Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.
Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Gegevens
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse
6 Automatisering en indeling
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de automatiserings- en indelingspijler. Zie zichtbaarheid, automatisering en indeling met Zero Trust voor meer informatie.
6.1 Beleidsbeslissingspunt (PDP) en beleidsindeling
Microsoft Sentinel heeft beveiligingsindeling, automatisering en respons (SOAR) via cloudresources. Automatiseer detectie en reacties op cyberaanvallen. Sentinel kan worden geïntegreerd met Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure en niet-Microsoft-platforms. Dankzij deze uitbreidbare integraties kan Sentinel cyberbeveiligingsdetectie en -responsacties coördineren op verschillende platforms, waardoor de effectiviteit en efficiëntie van beveiligingsbewerkingen wordt verhoogd.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.1.1 Beleidsinventaris & OntwikkelingDe DoD Enterprise werkt met de organisaties om bestaande Cyber Security-beleidsregels en -standaarden te catalogiseren en inventariseren. Beleidsregels worden zo nodig bijgewerkt en gemaakt in activiteiten tussen pijlers om te voldoen aan kritieke ZT-doelfunctionaliteit. Resultaten: - Beleidsregels zijn verzameld in verwijzing naar toepasselijke naleving en risico's (bijvoorbeeld RMF, NIST) - Beleidsregels zijn beoordeeld op ontbrekende pijlers en mogelijkheden per ZTRA - Ontbrekende beleidsregels worden bijgewerkt om te voldoen aan de mogelijkheden per ZTRA |
Microsoft Purview Compliance ManagerGebruik Microsoft Purview Compliance Manager om naleving in een omgeving met meerdere clouds te beoordelen en beheren. - Compliance manager - Azure, Dynamics 365, Microsoft Purview - Multicloud-ondersteuning Gebruik Defender voor Cloud functies voor naleving van regelgeving om de naleving van Azure Policy-initiatieven in een omgeving met meerdere clouds weer te geven en te verbeteren. - - - - Content Hub heeft oplossingen voor het visualiseren en meten van de voortgang met domeinspecifieke beveiligingsvereisten. |
Target
6.1.2 Toegangsprofielvoor organisatieDoD-organisaties ontwikkelen basistoegangsprofielen voor daAS-toegang voor missie/taak en niet-missie/taak-DAAS-toegang met behulp van de gegevens van de pijlers Gebruiker, Gegevens, Netwerk en apparaat. DoD Enterprise werkt samen met de organisaties om een Enterprise Security Profile te ontwikkelen met behulp van de bestaande organisatiebeveiligingsprofielen om een algemene toegangsbenadering voor DAAS te maken. Een gefaseerde benadering kan worden gebruikt in organisaties om risico's te beperken tot essentiële DAAS-toegang van missie/taak zodra de beveiligingsprofielen zijn gemaakt. Resultaten: - Organisatieprofiel(en) worden gemaakt om de toegang tot DAAS te bepalen met behulp van mogelijkheden van gebruikers-, gegevens-, netwerk- en apparaatpijlers - Initiële enterprise-profieltoegangsstandaard is ontwikkeld voor toegang tot DAAS - Indien mogelijk maakt de organisatieprofiel(s) gebruik van bedrijfsservices in de pijlers Gebruiker, Gegevens, Netwerk en Apparaat |
Voorwaardelijke toegang definieer gestandaardiseerde DoD-beleidssets met voorwaardelijke toegang. Neem verificatiesterkte, apparaatcompatibiliteit, ook gebruikers- en aanmeldingsrisicocontroles op. - Voorwaardelijke toegang |
Target
6.1.3 Enterprise Security Profile Pt1Het Enterprise Security-profiel omvat in eerste instantie de pijlers Gebruiker, Gegevens, Netwerk en Apparaat. Bestaande beveiligingsprofielen voor organisaties zijn geïntegreerd voor DAAS-toegang zonder missie/taak hieronder. Resultaten: - Enterprise Profile(s) worden gemaakt voor toegang tot DAAS met behulp van mogelijkheden van gebruiker, gegevens, netwerk en apparaatpijlers - Niet-missie/taakkritieke organisatieprofielen zijn geïntegreerd met de bedrijfsprofiel(en) met behulp van een gestandaardiseerde benadering |
Volledige activiteit 6.1.2. Microsoft Graph API Gebruik Microsoft Graph API voor het beheren en implementeren van beleid voor voorwaardelijke toegang, instellingen voor toegang tussen tenants en andere configuratie-instellingen van Microsoft Entra. - Programmatische toegang - instellingen voor toegang tot meerdere tenants API - Graph-functies en -services |
Advanced
6.1.4 Enterprise Security Profile Pt2Het minimale aantal Enterprise Security Profile(s) bestaat uit het verlenen van toegang tot het breedste bereik van DAAS in pijlers binnen de DoD-organisaties. Missie-/taakorganisatieprofielen worden geïntegreerd met de Enterprise Security Profile(s) en uitzonderingen worden beheerd in een methode op basis van risico's. Resultaten: - Enterprise Profile(s) zijn verkleind en vereenvoudigd om de breedste toegang tot DAAS te ondersteunen: indien nodig zijn een of meer missie-/taakkritieke profielen geïntegreerd en ondersteunde organisatieprofielen worden beschouwd als de uitzondering |
Voorwaardelijke toegang Gebruik de werkmap Voor voorwaardelijke toegang en rapportage om te zien hoe beleid voor voorwaardelijke toegang van invloed is op uw organisatie. Combineer indien mogelijk beleidsregels. Een vereenvoudigde beleidsset is eenvoudiger te beheren, problemen op te lossen en nieuwe functies voor voorwaardelijke toegang te testen. U kunt sjablonen voor voorwaardelijke toegang gebruiken om eenvoudiger beleid te maken. - Inzichten en rapportenSjablonen - gebruiken het what if-hulpprogramma en de modus Alleen-rapporten om problemen met nieuwe beleidsregels op te lossen en te evalueren. - oplossen Verminder de afhankelijkheid van uw organisatie op vertrouwde netwerklocaties. Gebruik land-/regiolocaties die worden bepaald door GPS-coördinaten of IP-adres om locatievoorwaarden in beleid voor voorwaardelijke toegang te vereenvoudigen. - Locatievoorwaarden Aangepaste beveiligingskenmerken Gebruik aangepaste beveiligingskenmerken en toepassingsfilters in beleid voor voorwaardelijke toegang om de autorisatie van beveiligingskenmerken te beperken die is toegewezen aan toepassingsobjecten, zoals gevoeligheid. - Aangepaste beveiligingskenmerken - Filteren op apps |
6.2 Automatisering van kritieke processen
Microsoft Sentinel Automation voert taken uit die doorgaans worden uitgevoerd door beveiligingsanalisten van laag-1. Automatiseringsregels maken gebruik van Azure Logic Apps om gedetailleerde, geautomatiseerde werkstromen te ontwikkelen die de beveiligingsbewerkingen verbeteren. Bijvoorbeeld: incidentverrijking: een koppeling maken naar externe gegevensbronnen om schadelijke activiteiten te detecteren.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.2.1 TaakautomatiseringsanalyseDoD-organisaties identificeren en inventariseren alle taakactiviteiten die handmatig en op geautomatiseerde wijze kunnen worden uitgevoerd. Taakactiviteiten zijn ingedeeld in geautomatiseerde en handmatige categorieën. Handmatige activiteiten worden geanalyseerd voor mogelijke buitengebruikstelling. Resultaten: - Automatiseerbare taken worden geïdentificeerd - Taken worden opgesomd - Beleidsinventaris en -ontwikkeling |
Volledige activiteit 6.1.1. Azure Resource Manager Arm-sjablonen en Azure Blueprints gebruiken om implementaties te automatiseren met infrastructuur als code (IaC). - ARM-sjablonen organiseren Azure Policy-toewijzingen met behulp van de initiatiefdefinities.- Deploy Defender voor Cloud regelgevingsstandaarden en -benchmarks. - - Definieer catalogi voor toegangspakketten om standaarden vast te stellen voor toewijzingen en beoordelingen van toegangspakketten. Ontwikkel werkstromen voor identiteitslevenscycli met behulp van Azure Logic Apps om joiner, mover, leaver en andere automatiseerbare taken te automatiseren. - Rechtenbeheerbronnen - - |
Target
6.2.2 Enterprise Integration & Workflow Provisioning Pt1De DoD Enterprise brengt basislijnintegraties tot stand binnen de SOAR-oplossing (Security Orchestration, Automation and Response) die vereist is om ZTA-functionaliteit op doelniveau in te schakelen. DoD-organisaties identificeren integratiepunten en prioriteren belangrijke punten volgens de Basislijn van DoD Enterprise. Kritieke integraties vinden plaats met belangrijke services voor het inschakelen van herstel- en beveiligingsmogelijkheden. Resultaten: - Volledige bedrijfsintegraties implementeren - Belangrijke integraties identificeren- Herstel- en beveiligingsvereisten identificeren |
Microsoft Sentinel Connect relevante gegevensbronnen naar Sentinel om analyseregels in te schakelen. Neem connectors op voor Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender voor Cloud, Azure Firewall, Azure Resource Manager, Beveiligingsevenementen met Azure Monitor Agent (AMA) en andere API-, Syslog- of CEF-gegevensbronnen (Common Event Format). - - Zie Microsoft-richtlijnen 2.7.2 op . Defender XDR gebruiken om bedreigingen - |
Advanced
6.2.3 Enterprise Integration and Workflow Provisioning Pt2DoD-organisaties integreren de resterende services om te voldoen aan de basisvereisten en geavanceerde ZTA-functionaliteitsvereisten, afhankelijk van de omgeving. Service-inrichting is geïntegreerd en geautomatiseerd in werkstromen waar de ZTA-doelfunctionaliteit is vereist. Resultaten: - Services geïdentificeerd - Service-inrichting wordt geïmplementeerd |
Microsoft Defender XDR Microsoft Defender XDR beschermt identiteiten, apparaten, gegevens en toepassingen. Gebruik Defender XDR voor het configureren van onderdeelintegraties XDR-hulpprogramma voor het instellen van |
6.3 Machine learning
Microsoft Defender XDR en Microsoft Sentinel gebruiken kunstmatige intelligentie (AI), machine learning (ML) en bedreigingsinformatie om geavanceerde bedreigingen te detecteren en erop te reageren. Gebruik integraties van Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection en voorwaardelijke toegang om risicosignalen te gebruiken om adaptief toegangsbeleid af te dwingen.
Meer informatie over de Microsoft-beveiligingsstack en ML, Voorbereiden op Beveiliging Copilot in Clouds voor de Amerikaanse overheid.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.3.1 Implementeer hulpprogramma'svoor gegevenstags en classificatie van MLDoD-organisaties maken gebruik van bestaande standaarden en vereisten voor gegevenstags en -classificatie om waar nodig Machine Learning-oplossingen aan te schaffen. Machine Learning-oplossingen worden geïmplementeerd in organisaties en bestaande gelabelde en geclassificeerde gegevensopslagplaatsen worden gebruikt om basislijnen vast te stellen. Machine learning-oplossingen passen gegevenstags toe in een benadering onder supervisie om de analyse voortdurend te verbeteren. Resultaat: - Geïmplementeerde hulpprogramma's voor gegevenstags en classificatie zijn geïntegreerd met ML-hulpprogramma's |
Microsoft Purview AutoLabeling configureren in Microsoft Purview voor servicezijde (Microsoft 365) en clientzijde (Microsoft Office-app s) en in Microsoft Purview-gegevenstoewijzing. - Vertrouwelijkheidsgegevenslabels in Data Map Zie Microsoft-richtlijnen 4.3.4 en 4.3.5 in Gegevens. |
6.4 Kunstmatige intelligentie
Microsoft Defender XDR en Microsoft Sentinel gebruiken kunstmatige intelligentie (AI), machine learning (ML) en bedreigingsinformatie om geavanceerde bedreigingen te detecteren en erop te reageren. Integraties tussen Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection en voorwaardelijke toegang helpen u risicosignalen te gebruiken om adaptief toegangsbeleid af te dwingen.
Meer informatie over de Microsoft-beveiligingsstack en AI, Voorbereiden op Beveiliging Copilot in Clouds voor de Amerikaanse overheid.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Advanced
6.4.1 Ai-automatiseringshulpprogramma'simplementerenDoD-organisaties identificeren gebieden van verbetering op basis van bestaande machine learning-technieken voor kunstmatige intelligentie. AI-oplossingen worden geïdentificeerd, aangeschaft en geïmplementeerd met behulp van de geïdentificeerde gebieden als vereisten. Resultaten: - Vereisten voor AI-hulpprogramma's ontwikkelen- AI-hulpprogramma's aanschaffen en implementeren |
Fusion in Microsoft Sentinel Fusion is een geavanceerde analyseregel voor aanvalsdetectie in Sentinel. Fusion is een door ML getrainde correlatie-engine waarmee aanvallen met meerdere fasen of geavanceerde permanente bedreigingen (APT's) worden gedetecteerd. Het identificeert afwijkend gedrag en verdachte activiteiten die anders moeilijk te vangen zijn. Incidenten zijn laag volume, hoge betrouwbaarheid en hoge ernst. - Geavanceerde detectie - van aanvallen met meerdere fasen Aanpasbare afwijkingen - Analyseregels voor anomaliedetectie Microsoft Entra ID Protection Identity Protection maakt gebruik van machine learning-algoritmen (ML) om risico's op basis van identiteiten te detecteren en op te lossen. Schakel Microsoft Entra ID Protection in om beleid voor voorwaardelijke toegang te maken voor gebruikers- en aanmeldingsrisico's. - Microsoft Entra ID Protection - Configureer en schakel risicobeleidsregels met intelligente verkeersprofilering in voor meer informatie over toepassingsverkeer en pas het profiel aan wanneer verkeer verandert. - |
Advanced
6.4.2 AI Driven by Analytics beslist A&O-wijzigingenDoD-organisaties die gebruikmaken van bestaande machine learning-functies implementeren en gebruiken AI-technologie zoals neurale netwerken om automatiserings- en indelingsbeslissingen te nemen. Besluitvorming wordt zoveel mogelijk verplaatst naar AI, waardoor menselijke medewerkers kunnen worden vrijgemaakt voor andere inspanningen. Door gebruik te maken van historische patronen, zal AI anticiperende wijzigingen aanbrengen in de omgeving om het risico beter te verminderen. Resultaat: - AI kan wijzigingen aanbrengen in geautomatiseerde werkstroomactiviteiten |
Met Microsoft Sentinel kunt u analytische regels inschakelen voor het detecteren van geavanceerde aanvallen met Fusion- en UEBA-afwijkingen in Microsoft Sentinel. Ontwerp automatiseringsregels en playbooks voor beveiligingsreacties. Zie de richtlijnen van Microsoft in 6.2.3 en 6.4.1. |
6.5 Beveiligingsindeling, automatisering en respons (SOAR)
Microsoft Defender XDR heeft mogelijkheden voor detectie en respons met standaard en aanpasbare detecties. Breid de mogelijkheid uit met behulp van Microsoft Sentinel-analyseregels om SOAR-acties (Security Orchestration, Automation and Response) te activeren met Azure Logic Apps.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.5.1 Analyse van antwoordautomatiseringDoD-organisaties identificeren en inventariseren alle reactieactiviteiten die handmatig en op geautomatiseerde wijze worden uitgevoerd. Reactieactiviteiten worden ingedeeld in geautomatiseerde en handmatige categorieën. Handmatige activiteiten worden geanalyseerd voor mogelijke buitengebruikstelling. Resultaat: - Geautomatiseerde antwoordactiviteiten worden geïdentificeerd - Antwoordactiviteiten worden opgesomd |
Microsoft Defender XDR Microsoft Defender XDR heeft automatische en handmatige reactieacties voor bestands- en apparaatincidenten. - Incidenten in Defender XDR |
Target
6.5.2 SOAR-hulpprogramma'simplementerenDoD Enterprise die met organisaties werkt, ontwikkelt een standaardset vereisten voor SOAR-hulpprogramma's (Security Orchestration, Automation en Response) om ZTA-functies op doelniveau in te schakelen. DoD-organisaties gebruiken goedgekeurde vereisten om SOAR-oplossing aan te schaffen en te implementeren. Basisinfrastructuurintegraties voor toekomstige SOAR-functionaliteit zijn voltooid. Resultaten: - Vereisten ontwikkelen voor soar-hulpprogramma - SOAR-hulpprogramma aanschaffen |
Microsoft Defender XDR: standaardantwoordmogelijkheden van Microsoft Defender XDR gebruiken. Zie Microsoft-richtlijnen 6.5.1. Microsoft Sentinel Sentinel maakt gebruik van Azure Logic Apps voor SOAR-functionaliteit. Gebruik Logic Apps om geautomatiseerde werkstromen te maken en uit te voeren met weinig tot geen code. Gebruik Logic Apps om verbinding te maken met en te communiceren met resources buiten Microsoft Sentinel. - Playbooks met automatiseringsregels - Automatiseer bedreigingsreacties met playbooks |
Advanced
6.5.3 PlaybooksimplementerenDoD-organisaties controleren alle bestaande playbooks om toekomstige automatisering te identificeren. Bestaande handmatige en geautomatiseerde processen die ontbrekende playbooks bevatten, hebben playbooks ontwikkeld. Playbooks krijgen prioriteit om automatisering te integreren met de geautomatiseerde werkstromen die betrekking hebben op kritieke processen. Handmatige processen zonder playbooks worden geautoriseerd met behulp van een methode op basis van risico's. Resultaten: - Indien mogelijk playbooks automatiseren op basis van geautomatiseerde werkstromen- Handmatige playbooks worden ontwikkeld en geïmplementeerd |
Microsoft Sentinel Bekijk de huidige beveiligingsprocessen en gebruik best practices in het Microsoft Cloud Adoption Framework (CAF). Als u SOAR-mogelijkheden wilt uitbreiden, maakt en past u playbooks aan. Begin met Sentinel-playbooksjablonen. - Soc Process Framework-playbooks van sjablonen voor beveiligingsbewerkingen - - |
6.6 API-standaardisatie
Microsoft Graph API heeft een standaardinterface voor interactie met Microsoft-cloudservices. Azure API Management kan API's beveiligen die worden gehost door uw organisatie.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.6.1 Complianceanalysevan hulpprogramma'sHulpprogramma's en oplossingen voor automatisering en indeling worden geanalyseerd op naleving en mogelijkheden op basis van de DoD Enterprise-programmatische interfacestandaard en -vereisten. Er worden meer hulpprogramma's of oplossingen geïdentificeerd ter ondersteuning van de programmatische interfacestandaarden en -vereisten. Resultaten: - DE API-status wordt bepaald aan de hand van naleving of niet-naleving van API-standaarden : hulpprogramma's die moeten worden gebruikt, worden geïdentificeerd |
Microsoft Graph Security API Microsoft Defender, Microsoft Sentinel en Microsoft Entra hebben API's gedocumenteerd. - - - |
Target
6.6.2 Gestandaardiseerde API-aanroepen en schema's Pt1De DoD Enterprise werkt samen met organisaties om zo nodig een programmatische interface (bijvoorbeeld API)-standaard en -vereisten tot stand te brengen voor het inschakelen van doel-ZTA-functionaliteiten. DoD-organisaties werken programmatische interfaces bij naar de nieuwe standaard en verplichten nieuw verworven/ontwikkelde hulpprogramma's om aan de nieuwe standaard te voldoen. Hulpprogramma's die niet aan de standaard kunnen voldoen, worden met uitzondering toegestaan met behulp van een methode op basis van risico's. Resultaten: - Initiële aanroepen en schema's worden geïmplementeerd - Niet-compatibele hulpprogramma's worden vervangen |
Volledige activiteit 6.6.1. Azure API Managementgebruikt Azure API Management als API-gateway om te communiceren met API's en een consistent toegangsschema te maken voor verschillende API's. - Azure API Management Orchestrate Zero Trust-acties met behulp van Azure Automation-hulpprogramma's. - |
Target
6.6.3 Gestandaardiseerde API-aanroepen en schema's Pt2DoD-organisaties voltooien de migratie naar de nieuwe programmatische interfacestandaard. Hulpprogramma's die zijn gemarkeerd voor buiten gebruik stellen in de vorige activiteit, worden buiten gebruik gesteld en functies worden gemigreerd naar gemoderniseerde hulpprogramma's. Goedgekeurde schema's worden aangenomen op basis van de DoD Enterprise-standaard/-vereisten. Resultaat: - Alle aanroepen en schema's worden geïmplementeerd |
Microsoft Sentinel Sentinel gebruiken als orchestration-engine om acties te activeren en uit te voeren in automatiseringsprogramma's die in dit document worden genoemd. - Bedreigingsreactie automatiseren met playbooks |
6.7 Security Operations Center (SOC) en reactie op incidenten (IR)
Microsoft Sentinel is een oplossing voor casebeheer voor het onderzoeken en beheren van beveiligingsincidenten. Als u acties voor beveiligingsreacties wilt automatiseren, oplossingen voor bedreigingsinformatie wilt verbinden, Sentinel-oplossingen wilt implementeren, UEBA's (User Entity Behavior Analytics) wilt inschakelen en playbooks wilt maken met Azure Logic Apps.
Meer informatie over het verhogen van de SOC-volwassenheid, zie onderzoek naar sentinel-incidenten en casebeheer.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
6.7.1 Werkstroomverrijking Pt1DoD Enterprise werkt met organisaties om een standaard voor het reageren op cyberbeveiligingsincidenten vast te stellen met behulp van best practices voor de branche, zoals NIST. DoD-organisaties maken gebruik van de enterprise-standaard om werkstromen voor incidentrespons te bepalen. Externe bronnen van verrijking worden geïdentificeerd voor toekomstige integratie. Resultaten: - Bedreigingsgebeurtenissen worden geïdentificeerd - Werkstromen voor bedreigingsgebeurtenissen worden ontwikkeld |
Microsoft Sentinel-gegevensconnectors verrijken Sentinel-werkstromen door Microsoft Defender-bedreigingsinformatie te verbinden met Sentinel. - Gegevensconnector voor Defender Threat Intelligence Gebruik Sentinel-oplossingen om aanbevolen procedures voor de branche te bekijken. NIST 800-53-oplossing CMMS 2.0-oplossing- - |
Target
6.7.2 Werkstroomverrijking Pt2DoD-organisaties identificeren en instellen uitgebreide werkstromen voor aanvullende typen incidentreacties. Initiële verrijkingsgegevensbronnen worden gebruikt voor bestaande werkstromen. Aanvullende verrijkingsbronnen worden geïdentificeerd voor toekomstige integraties. Resultaten: - Werkstromen voor geavanceerde bedreigingsgebeurtenissen zijn ontwikkeld - Advanced Threat-gebeurtenissen worden geïdentificeerd |
Microsoft Sentinel Gebruik geavanceerde detectie van aanvallen met meerdere fasen in Fusion en analyseregels voor anomaliedetectie in UEBA in Microsoft Sentinel om geautomatiseerde playbooks voor beveiligingsreacties te activeren. Zie Microsoft-richtlijnen 6.2.3Als u Sentinel-werkstromen wilt verrijken, verbindt u Microsoft Defender-bedreigingsinformatie en andere oplossingen voor bedreigingsinformatieplatforms met Microsoft Sentinel. - Connect Sentinel to STIX/TAXII threat intelligence feeds - Zie Microsoft guidance 6.7.1. |
Advanced
6.7.3 Werkstroomverrijking Pt3DoD-organisaties maken gebruik van definitieve verrijkingsgegevensbronnen voor basis- en uitgebreide werkstromen voor bedreigingsreacties. Resultaten: - Verrijkingsgegevens zijn geïdentificeerd - Verrijkingsgegevens zijn geïntegreerd in werkstromen |
Microsoft Sentinel Entiteiten toevoegen om bedreigingsinformatieresultaten in Sentinel te verbeteren. - Taken voor het beheren van incidenten in Sentinel - Verrijken onderzoekswerkstromen en het beheren van incidenten in Sentinel. - Enrich-entiteiten met geolocatiegegevens - |
Advanced
6.7.4 Geautomatiseerde werkstroomDoD-organisaties richten zich op het automatiseren van SOAR-functies (Security Orchestration, Automation en Response) en playbooks. Handmatige processen binnen beveiligingsbewerkingen worden geïdentificeerd en volledig geautomatiseerd. Resterende handmatige processen worden buiten gebruik gesteld indien mogelijk of gemarkeerd voor uitzonderingen met behulp van een benadering op basis van risico's. Resultaten: - Werkstroomprocessen zijn volledig geautomatiseerd- Handmatige processen zijn geïdentificeerd - Resterende processen worden gemarkeerd als uitzonderingen en gedocumenteerd |
Microsoft Sentinel-playbooks Sentinel-playbooks zijn gebaseerd op Logic Apps, een cloudservice die taken en werkstromen in bedrijfssystemen plant, automatiseert en organiseert. Bouw antwoordplaybooks met sjablonen, implementeer oplossingen van de Sentinel-inhoudshub. Bouw aangepaste analyseregels en reactieacties met Azure Logic Apps. - Sentinel-playbooks van sjablonen - Automate threat response with playbooks - Sentinel content hub catalog - Azure Logic Apps |
Volgende stappen
Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie:
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Gegevens
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse