DoD ゼロ トラスト戦略とロードマップは、国防総省の各部署と国防産業基盤 (DIB) パートナーによる、ゼロ トラストの原則に基づく新しいサイバーセキュリティ フレームワークを導入するための大まかな道筋を示しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。
ガイドの各セクションに移動するには次のリンクを使用してください。
- はじめに
- 利用者
- デバイス
- アプリケーションとワークロード
- データ
- ネットワーク
- 自動化とオーケストレーション
- 可視性と分析
7 可視性と分析
このセクションでは、可視性と分析の柱における DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。 詳しくは、「ゼロ トラストによる可視性、自動化、およびオーケストレーション」を参照してください。
7.1 すべてのトラフィックをログする
Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) システムです。 また、Sentinel はセキュリティ オーケストレーション、オートメーション、応答 (SOAR) ソリューションで、さまざまなソースからの大量のデータを処理します。 Sentinel のデータ コネクタは、オンプレミスと複数のクラウド内の両方で、ユーザー、デバイス、アプリケーション、インフラストラクチャ全体を対象にデータを取り込みます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
7.1.1 スケールに関する考慮事項DoD の組織は、現在と将来のスケーリングのニーズを判断するために、分析を行います。 スケーリングは、業界でベスト プラクティスとされる一般的な手法と ZT の柱に従って分析されます。 チームは、既存の事業継続計画 (BCP) やディザスター リカバリー計画 (DPR) のグループと連携して、緊急時および組織の成長に合わせた分散環境のニーズを判断します。 結果: - 十分なインフラストラクチャの配置 - 分散環境の確立 - ネットワーク トラフィックに十分な帯域幅 |
Microsoft Sentinel Sentinel では、Log Analytics ワークスペースを使用して、分析のためのセキュリティ ログ データを格納します。 Log Analytics は、Azure のサービスとしてのプラットフォーム (PaaS) です。 管理またはビルドするインフラストラクチャはありません。 - ワークスペース アーキテクチャ - ワークスペース アーキテクチャのベスト プラクティス - Sentinel のコストの削減 Azure Monitor エージェント 仮想マシン(VM) およびオンプレミスや他のクラウドのネットワーク アプライアンス用の Azure Monitor エージェントを使用したログのストリーミング - AMA を使用した Windows セキュリティ イベント - CEF 形式と Syslog 形式によるログのストリーミング - データ収集 - Azure Monitor エージェントのパフォーマンスのベンチマーク - スケーラブルな取り込み ネットワーク インフラストラクチャ ネットワーク インフラストラクチャが Microsoft 365 とオンプレミス サーバーのクラウドベースのセキュリティ監視に必要な帯域幅を満たしていることを確認します。 - Microsoft 365 ネットワークの接続性 - ネットワーク計画とパフォーマンス チューニング - Azure ExpressRoute - Connected Machine エージェントのネットワーク要件 Azure のビジネス継続性管理管理 Azure には、複数の業界向けの成熟したビジネス継続性管理プログラムがあります。 事業継続管理と責任の分担を確認します。 - 事業継続管理 - 信頼性に関するガイダンス |
Target
7.1.2 ログ解析DoD 組織は、ログとフローのソース (ファイアウォール、エンドポイントの検出と応答、Active Directory、スイッチ、ルーターなど) を特定して優先順位を付け、優先度の高いログを最初に収集し、その後に優先度の低いログを収集する計画を立てます。 業界標準のオープンなログ形式は、DoD エンタープライズ レベルで DoD 組織との合意を得て、将来の調達要件で実装されます。 既存のソリューションとテクノロジは、継続的にこの形式に移行されます。 結果: - 標準化されたログ形式 - 各ログ形式に対するルールの策定 |
Microsoft Sentinel データ コネクタ 関連するデータ ソースを Sentinel に接続します。 分析ルールを有効にして構成します。 データ コネクタでは、標準化されたログ形式が使用されます。 - ゼロ トラスト セキュリティ アーキテクチャの監視 - Sentinel カスタム コネクタの作成 - Azure Monitor のログ インジェスト API 「オートメーションとオーケストレーション」の Microsoft ガイダンス 6.2.2 を参照してください。 プラットフォーム間のイベントの相互運用性のためにセキュリティ ベンダーによって使用される、業界標準の Common Event Format (CEF) でログ収集を標準化します。 CEF のログに対応していないシステムには Syslog を使用します。 - Sentinel 用の Azure Monitor コネクタを使用した CEF - Azure Monitor を使用して Syslog と CEF のメッセージを Sentinel に取り込む Advanced Security Information Model (ASIM) (パブリック プレビュー) を使用して、正規化されたスキーマを用いて複数のソースからデータを収集して表示します。 - データを正規化するための ASIM |
Target
7.1.3 ログ分析ユーザーとデバイスの一般的なアクティビティが識別され、リスクに基づいて優先順位が付けられます。 最も単純かつリスクが高いと見なされるアクティビティには、ログなどのさまざまなデータ ソースを使用して分析が作成されています。 収集された分析に基づいて傾向とパターンが作成され、長期間にわたるアクティビティが確認されます。 結果: - アクティビティごとに分析を開発する - 分析するアクティビティを特定する |
アクティビティ 7.1.2 を完了する Microsoft Defender XDR Microsoft Defender XDR は、エンドポイント、ID、メール、アプリケーション間の検出、防止、調査、対応がネイティブに調整される、統合された侵害前後のエンタープライズ防御スイートです。 Defender XDR を使用して、高度な攻撃から保護し、対応します。 - アラートを調査する - Defender XDR を使用したゼロ トラスト - 米国政府機関向け Defender XDR Microsoft Sentinel カスタム分析クエリを開発し、ブックを使用して収集されたデータを視覚化します。 - 脅威を検出するためのカスタム分析ルール - 収集されたデータを視覚化する |
7.2 セキュリティ情報とイベント管理
Microsoft Defender XDR と Microsoft Sentinel は連携してセキュリティ上の脅威を検出し、警告して、対応にあたります。 Microsoft Defender XDR では、Microsoft 365、ID、デバイス、アプリケーション、インフラストラクチャ全体にわたる脅威を検出します。 Defender XR によって Microsoft Defender ポータルにアラートが生成されます。 Microsoft Defender XDR からのアラートと生データを Sentinel に接続し、高度な分析ルールを使用してイベントを関連付け、忠実度の高いアラートのインシデントを生成します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
7.2.1 脅威のアラート (第 1 部)DoD 組織は、既存のセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、一般的な脅威イベント (マルウェア、フィッシングなど) に対する基本ルールとアラートを開発します。アラートやルール実行は、平行して行われる "資産 ID とアラートの関連付け" アクティビティに提供され、応答のオートメーションが行われます。 結果: - 脅威の関連付けのためのルールの策定 |
Microsoft Defender XDR Microsoft Defender XDR は、マルチプラットフォームのエンドポイント、ID、メール、コラボレーション ツール、アプリケーション、クラウド インフラストラクチャ全体にわたって検出された脅威に対するアラートを備えています。 このプラットフォームでは、関連するアラートがインシデントに自動的に集計され、セキュリティ レビューが効率化されます。 - アラートを調査する Microsoft Sentinel 分析ルール Sentinel で接続されたデータ ソースに対する標準の分析ルールを有効にし、脅威を検出するカスタム分析ルールを作成します。 7.1.3 の Microsoft ガイダンス 7.1.3 を参照してください。 |
Target
7.2.2 脅威のアラート (第 2 部)DoD 組織は、セキュリティ情報イベント管理 (SIEM) ソリューションの脅威のアラートを拡張し、サイバー脅威インテリジェンス (CTI) のデータ フィードを含めます。 高度な脅威を検出するために、SIEM で偏差と異常のルールが策定されます。 結果: - 偏差を検出する分析を開発する |
Microsoft Sentinel 脅威インテリジェンス サイバー脅威インテリジェンス (CTI) フィードを Sentinel に接続します。 - 脅威インテリジェンス 「オートメーションとオーケストレーション」の Microsoft ガイダンス 6.7.1 および 6.7.2 を参照してください。 Microsoft Sentinel のソリューション Microsoft Sentinel コンテンツ ハブで分析ルールとブックを使用します。 - Sentinel のコンテンツとソリューション Microsoft Sentinel の分析ルール スケジュールされた分析ルールを作成し、偏差の検出、インシデントの作成、セキュリティ オーケストレーション、オートメーション、対応 (SOAR) アクションのトリガーを行います。 - 脅威を検出するカスタム分析ルール |
Advanced
7.2.3 脅威のアラート (第 3 部)拡張された検出と応答 (XDR)、ユーザーとエンティティの行動分析 (UEBA)、ユーザー アクティビティの監視 (UAM) などの高度なデータ ソースが含まれるように、脅威のアラートが拡張されます。 これらの高度なデータ ソースは、改善された異常およびパターン アクティビティ検出の開発に使用されます。 結果: - 異常なイベントのトリガーを特定する - トリガー ポリシーを実装する |
Microsoft Sentinel データ コネクタ Microsoft Defender XDR を Sentinel に接続して、アラート、インシデント、生データを集計します。 - Defender XDR を Sentinel に接続する Sentinel のカスタマイズ可能な異常 Microsoft Sentinel のカスタマイズ可能な異常テンプレートを使用して、異常検出ルールのノイズを減らす - 脅威を検出するカスタマイズ可能な異常 Microsoft Sentinel の Fusion Fusion エンジンにより、高度なマルチステージ攻撃のアラートが関連付けられます。 - Fusion エンジンの検出 「オートメーションとオーケストレーション」の Microsoft ガイダンス 6.4.1 を参照してください。 |
Target
7.2.4 資産 ID とアラートの関連付けDoD 組織は、資産とアラートのデータを使用して、基本的な関連付けルールを開発します。 セキュリティ情報イベント管理 (SIEM) ソリューション内で、一般的な脅威イベント (マルウェア、フィッシングなど) への応答が自動化されます。 結果: - 資産 ID ベースの応答のルールが策定される |
Microsoft Defender XDR Microsoft Defender XDR により、マルチプラットフォームのエンドポイント、ID、メール、コラボレーション ツール、アプリケーション、クラウド インフラストラクチャ全体にわたってシグナルが関連付けられます。 Microsoft Defender の自動調査と応答機能を使用して自己修復を構成します。 - Microsoft Defender XDR - 自動調査と応答 Microsoft Sentinel のエンティティ Sentinel に入ってくるアラートや Sentinel で生成されるアラートには、Sentinel でエンティティ (ユーザー アカウント、ホスト、ファイル、プロセス、IP アドレス、URL) に分類されるデータ項目が含まれます。 エンティティ ページを使用して、エンティティ情報の表示、動作の分析、調査の改善を行います。 - エンティティを使用してデータの分類と分析を行う - エンティティ ページを調査する |
Target
7.2.5 ユーザー/デバイス ベースラインDoD 組織は、適切な柱に対して、DoD エンタープライズ標準に基づいて、ユーザーとデバイスのベースライン アプローチを開発します。 ベースライニングで使用される属性は、柱にまたがるアクティビティで開発されたエンタープライズ全体の標準から取得されます。 結果: - ユーザーとデバイスのベースラインを特定する |
Microsoft Sentinel データ コネクタ Sentinel のデータ インジェスト ベースラインを確立します。 少なくとも、Microsoft Entra ID と Microsoft Defender XDR コネクタを含め、標準分析ルールを構成し、ユーザーとエンティティの行動分析 (UEBA) を有効にします。 - Defender XDR を Sentinel に接続する - UEBA を有効にする Azure Lighthouse 複数のテナントにわたる Sentinel ワークスペースを管理するよう Azure Lighthouse を構成します。 - 複数のワークスペースとテナントにわたって Sentinel を拡張する - 防衛組織にとってのマルチテナント操作 |
7.3 一般的なセキュリティとリスクの分析
Microsoft Defender XDR には、標準の脅威検出、分析、アラートが備わっています。 Microsoft Sentinel のカスタマイズ可能なほぼリアルタイムの分析ルールを使用すると、接続されたデータ ソース全体にわたる異常の関連付け、検出、アラートの生成に役立ちます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
7.3.1 分析ツールを実装するDoD 組織は、サイバーに重点を置いた基本的な分析ツールを調達して実装します。 分析の開発は、リスクと複雑さに基づいて優先順位が付けられ、簡単で影響力のある分析を最初に探します。 継続的な分析の開発では、レポートのニーズをより細かく満たすために、柱の要件に重点を置きます。 結果: - 分析環境の要件を決める - 分析ツールを調達して実装する |
Microsoft Defender XDR と Microsoft Sentinel Microsoft Defender XDR と Sentinel の統合を構成します。 - Microsoft Defender XDR - ゼロ トラストのための Sentinel と Defender XDR |
Target
7.3.2 ユーザー ベースライン動作の確立平行して行われるアクティビティでユーザーとデバイス用に開発された分析を利用して、技術ソリューションでベースラインが確立されます。 これらのベースラインは、最初はリスクに基づいて特定されたユーザーのセットに適用され、その後より大きな DoD 組織のユーザー ベースに拡張されます。 使用される技術ソリューションが機械学習機能に統合され、オートメーションが始まります。 結果: - ベースラインのユーザーを識別する - ML ベースのベースラインを確立する |
Microsoft Defender XDR Microsoft Defender XDR に統合された自動検出と応答は、防衛の最前線です。 ユーザーとデバイスの柱のガイダンスでは、ベースラインの動作を確立し、Microsoft Intune (デバイス コンプライアンス) と条件付きアクセス (準拠しているデバイスと ID のリスク) で Microsoft Defender XDR のシグナルを使用してポリシーを適用します。 ユーザーとデバイスの Microsoft ガイダンスを参照してください。 Microsoft Sentinel 分析ルール Sentinel を使用して、イベントの関連付け、脅威の検出、応答アクションのトリガーを行います。 関連するデータ ソースを Sentinel に接続し、ほぼリアルタイムの分析ルールを作成して、データ インジェスト中に脅威を検出します。 - 脅威の検出 7.2.5 の Microsoft ガイダンス 7.2.5 を参照してください。 Microsoft Sentinel ノートブック カスタマイズされた ML モデルを構築し、Jupyter ノートブックと独自の機械学習 (BYO-ML) プラットフォームを使用して Sentinel のデータを分析します。 - Sentinel に独自の機械学習を持ち込む - Jupyter ノートブックと MSTICPy |
7.4 ユーザーとエンティティの動作分析
Microsoft Defender XDR と Microsoft Sentinel では、ユーザーとエンティティの行動分析 (UEBA) を使用して異常を検出します。 Sentinel で Fusion、UEBA、機械学習 (ML) 分析ルールを使用して異常を検出します。 また、Sentinel は独自の機械学習の持ち込み (BYO-ML) と視覚化機能のために、Azure Notebooks (Jupyter Notebook) と連携します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
7.4.1 ベースラインとプロファイリング (第 1 部)平行して行われるアクティビティでユーザーとデバイス用に開発された分析を利用して、一般的なユーザーとデバイスの種類向けに一般的なプロファイルが作成されます。 ベースライニングから取得された分析は、より大きなコンテナーであるプロファイルに注目するよう更新されます。 結果: - 変化する脅威の状態を検出する分析を開発する - ユーザーとデバイスの脅威プロファイルを特定する |
Microsoft Defender XDR Microsoft Defender ポータルにアクセスして、インシデント、アラート、レポート、脅威の分析を 1 つのビューで確認できます。 Microsoft Secure スコアを使用して、セキュリティ態勢を評価して改善します。 カスタム検出を作成し、Microsoft Defender XDR のセキュリティ イベントを監視して応答します。 - Microsoft Defender ポータル - Secure Score を使用してセキュリティ態勢を評価する - カスタム検出 Microsoft Sentinel ワークブックを使用してデータを視覚化し、監視します。 カスタム分析ルールを作成し、異常検出を有効にして、変化する脅威の状態を特定してアラートを発します。 - データを視覚化して監視する - 脅威を検出するカスタム分析 - 異常をカスタマイズして脅威を検出する |
Advanced
7.4.2 ベースラインとプロファイリング (第 2 部)DoD 組織は、データ出力監視を通じて、モノのインターネット (IoT) や運用テクノロジ (OT) などのアンマネージド デバイスや非標準のデバイス タイプを含むように、ベースラインとプロファイルを拡張します。 これらのデバイスは、標準化された属性とユース ケースに基づいて再びプロファイリングされます。 新しいベースラインとプロファイルが考慮されるように分析が更新され、さらに検出と対応が可能になります。 リスクの高い具体的なユーザーとデバイスは、リスクに基づいて優先的に監視が強化されるよう自動的に設定されます。 検出と応答は柱にまたがる機能に統合されます。 結果: - IoT デバイスと OT デバイスの脅威プロファイルを追加する - 分析を開発して拡張する - 個々のユーザーとデバイスに脅威プロファイルを拡張する |
Microsoft Defender XDR Microsoft Defender for Endpoint を使用してアンマネージド デバイスを検出し、セキュリティで保護します。 - デバイス検出 - Intune からのエンドポイント セキュリティ ポリシーに対応するためのテナント接続 - マネージド デバイスとアンマネージド デバイスをセキュリティで保護する - ネットワーク デバイスの認証スキャン - アンマネージド Windows デバイスの認証スキャン Microsoft Defender for IoT 運用テクノロジ (OT) ネットワークに Defender for IoT センサーを展開します。 Defender for IoT は、クラウド、オンプレミス、ハイブリッド OT ネットワークのエージェントレス デバイス監視に対応します。 環境のベースラインの学習モードを有効にし、Defender for IoT を Microsoft Sentinel に接続します。 - 組織向け Defender for IoT - OT 監視 - OT アラートの学習済みベースライン - Defender for IoT を Sentinel に接続する - エンティティ ページでエンティティを調査する |
Advanced
7.4.3 UEBA ベースライン サポート (第 1 部)DoD 組織内のユーザーとエンティティの行動分析 (UEBA) は、監視を機械学習 (ML) などの高度な分析に拡張します。 その結果、これらの結果が確認され、ML アルゴリズムにフィードバックされるようになり、検出と応答が改善されます。 結果: - ML ベースの分析を実装して異常を検出する |
アクティビティ 7.3.2 を完了する Microsoft Sentinel の分析ルール Sentinel は、UEBA と機械学習の 2 つのモデルを使用してベースラインを作成し、異常を検出します。 - 検出された異常 UEBA の異常 UEBA は、動的エンティティのベースラインに基づいて異常を検出します。 - UEBA を有効にする - UEBA の異常 機械学習の異常 ML の異常は、標準分析ルール テンプレートを使用して異常な動作を特定します。 - ML の異常 |
Advanced
7.4.4 UEBA ベースライン サポート (第 2 部)DoD 組織内のユーザーとエンティティの行動分析 (UEBA) は、人工知能 (AI) アルゴリズムに提供するために、従来の結果と機械学習 (ML) ベースの結果を使用して、その拡張を完了します。 最初は AI ベースの検出は教師ありで行われますが、最終的にはニューラル ネットワークなどの高度なテクノロジを使用することで、UEBA オペレーターは学習プロセスの一部ではなくなります。 結果: - ML ベースの分析を実装して異常を検出する (教師あり AI 検出) |
Microsoft Sentinel の Fusion Sentinel で、Fusion の高度なマルチステージ攻撃検出を使用します。 Fusion は、マルチステージ攻撃および持続的標的型攻撃 (APT) を検出する ML トレーニング済みの相関エンジンです。 通常では検出が困難な、異常な動作や不審なアクティビティの組み合わせを特定します。 - 高度なマルチステージ攻撃の検出 Microsoft Sentinel ノートブック カスタマイズされた独自の ML モデルを構築し、Jupyter ノートブックと独自の機械学習 (BYO-ML) プラットフォームを使用して Microsoft Sentinel のデータを分析します。 - Sentinel に独自の機械学習を持ち込む - Jupyter ノートブックと MSTICPy |
7.5 脅威インテリジェンスの統合
Microsoft Defender 脅威インテリジェンスは、Microsoft の脅威の専門家やその他のソースからのトリアージ、インシデント対応、脅威ハンティング、脆弱性管理、サイバー脅威インテリジェンス (CTI) を合理化します。 Microsoft Sentinel は、Microsoft Defender 脅威インテリジェンスとサードパーティの CTI ソースに接続されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
7.5.1 サイバー脅威インテリジェンス プログラム (第 1 部)DoD Enterprise は DoD 組織と連携し、サイバー脅威インテリジェンス (CTI) プログラムのポリシー、基準、プロセスを策定します。 組織は、このドキュメントを活用して、主要なミッション/タスクの利害関係者からなる組織の CTI チームを編成します。 CTI チームは、セキュリティ情報イベント管理 (SIEM) とデータの共通フィードを統合し、アラートと応答を改善します。 デバイスおよびネットワーク適用ポイント (ファイアウォール、エンドポイント セキュリティ スイートなど) との統合は、CTI 駆動データの基本的な監視を実施するために作成されます。 結果: - 重要な利害関係者に合わせたサイバー脅威インテリジェンス チームの配置 - パブリックおよびベースライン CTI フィードの SIEM によるアラートへの活用 - デバイスおよびネットワーク適用ポイント (NGAV、NGFW、NG-IPS など) との基本的な統合ポイントの存在 |
Microsoft Defender 脅威インテリジェンス Defender 脅威インテリジェンスとその他の脅威インテリジェンス フィードを Sentinel に接続します。 - Defender 脅威インテリジェンス - Defender 脅威インテリジェンスのデータ コネクタを有効にする - 脅威インテリジェンス プラットフォームを Sentinel に接続する Azure ネットワーク ネットワーク リソースを Microsoft Sentinel に統合します。 - Azure Web App Firewall を使用した Sentinel - Sentinel を使用した Azure Firewall |
Target
7.5.2 サイバー脅威インテリジェンス プログラム (第 2 部)DoD 組織は、サイバー脅威インテリジェンス (CTI) チームを拡張し、必要に応じて新たな利害関係者を参加させます。 認証済みかつ非公開で、制御された CTI データ フィードは、セキュリティ情報イベント管理 (SIEM) に統合され、デバイス、ユーザー、ネットワーク、データのそれぞれの柱から適用されます。 結果: - 拡張された利害関係者に合わせたサイバー脅威インテリジェンス チームの配置 - SIEM やその他の適切な分析ツールでのアラートと監視への管理フィードとプライベート フィードの活用 - デバイス、ユーザー、ネットワーク、データのそれぞれの柱 (UEBA、UAM) 内での拡張された適用ポイントの統合 |
Microsoft Sentinel データ コネクタ REST API を使用して、Azure のネットワーク リソースを管理します。 Sentinel プレイブックと Logic Apps を使用して、ネットワーク適用ポイントとの基本的な統合を確立します。 - 仮想ネットワーク REST 操作 - Sentinel プレイブックを使用した脅威対応 Sentinel プレイブック リポジトリで他のネットワーク適用ポイント用のプレイブックを検出します。 - GitHub の Sentinel プレイブック |
7.6 自動化された動的ポリシー
Microsoft セキュリティ スタックは、機械学習 (ML) と人工知能 (AI) を使用して、ID、デバイス、アプリケーション、データ、インフラストラクチャを保護します。 Microsoft Defender XDR、条件付きアクセス、ML の検出を使用して、ユーザーとデバイスのリスク レベルが集計されます。
デバイス リスクを使用して、デバイスを不適合とマークします。 ID リスク レベルにより、組織はフィッシングへの耐性を備えた認証方法、準拠デバイス、サインイン頻度の増加などを要求できます。 リスク条件と条件付きアクセス制御を使用して、自動化された動的なアクセス ポリシーを適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Advanced
7.6.1 AI 対応ネットワーク アクセスDoD 組織は SDN インフラストラクチャとエンタープライズ セキュリティ プロファイルを利用して、人工知能 (AI)/機械学習 (ML) 主導でネットワークにアクセスできるようにします。 これまでのアクティビティから得られた分析は、意思決定を改善する AI/ML アルゴリズムの学習に使用されます。 結果: - ネットワーク アクセスが環境分析に基づく AI 主導で行われる |
Microsoft Defender XDR Microsoft Defender XDR の自動攻撃中断は、横方向の動きを制限します。 このアクションにより、ランサムウェア攻撃の影響が軽減されます。 Microsoft セキュリティ研究者は、Defender XDR を使用して高度な攻撃の複雑さに対抗するために AI モデルを使用しています。 このソリューションでは、シグナルを信頼度の高い因子電津と関連付け、リアルタイムの攻撃を特定して含めるようにします。 - 攻撃の中断 Microsoft Defender SmartScreen のネットワーク保護機能と Web 保護がオペレーティング システムに拡張され、コマンドと制御 (C2) 攻撃をブロックします。 - ネットワークを保護する - AI による人為的なランサムウェアの妨害) Microsoft Sentinel Azure Firewall を使用して、ファイアウォールのアクティビティを視覚化し、AI 調査機能を使用して脅威を検出し、アクティビティを関連付け、対応アクションを自動化します。 - Sentinel を使用した Azure Firewall |
Advanced
7.6.2 AI を活用したダイナミック アクセス制御DoD 組織は、人工知能 (AI)/機械学習 (ML) アルゴリズムにさまざまなリソースへのアクセスの意思決定を教えるために、以前のルールに基づくダイナミック アクセスを利用します。 "AI を活用したネットワーク アクセス" アクティビティのアルゴリズムが更新され、すべての DAAS に対してより広範に意思決定できるようになります。 結果: - JIT/JEA が AI と統合される |
条件付きアクセス Microsoft Intune コンプライアンス ポリシーで、Microsoft Defender for Endpoint マシンのリスク レベルを要求します。 条件付きアクセス ポリシーで、デバイス コンプライアンスと Microsoft Entra ID 保護のリスク条件を使用します。 - リスクベースのアクセス ポリシー - Intune マネージド デバイスのルールを設定するためのコンプライアンス ポリシー Privileged Identity Management ID 保護のリスク レベルとデバイス コンプライアンス シグナルを使用して、特権アクセスの認証コンテキストを定義します。 PIM 要求向けの認証コンテキストを要求し、Just-In-Time (JIT) アクセスにポリシーを適用します。 このセクションの Microsoft ガイダンス 7.6.1 と「ユーザー」の 1.4.4 を参照してください。 |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。
- はじめに
- 利用者
- デバイス
- アプリケーションとワークロード
- データ
- ネットワーク
- 自動化とオーケストレーション
- 可視性と分析