DoD 제로 트러스트 전략 및 로드맵은 국방부 구성 요소 및 DIB(국방 산업 기지) 파트너가 제로 트러스트 원칙에 따라 새로운 사이버 보안 프레임워크를 채택할 수 있는 경로를 간략하게 설명합니다. 제로 트러스트 기존의 경계 및 신뢰 가정을 제거하여 보안, 사용자 환경 및 임무 성능을 향상시키는 보다 효율적인 아키텍처를 지원합니다.
이 가이드에는 DoD 제로 트러스트 기능 실행 로드맵의 152 제로 트러스트 활동에 대한 권장 사항이 있습니다. 섹션은 DoD 제로 트러스트 모델의 7가지 핵심 요소에 해당합니다.
다음 링크를 사용하여 가이드의 섹션으로 이동합니다.
- 소개
- 사용자
- 디바이스
- 애플리케이션 및 워크로드
- 데이터
- 네트워크
- 자동화 및 오케스트레이션
- 표시 유형 및 분석
7 표시 유형 및 분석
이 섹션에는 가시성 및 분석 핵심 요소에서 DoD 제로 트러스트 활동에 대한 Microsoft 지침과 권장 사항이 있습니다. 자세한 내용은 제로 트러스트 사용하여 표시 유형, 자동화 및 오케스트레이션을 참조하세요.
7.1 모든 트래픽 기록
Microsoft Sentinel은 확장 가능한 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 시스템입니다. 또한 Sentinel은 다양한 원본에서 대량의 데이터 볼륨을 처리하는 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Sentinel 데이터 커넥터는 사용자, 디바이스, 애플리케이션 및 인프라, 온-프레미스 및 여러 클라우드에서 데이터를 수집합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
7.1.1 크기 조정 고려 사항DoD 조직은 분석을 수행하여 현재와 미래의 크기 조정 요구 사항을 확인합니다. 크기 조정은 일반적인 업계 모범 사례 방법 및 ZT 핵심 요소에 따라 분석됩니다. 팀은 기존 BCP(비즈니스 연속성 계획) 및 DPR(재해 복구 계획) 그룹과 협력하여 비상 시 및 조직이 성장함에 따라 분산 환경 요구 사항을 결정합니다. 결과: - 충분한 인프라가 구축 됨- 분산 환경 설정 - 네트워크 트래픽에 대한 충분한 대역폭 |
Microsoft Sentinel Sentinel은 Log Analytics 작업 영역을 사용하여 분석을 위해 보안 로그 데이터를 저장합니다. Log Analytics는 Azure의 PaaS(Platform as a Service)입니다. 관리하거나 빌드할 인프라가 없습니다. - 작업 영역 아키텍처 - - 스트림 로그에 대한 비용을 절감합니다. - - - 가 Microsoft 365 및 온-프레미스 서버에 대한 클라우드 기반 보안 모니터링에 대한 대역폭 요구 사항을 충족하는지 확인합니다. - - 의 비즈니스 연속성 관리에는 여러 산업에 대한 성숙한 비즈니스 연속성 관리 프로그램이 있습니다. 비즈니스 연속성 관리 및 책임 분할을 검토합니다. - 비즈니스 연속성 관리 - 안정성 지침 |
Target
7.1.2 로그 구문 분석DoD 조직은 로그 및 흐름 원본(예: 방화벽, 엔드포인트 검색 및 응답, Active Directory, 스위치, 라우터 등)을 식별하고 우선 순위를 지정하며 우선 순위가 높은 로그 수집 계획을 먼저 개발한 다음 우선 순위가 낮은 로그를 수집합니다. 개방형 업계 표준 로그 형식은 DoD Enterprise 수준에서 조직과 합의되고 향후 조달 요구 사항에서 구현됩니다. 기존 솔루션 및 기술은 지속적으로 형식으로 마이그레이션됩니다. 결과: - 표준화된 로그 형식 - 각 로그 형식 에 대해 개발된 규칙 |
Microsoft Sentinel 데이터 커넥터는 관련 데이터 원본을 Sentinel에 연결합니다. 분석 규칙을 사용하도록 설정하고 구성합니다. 데이터 커넥터는 표준화된 로그 형식을 사용합니다. - 제로 트러스트 보안 아키텍처 - 로그 수집 API 만들기 자동화 및 오케스트레이션 Microsoft 지침 6.2.2를 참조하세요.- 플랫폼 간의 이벤트 상호 운용성을 위해 보안 공급업체에서 사용하는 업계 표준인 CEF(Common Event Format)를 사용하여 로깅을 표준화합니다. CEF에서 로그를 지원하지 않는 시스템에 Syslog를 사용합니다. - Azure Monitor를 사용하여 Sentinel - 메시지를 Sentinel에 보내는 CEF는 ASIM(고급 보안 정보 모델)(공개 미리 보기)을 사용하여 정규화된 스키마를 사용하여 여러 원본에서 데이터를 수집하고 봅니다. - |
Target
7.1.3 로그 분석일반적인 사용자 및 디바이스 활동은 위험에 따라 식별되고 우선 순위가 지정됩니다. 가장 단순하고 위험한 것으로 간주되는 활동에는 로그와 같은 다양한 데이터 원본을 사용하여 분석이 생성됩니다. 추세 및 패턴은 오랜 기간 동안 활동을 살펴보기 위해 수집된 분석을 기반으로 개발됩니다. 결과: - 활동 당 분석 개발 - 분석할 활동 식별 |
작업 7.1.2를 완료합니다. Microsoft Defender XDR Microsoft Defender XDR은 엔드포인트, ID, 이메일 및 애플리케이션에서 기본적으로 검색, 예방, 조사 및 응답을 조정하는 통합된 위반 후 엔터프라이즈 방어 제품군입니다. Defender XDR을 사용하여 정교한 공격으로부터 보호하고 대응합니다. - 경고 조사제로 트러스트 미국 정부 - 수집된 데이터를 시각화하는 위협을 - 감지하는 사용자 지정 분석 규칙 |
7.2 보안 정보 및 이벤트 관리
Microsoft Defender XDR과 Microsoft Sentinel은 함께 작동하여 보안 위협을 감지, 경고 및 대응합니다. Microsoft Defender XDR은 Microsoft 365, ID, 디바이스, 애플리케이션 및 인프라에서 위협을 감지합니다. Defender XR은 Microsoft Defender 포털에서 경고를 생성합니다. Microsoft Defender XDR의 경고 및 원시 데이터를 Sentinel에 연결하고 고급 분석 규칙을 사용하여 이벤트를 상호 연결하고 높은 충실도 경고에 대한 인시던트 생성
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
7.2.1 위협 경고 Pt1DoD 조직은 기존 SIEM(보안 정보 및 이벤트 관리) 솔루션을 활용하여 일반적인 위협 이벤트(맬웨어, 피싱 등)에 대한 기본 규칙 및 경고를 개발합니다. 경고 및/또는 규칙 실행은 응답 자동화에 대한 병렬 "자산 ID 및 경고 상관 관계" 활동에 공급됩니다. 결과: - 위협 상관 관계를 위해 개발된 규칙 |
Microsoft Defender XDR Microsoft Defender XDR에는 다중 플랫폼 엔드포인트, ID, 이메일, 협업 도구, 애플리케이션 및 클라우드 인프라에서 검색된 위협에 대한 경고가 있습니다. 플랫폼은 관련 경고를 인시던트에 자동으로 집계하여 보안 검토를 간소화합니다. - 경고 연결된 데이터 원본에 대한 표준 분석 규칙을 사용하도록 설정하고 Sentinel에서 위협을 감지하는 사용자 지정 분석 규칙을 만듭니다. 7.1.3 Microsoft 지침을 참조하세요. |
Target
7.2.2 위협 경고 Pt2DoD 조직은 CTI(사이버 위협 인텔리전스) 데이터 피드를 포함하도록 SIEM(보안 정보 및 이벤트 관리) 솔루션에서 위협 경고를 확장합니다. 편차 및 변칙 규칙은 고급 위협을 감지하기 위해 SIEM에서 개발됩니다. 결과: - 편차를 감지하는 분석 개발 |
Microsoft Sentinel 위협 인텔리전스Connect CTI(사이버 위협 인텔리전스)는 Sentinel에 피드를 제공합니다. - 위협 인텔리전스 는 Automation 및 오케스트레이션에서 Microsoft 지침 6.7.1 및 6.7.2를 참조하세요. Microsoft Sentinel 솔루션Microsoft Sentinel 콘텐츠 허브에서 분석 규칙 및 통합 문서를 사용합니다. - Sentinel 콘텐츠 및 솔루션 편차 검색, 인시던트 만들기 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 작업을 트리거하는 예약된 분석 규칙을 만듭니다. - |
Advanced
7.2.3 위협 경고 Pt3위협 경고는 XDR(확장 검색 및 응답), UEBA(사용자 및 엔터티 동작 분석) 및 UAM(사용자 활동 모니터링)과 같은 고급 데이터 원본을 포함하도록 확장됩니다. 이러한 고급 데이터 원본은 향상된 비정상 및 패턴 활동 검색을 개발하는 데 사용됩니다. 결과: - 비정상적인 이벤트 트리거 식별 - 트리거 정책 구현 |
Microsoft Sentinel 데이터 커넥터는Microsoft Defender XDR을 Sentinel에 연결하여 경고, 인시던트 및 원시 데이터를 집계합니다. - Defender XDR을 Sentinel Microsoft Sentinel 사용자 지정 가능한 변칙 에 연결하려면 Microsoft Sentinel 사용자 지정 가능한 변칙 템플릿을 사용하여 변칙 검색 규칙 - 사용자 지정 가능한 변칙을 사용하여 노이즈를 줄여 Microsoft Sentinel 감지합니다. Fusion 엔진은 고급 다단계 공격에 대한 경고의 상관 관계를 지정합니다. - Fusion 엔진 검색은 Automation 및 오케스트레이션에서 Microsoft 지침 6.4.1을 참조하세요. |
Target
7.2.4 자산 ID 및 경고 상관관계DoD 조직은 자산 및 경고 데이터를 사용하여 기본 상관 관계 규칙을 개발합니다. 일반적인 위협 이벤트(예: 맬웨어, 피싱 등)에 대한 대응은 SIEM(보안 정보 및 이벤트 관리) 솔루션 내에서 자동화됩니다. 결과: - 자산 ID 기반 응답을 위해 개발된 규칙 |
Microsoft Defender XDR Microsoft Defender XDR은 다중 플랫폼 엔드포인트, ID, 이메일, 공동 작업 도구, 애플리케이션 및 클라우드 인프라 간에 신호를 상호 연결합니다. Microsoft Defender 자동 조사 및 응답 기능을 사용하여 자동 복구를 구성합니다. - Microsoft Defender XDR - 자동 조사 및 응답 Microsoft Sentinel 엔터티 경고가 Sentinel에 의해 생성되거나 생성되는 데이터 항목(사용자 계정, 호스트, 파일, 프로세스, IP 주소, URL)을 엔터티로 분류합니다. 엔터티 페이지를 사용하여 엔터티 정보를 보고, 동작을 분석하고, 조사를 개선합니다. - 엔터티 조사 엔터티 - 페이지를 사용하여 데이터 분류 및 분석 |
Target
7.2.5 사용자/디바이스 기준DoD 조직은 적절한 핵심 요소에 대한 DoD 엔터프라이즈 표준을 기반으로 사용자 및 디바이스 기준 접근 방식을 개발합니다. 기본 설정에 사용된 특성은 크로스 기둥 활동에서 개발된 엔터프라이즈 전체 표준에서 가져옵니다. 결과: - 사용자 및 디바이스 기준 식별 |
Microsoft Sentinel 데이터 커넥터는 Sentinel에 대한 데이터 수집 기준을 설정합니다. 최소한 Microsoft Entra ID 및 Microsoft Defender XDR 커넥터를 포함하고, 표준 분석 규칙을 구성하고, UEBA(사용자 엔터티 동작 분석)를 사용하도록 설정합니다. - Defender XDR을 Sentinel - 에 연결하여 여러 테넌트에서 Sentinel 작업 영역을 관리하도록 Azure Lighthouse를 구성합니다. - |
7.3 일반적인 보안 및 위험 분석
Microsoft Defender XDR에는 표준 위협 탐지, 분석 및 경고가 있습니다. Microsoft Sentinel 사용자 지정 가능한 근 실시간 분석 규칙을 사용하여 연결된 데이터 원본에서 변칙에 대한 경고를 상호 연결, 검색 및 생성할 수 있습니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
7.3.1 분석 도구구현DoD 조직은 기본 사이버 중심 분석 도구를 조달하고 구현합니다. 분석 개발은 먼저 손쉬운 영향 분석을 찾는 위험 및 복잡성에 따라 우선 순위가 지정됩니다. 지속적인 분석 개발은 보고 요구 사항을 더 잘 충족하기 위해 핵심 요소 요구 사항에 중점을 둡니다. 결과: - 분석 환경에 대한 요구 사항 개발 - 분석 도구 조달 및 구현 |
Microsoft Defender XDR 및 Microsoft Sentinel 은 Microsoft Defender XDR 및 Sentinel의 통합을 구성합니다. - microsoft Defender XDR - Sentinel 및 Defender XDR for 제로 트러스트 |
Target
7.3.2 사용자 기준 동작설정병렬 작업에서 사용자 및 디바이스에 대해 개발된 분석을 활용하여 기준은 기술 솔루션에 설정됩니다. 이러한 기준은 처음에 위험을 기반으로 식별된 사용자 집합에 적용된 다음 더 큰 DoD 조직 사용자 기반으로 확장됩니다. 사용되는 기술 솔루션은 자동화를 시작하기 위해 기계 학습 기능과 통합됩니다. 결과: - 기준선 에 대한 사용자 식별 - ML 기반 기준 설정 |
Microsoft Defender XDR Microsoft Defender XDR 통합 자동 검색 및 응답은 방어의 최전선입니다. 사용자 및 디바이스 핵심 요소의 지침은 기준 동작을 설정하고 Microsoft Intune(디바이스 준수) 및 조건부 액세스(준수 디바이스 및 ID 위험)에서 Microsoft Defender XDR 신호를 사용하여 정책을 적용합니다. 사용자 및 디바이스에서 Sentinel을 사용하여 이벤트의 상관 관계를 지정하고, 위협을 검색하고, 응답 작업을 트리거합니다. 관련 데이터 원본을 Sentinel에 연결하고 거의 실시간으로 분석 규칙을 만들어 데이터 수집 중에 위협을 감지합니다. - 위협 감지 7.2.5의 Microsoft 지침을 참조하세요. Microsoft Sentinel Notebooks Jupyter Notebook 및 BYO-ML(Bring-your-Own-Machine-Learning) 플랫폼을 사용하여 Sentinel 데이터를 분석하는 사용자 지정된 ML 모델을 빌드합니다. - Sentinel - Jupyter Notebook 및 MSTICPy에 대한 BYO-ML |
7.4 사용자 및 엔터티 동작 분석
Microsoft Defender XDR 및 Microsoft Sentinel은 UEBA(사용자 엔터티 동작 분석)를 사용하여 변칙을 검색합니다. Fusion, UEBA 및 ML(기계 학습) 분석 규칙을 사용하여 Sentinel에서 변칙을 검색합니다. 또한 Sentinel은 BYO-ML(Bring-your-own-Machine-Learning) 및 시각화 기능을 위해 Azure Notebooks(Jupyter Notebook)와 통합됩니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
7.4.1 기준 및 프로파일링 Pt1병렬 작업에서 사용자 및 디바이스에 대해 개발된 분석을 활용하여 일반적인 사용자 및 디바이스 유형에 대한 공통 프로필이 만들어집니다. 기본 설정에서 가져온 분석은 더 큰 컨테이너, 프로필을 살펴보도록 업데이트됩니다. 결과: - 변화하는 위협 조건을 감지하는 분석 개발 - 사용자 및 디바이스 위협 프로필 식별 |
Microsoft Defender XDR 인시던트, 경고, 보고서 및 위협 분석에 대한 통합 보기를 보려면 Microsoft Defender 포털을 방문하세요. Microsoft 보안 점수를 사용하여 보안 상태를 평가하고 개선합니다. Microsoft Defender XDR에서 보안 이벤트를 모니터링하고 응답하는 사용자 지정 검색을 만듭니다. - Microsoft Defender 포털 - 은 통합 문서를 사용하여 데이터를 시각화하고 모니터링합니다. 사용자 지정 분석 규칙을 만들고 변칙 검색을 사용하여 변화하는 위협 조건을 식별하고 경고합니다. - 사용자 - 지정 분석을 시각화하고 모니터링하여 위협을 - 감지하는 변칙 사용자 지정 |
Advanced
7.4.2 기준 및 프로파일링 Pt2DoD 조직은 데이터 출력 모니터링을 통해 IoT(사물 인터넷) 및 OT(운영 기술)를 비롯한 비관리 및 비표준 디바이스 유형을 포함하도록 기준 및 프로필을 확장합니다. 이러한 디바이스는 표준화된 특성 및 사용 사례에 따라 다시 프로파일됩니다. 분석이 업데이트되어 새로운 기준 및 프로필을 고려하여 추가 검색 및 응답을 사용하도록 설정합니다. 특정 위험한 사용자 및 디바이스는 위험에 따라 모니터링을 늘리기 위해 자동으로 우선 순위가 지정됩니다. 검색 및 응답은 핵심 요소 간 기능과 통합됩니다. 결과: - IoT 및 OT 디바이스 에 대한 위협 프로필 추가 - 분석 개발 및 확장 - 위협 프로필을 개별 사용자 및 디바이스로 확장 |
Microsoft Defender XDR 은 엔드포인트용 Microsoft Defender 사용하여 관리되지 않는 디바이스를 검색하고 보호합니다. - Intune - 테넌트 연결은 관리되지 않는 Windows 디바이스 인증 검사를 - 통해 Microsoft Defender for IoT Deploy Defender for IoT 센서를 OT(운영 기술) 네트워크에서 검색합니다. Defender for IoT는 클라우드, 온-프레미스 및 하이브리드 OT 네트워크에 대한 에이전트 없는 디바이스 모니터링을 지원합니다. 환경의 기준에 대한 학습 모드를 사용하도록 설정하고 Defender for IoT를 Microsoft Sentinel에 연결합니다. - 조직 - 용 Defender for IoT 모니터링 - 학습된 OT 경고 - 기준 연결 Defender for IoT with Sentinel - Investigate 엔터티 및 엔터티 페이지 |
Advanced
7.4.3 UEBA 기준 지원 Pt1DoD 조직 내의 UEBA(사용자 및 엔터티 동작 분석)는 ML(Machine Learning)과 같은 고급 분석으로 모니터링을 확장합니다. 이러한 결과는 차례로 검색 및 응답을 개선하기 위해 ML 알고리즘을 검토하고 다시 공급합니다. 결과: - ML 기반 분석을 구현하여 변칙 검색 |
작업 7.3.2를 완료합니다. Microsoft Sentinel 분석 규칙Sentinel은 두 가지 모델을 사용하여 기준을 만들고 변칙인 UEBA 및 기계 학습을 검색합니다. - 검색된 변칙 UEBA는 동적 엔터티 기준에 따라 변칙을 검색합니다. - ML 변칙은 표준 분석 규칙 템플릿을 사용하여 비정상적인 동작을 식별합니다.- |
Advanced
7.4.4 UEBA 기준 지원 Pt2DoD 조직 내의 UEBA(사용자 및 엔터티 동작 분석)는 AI(인공 지능) 알고리즘에 공급할 기존 및 기계 학습(ML) 기반 결과를 사용하여 확장을 완료합니다. 처음에 AI 기반 검색은 감독되지만 궁극적으로 신경망과 같은 고급 기술을 사용하는 UEBA 운영자는 학습 프로세스의 일부가 아닙니다. 결과: - ML 기반 분석을 구현하여 변칙 검색(감독된 AI 검색) |
Microsoft Sentinel의 Fusion은 Sentinel 의 Fusion 분석 규칙에서 고급 다단계 공격 검색을 사용합니다. Fusion은 다단계 공격 및 APT(고급 영구 위협)를 감지하는 ML 학습 상관 관계 엔진입니다. 비정상적인 동작과 의심스러운 활동의 조합을 식별하며, 그렇지 않으면 catch하기 어렵습니다. - 고급 다단계 공격 감지 Microsoft Sentinel Notebooks Jupyter Notebook 및 BYO-ML(Bring-your-Own-Machine-Learning) 플랫폼을 사용하여 Microsoft Sentinel 데이터를 분석하는 사용자 지정 ML 모델을 빌드합니다. - Sentinel - Jupyter Notebook 및 MSTICPy에 대한 BYO-ML |
7.5 위협 인텔리전스 통합
Microsoft Defender 위협 인텔리전스 Microsoft 위협 전문가 및 기타 출처의 심사, 인시던트 대응, 위협 헌팅, 취약성 관리 및 CTI(사이버 위협 인텔리전스)를 간소화합니다. Microsoft Sentinel은 Microsoft Defender 위협 인텔리전스 및 타사 CTI 원본에 연결합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
7.5.1 사이버 위협 인텔리전스 프로그램 Pt1DoD Enterprise는 조직과 협력하여 CTI(사이버 위협 인텔리전스) 프로그램 정책, 표준 및 프로세스를 개발하고 처리합니다. 조직은 이 설명서를 활용하여 주요 임무/태스크 관련자가 있는 조직 CTI 팀을 개발합니다. CTI Teams는 향상된 경고 및 응답을 위해 데이터의 일반적인 피드를 SIEM(보안 정보 및 이벤트 관리)과 통합합니다. 디바이스 및 네트워크 적용 지점(예: 방화벽, 엔드포인트 보안 제품군 등)과의 통합은 CTI 기반 데이터의 기본 모니터링을 수행하기 위해 만들어집니다. 결과: - 사이버 위협 인텔리전스 팀이 중요한 이해 관계자 와 함께 준비되었습니다. SIEM에서 경고에 대해 공용 및 기준 CTI 피드를 활용하고 있습니다. 기본 통합 지점은 디바이스 및 네트워크 적용 지점(예: NGAV, NGFW, NG-IPS)과 함께 존재합니다. |
Microsoft Defender 위협 인텔리전스 Defender 위협 인텔리전스 및 기타 위협 인텔리전스 피드를 Sentinel에 연결합니다. - Defender Threat Intelligence Defender Threat Intelligence 에 사용하도록 설정하여 네트워크 리소스를 Microsoft Sentinel과 통합합니다.- - |
Target
7.5.2 사이버 위협 인텔리전스 프로그램 Pt2DoD 조직은 새로운 이해 관계자를 적절하게 포함하도록 CTI(사이버 위협 인텔리전스) 팀을 확장합니다. 인증, 프라이빗 및 제어되는 CTI 데이터 피드는 SIEM(보안 정보 및 이벤트 관리) 및 디바이스, 사용자, 네트워크 및 데이터 핵심 요소의 적용 지점에 통합됩니다. 결과: - 사이버 위협 인텔리전스 팀은 확장 이해 관계자와 함께 적절히 배치됩니다. SIEM 및 경고 및 모니터링을 위한 기타 적절한 분석 도구에서 제어 및 프라이빗 피드를 활용하고 있습니다. 통합은 디바이스, 사용자, 네트워크 및 데이터 핵심 요소(UEBA, UAM) 내의 확장된 적용 지점에 적용됩니다. |
Microsoft Sentinel 데이터 커넥터는 REST API를 사용하여 Azure에서 네트워킹 리소스를 관리합니다. Sentinel 플레이북 및 Logic Apps를 사용하여 네트워크 적용 지점과 기본 통합을 설정합니다. - Sentinel 플레이북을 사용한 - 가상 네트워크 REST 작업 위협 대응은 Sentinel 플레이북 리포지토리의 다른 네트워크 적용 지점에 대한 플레이북을 찾습니다. - GitHub의 Sentinel 플레이북 |
7.6 자동화된 동적 정책
Microsoft 보안 스택은 ML(기계 학습) 및 AI(인공 지능)를 사용하여 ID, 디바이스, 애플리케이션, 데이터 및 인프라를 보호합니다. Microsoft Defender XDR 및 조건부 액세스를 통해 ML 검색은 사용자 및 디바이스에 대한 집계 위험 수준을 설정합니다.
디바이스 위험을 사용하여 디바이스를 비준수로 표시합니다. ID 위험 수준을 사용하면 조직에서 피싱 방지 인증 방법, 규격 디바이스, 로그인 빈도 증가 등을 요구할 수 있습니다. 위험 조건 및 조건부 액세스 제어를 사용하여 자동화된 동적 액세스 정책을 적용합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Advanced
7.6.1 AI 지원 네트워크 액세스DoD 조직은 SDN 인프라 및 엔터프라이즈 보안 프로필을 활용하여 AI(인공 지능)/ML(Machine Learning) 기반 네트워크 액세스를 사용하도록 설정합니다. 이전 활동의 분석은 의사 결정을 개선하는 AI/ML 알고리즘을 가르치는 데 사용됩니다. 결과: - 네트워크 액세스는 환경 분석을 기반으로 하는 AI 기반입니다. |
Microsoft Defender XDR 의 Microsoft Defender XDR 자동 공격 중단은 횡적 이동을 제한합니다. 이 작업은 랜섬웨어 공격의 영향을 줄입니다. Microsoft 보안 연구원은 AI 모델을 사용하여 Defender XDR을 사용하여 고급 공격의 복잡성을 상쇄합니다. 이 솔루션은 신호를 신뢰도가 높은 인시던트와 상호 연결하여 실시간으로 공격을 식별하고 포함합니다. - Microsoft Defender SmartScreen 및 웹 보호의 공격 중단 네트워크 보호 기능은 운영 체제로 확장되어 C2(명령 및 제어) 공격을 차단합니다. - 네트워크 - AI를 보호하여 사람이 운영하는 랜섬웨어 중단) 은 Azure Firewall을 사용하여 방화벽 활동을 시각화하고, AI 조사 기능을 사용하여 위협을 감지하고, 활동을 상호 연결하고, 대응 작업을 자동화합니다. - |
Advanced
7.6.2 AI 지원 동적 액세스 제어DoD 조직은 이전 규칙 기반 동적 액세스를 활용하여 AI(인공 지능)/ML(Machine Learning) 알고리즘을 학습하여 다양한 리소스에 대한 액세스 결정을 내립니다. "AI 지원 네트워크 액세스" 활동 알고리즘이 업데이트되어 모든 DAAS에 대한 보다 광범위한 의사 결정을 내릴 수 있습니다. 결과: - JIT/JEA가 AI와 통합됨 |
조건부 액세스 에는 Microsoft Intune 규정 준수 정책의 엔드포인트용 Microsoft Defender 컴퓨터 위험 수준이 필요합니다. 조건부 액세스 정책에서 디바이스 준수 및 Microsoft Entra ID 보호 위험 조건을 사용합니다. - 준수 정책 ID 보호 위험 수준 및 디바이스 준수 신호를 사용하여 권한 있는 액세스에 대한 인증 컨텍스트를 정의합니다. JIT(Just-In-Time) 액세스에 대한 정책을 적용하려면 PIM 요청에 대한 인증 컨텍스트가 필요합니다. 이 섹션의 Microsoft 지침 7.6.1 및 User의 1.4.4를 참조하세요. |
다음 단계
DoD 제로 트러스트 전략에 대한 Microsoft 클라우드 서비스를 구성합니다.
- 소개
- 사용자
- 디바이스
- 애플리케이션 및 워크로드
- 데이터
- 네트워크
- 자동화 및 오케스트레이션
- 표시 유형 및 분석