを使用して、ID ベースのリスクを検出し、修復します。 Microsoft Entra ID Protection を有効にして、ユーザーとサインインのリスクに対する条件付きアクセス ポリシーを作成します。 - Microsoft Entra ID Protection - リスク ポリシーを構成して有効にする Azure DDoS Protection Azure DDoS Protection は、インテリジェント トラフィック プロファイリングを使用してアプリケーション トラフィックについて学習し、トラフィックの変化に応じてプロファイルを調整します。 - Azure DDoS Protection |
Advanced
6.4.2 分析主導の AI が A&O の変更を決定する既存の機械学習機能を利用する DoD 組織は、ニューラル ネットワークなどの AI テクノロジを実装して使用し、オートメーションとオーケストレーションの決定を推進します。 意思決定は可能な限り AI に移行され、人間のスタッフは他の作業のために解放されます。 AI は、過去のパターンを利用して、リスクを軽減するために環境に先見的な変更を加えます。 結果: - AI は自動化されたワークフロー アクティビティに変更を加えることができます |
Microsoft Sentinel 分析ルールを有効にして、Microsoft Sentinel での Fusion と UEBA の異常により高度なマルチステージ攻撃を検出します。 セキュリティ対応のためのオートメーション ルールとプレイブックを設計します。 6.2.3 と 6.4.1 の Microsoft ガイダンスを参照してください。 |
6.5 セキュリティ オーケストレーション、オートメーション、応答 (SOAR)
Microsoft Defender XDR には、標準およびカスタマイズ可能な検出を備えた検出および応答機能があります。 Microsoft Sentinel 分析ルールを使用して機能を拡張し、Azure Logic Apps でセキュリティ オーケストレーション、オートメーション、応答 (SOAR) アクションをトリガーします。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.5.1 応答自動化分析DoD 組織は、手動と自動の両方の方法で実行されるすべての応答アクティビティを特定し、列挙します。 応答アクティビティは、自動化カテゴリと手動カテゴリに分類されます。 手動アクティビティでは、廃止の可能性が分析されます。 結果: - 自動化可能な応答アクティビティが特定されます - 応答アクティビティが列挙されます |
Microsoft Defender XDR Microsoft Defender XDR には、ファイル インシデントとデバイス インシデントに対する自動および手動の応答アクションがあります。 - Defender XDR でのインシデント |
Target
6.5.2 SOAR ツールの実装組織と連携する DoD エンタープライズは、ターゲット レベルの ZTA 機能を有効にするために、セキュリティ オーケストレーション、オートメーション、応答 (SOAR) ツールの要件の標準セットを開発します。 DoD 組織は、承認された要件を使用して SOAR ソリューションを調達し、実装します。 将来の SOAR 機能のための基本的なインフラストラクチャ統合が完了します。 結果: - SOAR ツールの要件を開発します - SOAR ツールを調達します |
Microsoft Defender XDR Microsoft Defender XDR 標準応答機能を使用します。 6.5.1 の Microsoft ガイダンスを参照してください。 Microsoft Sentinel Sentinel は、SOAR 機能に Azure Logic Apps を使用します。 Logic Apps を使用して、コードをほとんど、またはまったく使用せずに、自動化されたワークフローを作成し、実行します。 Logic Apps を使用して、Microsoft Sentinel の外部のリソースに接続し、操作します。 - オートメーション ルールを使用したプレイブック - プレイブックを使用して脅威への対応を自動化する |
Advanced
6.5.3 プレイブックの実装DoD 組織は、既存のすべてのプレイブックをレビューして、将来の自動化を特定します。 プレイブックがない既存の手動および自動化プロセスでは、プレイブックが開発されます。 プレイブックでは、クリティカル プロセスを対象とする自動化されたワークフロー アクティビティと統合されるオートメーションが優先されます。 プレイブックのない手動プロセスは、リスクベースの方法論的アプローチを使用して承認されます。 結果: - 可能な場合は、自動化されたワークフロー機能に基づいてプレイブックを自動化します - 手動プレイブックを開発して実装します |
Microsoft Sentinel 現在のセキュリティ プロセスを確認し、Microsoft クラウド導入フレームワーク (CAF) のベスト プラクティスを使用します。 SOAR 機能を拡張するには、プレイブックを作成してカスタマイズします。 Sentinel プレイブック テンプレートから始めます。 - セキュリティ オペレーション - SOC プロセス フレームワーク - テンプレートからのプレイブック |
6.6 API の標準化
Microsoft Graph API には、Microsoft クラウド サービスと対話するための標準インターフェイスがあります。 Azure API Management では、組織でホストされている API を保護できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.6.1 ツール コンプライアンス分析オートメーションとオーケストレーションのツールとソリューションは、DoD エンタープライズ プログラム インターフェイスの標準と要件に基づいてコンプライアンスと機能について分析されます。 プログラマティック インターフェイスの標準と要件をサポートするために、追加のツールまたはソリューションが特定されます。 結果: - API の状態が、API 標準に準拠している、または準拠していないと判断されます - 使用するツールが特定されます |
Microsoft Graph security API Microsoft Defender、Microsoft Sentinel、Microsoft Entra では API が文書化されています。 - Security API - Microsoft Graph の操作 - Identity Protection API 組織によって開発された API のベスト プラクティスに従います。 - アプリケーション プログラミング インターフェイス - RESTful Web API 設計 |
Target
6.6.2 標準化された API 呼び出しとスキーマ Pt1DoD エンタープライズは組織と連携して、ターゲット ZTA 機能を有効にするために必要に応じて、プログラマティック インターフェイス (API など) の標準と要件を設定します。 DoD 組織は、プログラマティック インターフェイスを新しい標準に更新し、新しく取得/開発したツールに新しい標準への準拠を義務付けます。 標準を満たすことができないツールは、リスクベースの方法論的アプローチを使用して例外によって許可されます。 結果: - 初期の呼び出しとスキーマが実装されます - 非準拠ツールが置き換えられます |
アクティビティ 6.6.1 を完了します。 Azure API Management Azure API Management を API ゲートウェイとして使用して、API と通信し、さまざまな API 用の一貫性のあるアクセス スキーマを作成します。 - Azure API Management Azure Automation ツール Azure Automation ツールを使用してゼロ トラスト アクションを調整します。 - Azure での統合とオートメーション |
Target
6.6.3 標準化された API 呼び出しとスキーマ Pt2DoD 組織は、新しいプログラマティック インターフェイス標準への移行を完了します。 前のアクティビティで使用停止としてマークされたツールは廃止され、機能は最新化されたツールに移行されます。 承認されたスキーマは、DoD エンタープライズの標準/要件に基づいて採用されます。 結果: - すべての呼び出しとスキーマが実装されます |
Microsoft Sentinel Sentinel をオーケストレーション エンジンとして使用して、このドキュメントに記載されているオートメーション ツールでアクションをトリガーおよび実行します。 - プレイブックを使用して脅威への対応を自動化する |
6.7 セキュリティ オペレーション センター (SOC) とインシデント対応 (IR)
Microsoft Sentinel は、セキュリティ インシデントを調査および管理するためのケース管理ソリューションです。 セキュリティ対応アクションを自動化するには、脅威インテリジェンス ソリューションを接続し、Sentinel ソリューションをデプロイします。さらに、ユーザー エンティティ動作分析 (UEBA) を有効にして、Azure Logic Apps でプレイブックを作成します。
SOC の成熟度を高める方法については、Sentinel のインシデント調査とケース管理に関する記事を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
6.7.1 ワークフロー エンリッチメント Pt1DoD エンタープライズは組織と連携し、NIST などの業界のベスト プラクティスを使用してサイバーセキュリティ インシデント対応標準を確立します。 DoD 組織はエンタープライズ標準を利用して、インシデント対応ワークフローを決定します。 将来の統合のためにエンリッチメントの外部ソースが特定されます。 結果: - 脅威イベントが特定されます - 脅威イベントのワークフローが開発されます |
Microsoft Sentinel データ コネクタ Microsoft Defender Threat Intelligence を Sentinel に接続して Sentinel ワークフローをエンリッチします。 - Defender 脅威インテリジェンス用データ コネクタ Microsoft Sentinel ソリューション Sentinel ソリューションを使用して業界のベスト プラクティスを確認します。 - NIST 800-53 ソリューション - CMMS 2.0 ソリューション - DoD ZT Sentinel ブック - Sentinel のコンテンツとソリューション |
Target
6.7.2 ワークフロー エンリッチメント Pt2DoD 組織は、追加のインシデント対応の種類の拡張ワークフローを特定し、確立します。 初期のエンリッチメント データ ソースは、既存のワークフローに使用されます。 追加のエンリッチメント ソースは、将来の統合のために特定されます。 結果: - 高度な脅威イベント用のワークフローが開発されます - 高度な脅威イベントが特定されます |
Microsoft Sentinel Fusion での高度なマルチステージ攻撃検出と、Microsoft Sentinel の UEBA 異常検出分析ルールを使用して、自動化されたセキュリティ対応プレイブックをトリガーします。 このセクションの 6.2.3 および 6.4.1 の Microsoft ガイダンスを参照してください。 Sentinel ワークフローをエンリッチするには、Microsoft Defender 脅威インテリジェンスとその他の脅威インテリジェンス プラットフォーム ソリューションを Microsoft Sentinel に接続します。 - 脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する - Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する 6.7.1 の Microsoft ガイダンスを参照してください。 |
Advanced
6.7.3 ワークフロー エンリッチメント Pt3DoD 組織は、基本的および拡張された脅威対応ワークフローで最終的なエンリッチメント データ ソースを使用します。 結果: - エンリッチメント データが特定されます - エンリッチメント データがワークフローに統合されます |
Microsoft Sentinel Sentinel で脅威インテリジェンスの結果を向上させるためにエンティティを追加します。 - Sentinel 内でインシデントを管理するタスク - 位置情報データを使用してエンティティをエンリッチする 調査ワークフローをエンリッチし、Sentinel 内でインシデントを管理します。 - Sentinel 内でインシデントを管理するタスク - 位置情報データを使用してエンティティをエンリッチする |
Advanced
6.7.4 自動化されたワークフローDoD 組織は、セキュリティ オーケストレーション、オートメーション、応答 (SOAR) 機能とプレイブックの自動化に注目しています。 セキュリティ オペレーション内の手動プロセスが特定され、可能な限り完全に自動化されます。 残りの手動プロセスは、可能であれば使用停止されるか、リスクベースのアプローチを使用して例外としてマークされます。 結果: - ワークフロー プロセスが完全に自動化されます - 手動プロセスが特定されます - 残りのプロセスが例外としてマークされ、文書化されます |
Microsoft Sentinel playbooks Sentinel プレイブックは、エンタープライズ システム全体でタスクとワークフローをスケジュール、自動化、調整するクラウド サービスである Logic Apps です。 テンプレートを使用して応答プレイブックを構築し、Sentinel コンテンツ ハブからソリューションをデプロイします。 Azure Logic Apps を使用してカスタム分析ルールと応答アクションを構築します。 - テンプレートからの Sentinel プレイブック - プレイブックを使用して脅威への対応を自動化する - Sentinel コンテンツ ハブ カタログ - Azure Logic Apps |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。