DoD Zero Trust-strategie voor de zichtbaarheids- en analysepijler

De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.

Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.

Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.

7 Zichtbaarheid en analyse

In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de zichtbaarheids- en analysepijler. Zie Zichtbaarheid, automatisering en indeling met Zero Trust voor meer informatie.

7.1 Alle verkeer registreren

Microsoft Sentinel is een schaalbaar, cloudeigen SIEM-systeem (Security Information Event Management). Sentinel is ook een SOAR-oplossing (Security Orchestration, Automation and Response) voor het verwerken van grote gegevensvolumes uit verschillende bronnen. Sentinel-gegevensconnectors nemen gegevens op voor gebruikers, apparaten, toepassingen en infrastructuur, on-premises en in meerdere clouds.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 7.1.1 Overwegingen bij schaalDoD-organisaties voeren analyses uit om de huidige en toekomstige behoeften van schaalaanpassing te bepalen. Schalen wordt geanalyseerd volgens de gebruikelijke aanbevolen procedures voor de branche en ZT-pijlers. Het team werkt samen met bestaande BCP-groepen (Business Continuity Planning) en Disaster Recovery Planning (DPR) om de gedistribueerde omgevingsbehoeften in noodgevallen te bepalen en naarmate organisaties groeien. Resultaten: - Voldoende infrastructuur ter plaatse - Gedistribueerde omgeving vastgesteld - Voldoende bandbreedte voor netwerkverkeer	Microsoft Sentinel Sentinel maakt gebruik van een Log Analytics-werkruimte voor het opslaan van beveiligingslogboekgegevens voor analyse. Log Analytics is een PaaS (Platform as a Service) in Azure. Er is geen infrastructuur om te beheren of te bouwen. - Stream-logboeken met behulp van Azure Monitor Agent voor virtuele machines (VM's) ook on-premises en in andere clouds.- - - Zorg ervoor dat de netwerkinfrastructuur voldoet aan de bandbreedtevereisten voor Microsoft 365- en cloudbeveiligingsbewaking voor on-premises servers.- Controleer het beheer van bedrijfscontinuïteit en de verdeling van verantwoordelijkheden. - Richtlijnen voor betrouwbaarheidsbeheer - voor bedrijfscontinuïteit
`Target` 7.1.2 Logboekparsering DoD-organisaties identificeren en prioriteren logboek- en stroombronnen (bijvoorbeeld firewalls, eindpuntdetectie en -respons, Active Directory, Switches, Routers, enzovoort) en ontwikkelen een plan voor het verzamelen van logboeken met hoge prioriteit en vervolgens lage prioriteit. Een open industriestandaard logboekindeling wordt overeengekomen op doD Enterprise-niveau met de organisaties en geïmplementeerd in toekomstige inkoopvereisten. Bestaande oplossingen en technologieën worden continu gemigreerd naar de indeling. Resultaten: - Gestandaardiseerde logboekindelingen - Regels die zijn ontwikkeld voor elke logboekindeling	Microsoft Sentinel-gegevensconnectors verbinden relevante gegevensbronnen met Sentinel. Analyseregels inschakelen en configureren. Gegevensconnectors maken gebruik van gestandaardiseerde logboekindelingen. - Monitor Zero Trust security architectures - Create Sentinel custom connectors - Logs Ingestion API in Azure Monitor Zie Microsoft guidance 6.2.2 in Standaardiseer logboekregistratie met CEF (Common Event Format), een industriestandaard die wordt gebruikt door beveiligingsleveranciers voor de interoperabiliteit van gebeurtenissen tussen platforms. Syslog gebruiken voor systemen die geen ondersteuning bieden voor logboeken in CEF. - CEF met Azure Monitor-connector voor Sentinel - Gebruik het Advanced Security Information Model (ASIM) (openbare preview) om gegevens uit meerdere bronnen met een genormaliseerd schema te verzamelen en weer te geven. -
`Target` 7.1.3 Logboekanalyse Algemene activiteiten van gebruikers en apparaten worden geïdentificeerd en geprioriteerd op basis van risico's. Activiteiten die als de meest simplistische en riskante activiteiten worden beschouwd, hebben analyses gemaakt met behulp van verschillende gegevensbronnen, zoals logboeken. Trends en patronen worden ontwikkeld op basis van de analyses die worden verzameld om activiteiten gedurende langere tijd te bekijken. Resultaten: - Analyse per activiteit ontwikkelen- Activiteiten identificeren die moeten worden geanalyseerd	Volledige activiteit 7.1.2. Microsoft Defender XDR Microsoft Defender XDR is een geïntegreerde enterprise defense suite die detectie, preventie, onderzoek en respons coördineert op basis van eindpunten, identiteiten, e-mail en toepassingen. Gebruik Defender XDR om te beschermen tegen en te reageren op geavanceerde aanvallen. - Onderzoek waarschuwingen - van Zero Trust met Defender XDR - Ontwikkel aangepaste analysequery's en visualiseer verzamelde gegevens met behulp van werkmappen. Aangepaste analyseregels voor het detecteren van bedreigingen -

7.2 Beveiligingsinformatie en gebeurtenisbeheer

Microsoft Defender XDR en Microsoft Sentinel werken samen om beveiligingsrisico's te detecteren, te waarschuwen en erop te reageren. Microsoft Defender XDR detecteert bedreigingen in Microsoft 365, identiteiten, apparaten, toepassingen en infrastructuur. Defender XR genereert waarschuwingen in de Microsoft Defender-portal. Verbind waarschuwingen en onbewerkte gegevens van Microsoft Defender XDR met Sentinel en gebruik geavanceerde analyseregels om gebeurtenissen te correleren en incidenten te genereren voor waarschuwingen met hoge kwaliteit.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 7.2.1 Bedreigingswaarschuwing pt1 DoD-organisaties maken gebruik van een bestaande SIEM-oplossing (Security Information and Event Management) om basisregels en waarschuwingen te ontwikkelen voor veelvoorkomende bedreigingsgebeurtenissen (malware, phishing, enzovoort) Waarschuwingen en/of regels worden ingevoerd in de parallelle activiteit Asset ID & Alert Correlation om reacties te automatiseren. Resultaat: - Regels ontwikkeld voor bedreigingscorrelatie	Microsoft Defender XDR Microsoft Defender XDR heeft waarschuwingen voor bedreigingen die zijn gedetecteerd voor eindpunten, identiteiten, identiteiten, e-mail, samenwerkingshulpprogramma's, toepassingen en cloudinfrastructuur. Het platform voegt gerelateerde waarschuwingen automatisch samen in incidenten om de beveiligingsbeoordeling te stroomlijnen. - Onderzoek waarschuwingen : Standaardanalyseregels voor verbonden gegevensbronnen inschakelen en aangepaste analyseregels maken om bedreigingen in Sentinel te detecteren. Zie de richtlijnen van Microsoft in .
`Target` 7.2.2 Bedreigingswaarschuwingen pt2 DoD-organisaties breiden bedreigingswaarschuwingen uit in de SIEM-oplossing (Security Information and Event Management) om CTI-gegevensfeeds (Cyber Threat Intelligence) op te nemen. Afwijkings- en anomalieregels worden in de SIEM ontwikkeld om geavanceerde bedreigingen te detecteren. Resultaat: - Analyse ontwikkelen om afwijkingen te detecteren	Microsoft Sentinel threat intelligence Connect cyber threat intelligence (CTI) feeds naar Sentinel. - Bedreigingsinformatie Zie Microsoft-richtlijnen 6.7.1 en 6.7.2 in Automatisering en indeling. Microsoft Sentinel-oplossingen Gebruik analyseregels en werkmappen in de Microsoft Sentinel-inhoudshub. - Sentinel-inhoud en -oplossingen Maken geplande analyseregels om afwijkingen te detecteren, incidenten te maken en SOAR-acties (Security Orchestration, Automation and Response) te activeren. -
`Advanced` 7.2.3 Bedreigingswaarschuwingen pt3 Bedreigingswaarschuwingen worden uitgebreid met geavanceerde gegevensbronnen, zoals Extended Detection & Response (XDR), User & Entity Behavior Analytics (UEBA) en UAM (User Activity Monitoring). Deze geavanceerde gegevensbronnen worden gebruikt om verbeterde anomalie- en patroonactiviteitsdetecties te ontwikkelen. Resultaten: - Afwijkende gebeurtenissen identificeren- Triggeringsbeleid implementeren	Microsoft Sentinel-gegevensconnectors verbinden Microsoft Defender XDR met Sentinel om waarschuwingen, incidenten en onbewerkte gegevens samen te voegen. - Verbind Defender XDR met Sentinel Microsoft Sentinel aanpasbare afwijkingen . Gebruik Microsoft Sentinel aanpasbare anomaliesjablonen om ruis te verminderen met anomaliedetectieregels - Aanpasbare afwijkingen om bedreigingen te detecteren. De Fusion-engine correleert waarschuwingen voor geavanceerde aanvallen met meerdere fasen. - van fusion-engine Zie Microsoft-richtlijnen 6.4.1 in Automatisering en indeling.
`Target` 7.2.4 Asset-id en waarschuwingscorrelatie DoD-organisaties ontwikkelen basiscorrelatieregels met behulp van asset- en waarschuwingsgegevens. Reactie op veelvoorkomende bedreigingsgebeurtenissen (bijvoorbeeld malware, phishing, enzovoort) worden geautomatiseerd binnen de SIEM-oplossing (Security Information and Event Management). Resultaat: - Regels die zijn ontwikkeld voor antwoorden op basis van asset-id's	Microsoft Defender XDR Microsoft Defender XDR correleert signalen tussen eindpunten met meerdere platforms, identiteiten, e-mail, samenwerkingshulpprogramma's, toepassingen en cloudinfrastructuur. Configureer zelfherstel met geautomatiseerde onderzoeks- en reactiemogelijkheden van Microsoft Defender. - Microsoft Defender XDR - Geautomatiseerd onderzoek en antwoord microsoft Sentinel-entiteiten Waarschuwingen die worden verzonden of gegenereerd door Sentinel, bevatten gegevensitems Sentinel classificeert in entiteiten: gebruikersaccounts, hosts, bestanden, processen, IP-adressen, URL's. Gebruik entiteitenpagina's om entiteitsgegevens weer te geven, gedrag te analyseren en onderzoeken te verbeteren. - Gegevens classificeren en analyseren met behulp van entiteiten - Entiteitspagina's onderzoeken
`Target` 7.2.5 Basislijnen voor gebruikers/apparaten DoD-organisaties ontwikkelen basislijnmethoden voor gebruikers en apparaten op basis van DoD Enterprise-standaarden voor de juiste pijler. Kenmerken die worden gebruikt in baselining, worden opgehaald uit de bedrijfsbrede standaarden die zijn ontwikkeld in cross-pillar-activiteiten. Resultaat: - Basislijnen voor gebruikers en apparaten identificeren	Microsoft Sentinel-gegevensconnectors maken een basislijn voor gegevensopname voor Sentinel. Neem minimaal Microsoft Entra ID en Microsoft Defender XDR-connectors op, configureer standaardanalyseregels en schakel UEBA (User Entity Behavior Analytics) in. - Verbind Defender XDR met Sentinel - Enable UEBA Azure Lighthouse Configure Azure Lighthouse om Sentinel-werkruimten in meerdere tenants te beheren. - Sentinel uitbreiden tussen werkruimten en tenants Multitenant-bewerkingen - voor defensieorganisaties

7.3 Algemene beveiligings- en risicoanalyses

Microsoft Defender XDR heeft standaard detectie van bedreigingen, analyses en waarschuwingen. Gebruik Microsoft Sentinel aanpasbare bijna realtime analyseregels om te helpen bij het correleren, detecteren en genereren van waarschuwingen voor afwijkingen in verbonden gegevensbronnen.

Beschrijving en resultaat van DoD-activiteit Richtlijnen en aanbevelingen van Microsoft

Target 7.3.1 Analytics Tools
implementerenDoD-organisaties kopen en implementeren basishulpprogramma's voor cybergerichte analyses. Analyseontwikkeling wordt prioriteit gegeven op basis van risico's en complexiteit, op zoek naar eenvoudige impactvolle analyses eerst. Continue analyseontwikkeling richt zich op De vereisten van de pijler om beter te voldoen aan de rapportagebehoeften.

Resultaten:
- Vereisten ontwikkelen voor analytische omgeving
- Analytische hulpprogramma's aanschaffen en implementeren Microsoft Defender XDR en Microsoft Sentinel
De integratie van Microsoft Defender XDR en Sentinel configureren.
- Microsoft Defender XDR
- Sentinel en Defender XDR for Zero Trust

Target 7.3.2 Basislijngedrag van gebruikers vaststellen
Door gebruik te maken van de analyse die is ontwikkeld voor gebruikers en apparaten in een parallelle activiteit, worden basislijnen tot stand gebracht in een technische oplossing. Deze basislijnen worden toegepast op een geïdentificeerde set gebruikers op basis van risico in eerste instantie en vervolgens uitgebreid naar de grotere gebruikersbasis van de DoD-organisatie. De gebruikte technische oplossing is geïntegreerd met machine learning-functionaliteit om te beginnen met automatisering.

Resultaten:
- Gebruikers identificeren voor basislijn
- Basislijnen op basis van ML instellen Microsoft Defender XDR Microsoft Defender XDR
geïntegreerde geautomatiseerde detectie en respons is een frontline van verdediging. De richtlijnen in gebruikers- en apparaatpijlers leggen basislijngedrag vast en dwingen beleidsregels af met Microsoft Defender XDR-signalen in Microsoft Intune (apparaatnaleving) en voorwaardelijke toegang (compatibel apparaat- en identiteitsrisico).

Zie de Richtlijnen van Microsoft in Gebruiker en Apparaat.

Microsoft Sentinel-analyseregels
Gebruiken Sentinel om gebeurtenissen te correleren, bedreigingen te detecteren en reactieacties te activeren. Verbind relevante gegevensbronnen met Sentinel en maak bijna realtime analyseregels om bedreigingen te detecteren tijdens gegevensopname.
- Bedreigingen detecteren Zie microsoft-richtlijnen in 7.2.5.

Microsoft Sentinel-notebooks
bouwen een aangepaste ML-modellen om Sentinel-gegevens te analyseren met behulp van Jupyter-notebooks en het BYO-ML-platform
- (Bring-Your-Own-Machine Learning).BYO-ML in Sentinel
- Jupyter-notebooks en MSTICPy

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 7.3.1 Analytics Tools implementerenDoD-organisaties kopen en implementeren basishulpprogramma's voor cybergerichte analyses. Analyseontwikkeling wordt prioriteit gegeven op basis van risico's en complexiteit, op zoek naar eenvoudige impactvolle analyses eerst. Continue analyseontwikkeling richt zich op De vereisten van de pijler om beter te voldoen aan de rapportagebehoeften. Resultaten: - Vereisten ontwikkelen voor analytische omgeving - Analytische hulpprogramma's aanschaffen en implementeren	Microsoft Defender XDR en Microsoft Sentinel De integratie van Microsoft Defender XDR en Sentinel configureren. - Microsoft Defender XDR - Sentinel en Defender XDR for Zero Trust
`Target` 7.3.2 Basislijngedrag van gebruikers vaststellen Door gebruik te maken van de analyse die is ontwikkeld voor gebruikers en apparaten in een parallelle activiteit, worden basislijnen tot stand gebracht in een technische oplossing. Deze basislijnen worden toegepast op een geïdentificeerde set gebruikers op basis van risico in eerste instantie en vervolgens uitgebreid naar de grotere gebruikersbasis van de DoD-organisatie. De gebruikte technische oplossing is geïntegreerd met machine learning-functionaliteit om te beginnen met automatisering. Resultaten: - Gebruikers identificeren voor basislijn - Basislijnen op basis van ML instellen	Microsoft Defender XDR Microsoft Defender XDR geïntegreerde geautomatiseerde detectie en respons is een frontline van verdediging. De richtlijnen in gebruikers- en apparaatpijlers leggen basislijngedrag vast en dwingen beleidsregels af met Microsoft Defender XDR-signalen in Microsoft Intune (apparaatnaleving) en voorwaardelijke toegang (compatibel apparaat- en identiteitsrisico). Zie de Richtlijnen van Microsoft in Gebruiker en Apparaat. Microsoft Sentinel-analyseregels Gebruiken Sentinel om gebeurtenissen te correleren, bedreigingen te detecteren en reactieacties te activeren. Verbind relevante gegevensbronnen met Sentinel en maak bijna realtime analyseregels om bedreigingen te detecteren tijdens gegevensopname. - Bedreigingen detecteren Zie microsoft-richtlijnen in 7.2.5. Microsoft Sentinel-notebooks bouwen een aangepaste ML-modellen om Sentinel-gegevens te analyseren met behulp van Jupyter-notebooks en het BYO-ML-platform - (Bring-Your-Own-Machine Learning).BYO-ML in Sentinel - Jupyter-notebooks en MSTICPy

7.4 Analyse van gebruikers- en entiteitsgedrag

Microsoft Defender XDR en Microsoft Sentinel detecteren afwijkingen met behulp van UEBA (User Entity Behavior Analytics). Detecteer afwijkingen in Sentinel met analyseregels voor Fusion, UEBA en machine learning (ML). Sentinel kan ook worden geïntegreerd met Azure Notebooks (Jupyter Notebook) voor bring-your-own-Machine Learning (BYO-ML) en visualisatiefunctionaliteit.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 7.4.1 Basislijn en Profilering Pt1 Door gebruik te maken van de analyse die is ontwikkeld voor gebruikers en apparaten in een parallelle activiteit, worden algemene profielen gemaakt voor typische gebruikers- en apparaattypen. Analyses die zijn gemaakt van baselining, worden bijgewerkt om te kijken naar grotere containers, profielen. Resultaten: - Analyse ontwikkelen om veranderende bedreigingsomstandigheden te detecteren- Gebruikers- en apparaatbedreigingsprofielen identificeren	Microsoft Defender XDR Bezoek de Microsoft Defender-portal voor een uniforme weergave van incidenten, waarschuwingen, rapporten en bedreigingsanalyse. Gebruik Microsoft Secure Score om de beveiligingspostuur te beoordelen en te verbeteren. Maak aangepaste detecties om beveiligingsevenementen in Microsoft Defender XDR te bewaken en erop te reageren. - Microsoft Defender-portal - Gebruik werkmappen om gegevens te visualiseren en te bewaken. Maak aangepaste analyseregels en schakel anomaliedetectie in om afwijkingsdetectie te identificeren en te waarschuwen voor veranderende bedreigingsomstandigheden. - Aangepaste analyse van gegevens - visualiseren en bewaken om bedreigingen - aan te passen om bedreigingen te detecteren
`Advanced` 7.4.2 Basislijn en Profilering Pt2 DoD-organisaties breiden basislijnen en profielen uit met onbeheerde en niet-standaard apparaattypen, waaronder Internet of Things (IoT) en Operational Technology (OT) via bewaking van gegevensuitvoer. Deze apparaten worden opnieuw geprofileerd op basis van gestandaardiseerde kenmerken en gebruiksvoorbeelden. Analyses worden bijgewerkt om rekening te houden met de nieuwe basislijnen en profielen dienovereenkomstig verdere detecties en reacties mogelijk maken. Specifieke riskante gebruikers en apparaten krijgen automatisch prioriteit voor een betere bewaking op basis van risico's. Detectie en respons zijn geïntegreerd met functies van meerdere pijlers. Resultaten: - Bedreigingsprofielen toevoegen voor IoT- en OT-apparaten - Analyse ontwikkelen en uitbreiden- Bedreigingsprofielen uitbreiden naar afzonderlijke gebruikers en apparaten	Microsoft Defender XDR Onbeheerde apparaten detecteren en beveiligen met Microsoft Defender voor Eindpunt. - Tenant voor apparaatdetectie - Deploy Defender for IoT-sensoren in OT-netwerken (operationele technologie). Defender for IoT biedt ondersteuning voor apparaatbewaking zonder agent voor cloud-, on-premises en hybride OT-netwerken. Schakel de leermodus in voor een basislijn van uw omgeving en verbind Defender for IoT met Microsoft Sentinel. - Defender for IoT for organizations - OT monitoring - Learned baseline of OT alerts - Connect Defender for IoT with Sentinel Investigate entities with entity pages - onderzoeken met entiteitspagina's)
`Advanced` 7.4.3 UEBA-basislijnondersteuning pt1 UEBA (User and Entity Behavior Analytics) binnen DoD-organisaties breidt bewaking uit naar geavanceerde analyses, zoals Machine Learning (ML). Deze resultaten worden op zijn beurt beoordeeld en teruggegeven aan de ML-algoritmen om detectie en respons te verbeteren. Resultaat: - Op ML gebaseerde analyses implementeren om afwijkingen te detecteren	Volledige activiteit 7.3.2. Microsoft Sentinel-analyseregels Sentinel maakt gebruik van twee modellen om basislijnen te maken en afwijkingen, UEBA en machine learning te detecteren. - Gedetecteerde afwijkingen UEBA-afwijkingen UEBA detecteert afwijkingen op basis van dynamische entiteitsbasislijnen. Schakel UEBA UEBA-afwijkingen In machine learning-afwijkingen- - ML-afwijkingen
`Advanced` 7.4.4 UEBA-basislijnondersteuning pt2 UEBA (User & Entity Behavior Analytics) binnen DoD-organisaties voltooit de uitbreiding met behulp van traditionele en machine learning-resultaten (ML) die moeten worden ingevoerd in AI-algoritmen (Artificial Intelligence). In eerste instantie worden op AI gebaseerde detecties onder supervisie gehouden, maar uiteindelijk maken ze gebruik van geavanceerde technieken, zoals neurale netwerken, UEBA-operators maken geen deel uit van het leerproces. Resultaat: - Op ML gebaseerde analyses implementeren om afwijkingen te detecteren (AI-detecties onder supervisie)	Fusion in Microsoft Sentinel Gebruik de geavanceerde detectie van aanvallen met meerdere fasen in fusionanalyseregel, in Sentinel. Fusion is een door ML getrainde correlatie-engine die aanvallen met meerdere fasen en geavanceerde permanente bedreigingen (APT's) detecteert. Het identificeert combinaties van afwijkend gedrag en verdachte activiteiten, anders moeilijk te vangen. - Geavanceerde multistage aanvalsdetectie Bouwen uw eigen aangepaste ML-modellen om Microsoft Sentinel-gegevens te analyseren met behulp van Jupyter-notebooks en het BYO-ML-platform (Bring-Your-Own-Machine-Learning). - -

7.5 Integratie van bedreigingsinformatie

Microsoft Defender-bedreigingsinformatie stroomlijnt triage, incidentrespons, opsporing van bedreigingen, beveiligingsbeheer en CTI (Cyber Threat Intelligence) van Microsoft-bedreigingsexperts en andere bronnen. Microsoft Sentinel maakt verbinding met Microsoft Defender-bedreigingsinformatie- en CTI-bronnen van derden.

Beschrijving en resultaat van DoD-activiteit Richtlijnen en aanbevelingen van Microsoft

Target 7.5.1 Cyber Threat Intelligence Program Pt1
De DoD Enterprise werkt samen met de organisaties voor het ontwikkelen en CTI-programmabeleid (Cyber Threat Intelligence), standaard en proces. Organisaties gebruiken deze documentatie om CTI-teams van organisaties te ontwikkelen met belangrijke belanghebbenden voor missie/taken. CTI Teams integreert algemene feeds van gegevens met siem (Security Information and Event Management) voor verbeterde waarschuwingen en reacties. Integraties met afdwingingspunten voor apparaten en netwerken (bijvoorbeeld firewalls, Endpoint Security Suites, enzovoort) worden gemaakt om basisbewaking van CTI-gestuurde gegevens uit te voeren.

Resultaten:
- Het cyberbedreigingsinformatieteam is aanwezig met kritieke belanghebbenden
: openbare en basislijn-CTI-feeds worden gebruikt door SIEM voor waarschuwingen
- Er bestaan basisintegratiepunten met apparaat- en netwerk afdwingingspunten (bijvoorbeeld NGAV, NGFW, NG-IPS) Microsoft Defender-bedreigingsinformatie Connect Defender Threat Intelligence en andere threat intelligence feeds to Sentinel.
- Defender Threat Intelligence
- Enable data connector for Defender Threat Intelligence Connect threat intelligence
- platforms to Sentinel

Azure networking
Integrate network resources with Microsoft Sentinel.
- Sentinel met Azure Web App Firewall
- Azure Firewall met Sentinel

Target 7.5.2 Cyber Threat Intelligence Program Pt2
DoD-organisaties breiden hun CTI-teams (Cyber Threat Intelligence) uit om zo nodig nieuwe belanghebbenden op te nemen. Geverifieerde, privé- en gecontroleerde CTI-gegevensfeeds zijn geïntegreerd in SIEM-gegevensfeeds (Security Information and Event Management) en afdwingingspunten van de pijlers Apparaat, Gebruiker, Netwerk en Gegevens.

Resultaten:
- Het cyberbedreigingsintelligentieteam is aanwezig met uitgebreide belanghebbenden, indien van toepassing
, en privéfeeds worden gebruikt door SIEM en andere geschikte analysehulpprogramma's voor waarschuwingen en bewaking
- Integratie is ingesteld voor uitgebreide afdwingingspunten binnen de pijlers Apparaat, Gebruiker, Netwerk en Gegevens (UEBA, UAM) Microsoft Sentinel-gegevensconnectors beheren netwerkresources
in Azure met REST API. Basisintegratie met netwerk afdwingingspunten tot stand brengen met behulp van Sentinel-playbooks en Logic Apps.
-
-

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 7.5.1 Cyber Threat Intelligence Program Pt1 De DoD Enterprise werkt samen met de organisaties voor het ontwikkelen en CTI-programmabeleid (Cyber Threat Intelligence), standaard en proces. Organisaties gebruiken deze documentatie om CTI-teams van organisaties te ontwikkelen met belangrijke belanghebbenden voor missie/taken. CTI Teams integreert algemene feeds van gegevens met siem (Security Information and Event Management) voor verbeterde waarschuwingen en reacties. Integraties met afdwingingspunten voor apparaten en netwerken (bijvoorbeeld firewalls, Endpoint Security Suites, enzovoort) worden gemaakt om basisbewaking van CTI-gestuurde gegevens uit te voeren. Resultaten: - Het cyberbedreigingsinformatieteam is aanwezig met kritieke belanghebbenden : openbare en basislijn-CTI-feeds worden gebruikt door SIEM voor waarschuwingen - Er bestaan basisintegratiepunten met apparaat- en netwerk afdwingingspunten (bijvoorbeeld NGAV, NGFW, NG-IPS)	Microsoft Defender-bedreigingsinformatie Connect Defender Threat Intelligence en andere threat intelligence feeds to Sentinel. - Defender Threat Intelligence - Enable data connector for Defender Threat Intelligence Connect threat intelligence - platforms to Sentinel Azure networking Integrate network resources with Microsoft Sentinel. - Sentinel met Azure Web App Firewall - Azure Firewall met Sentinel
`Target` 7.5.2 Cyber Threat Intelligence Program Pt2 DoD-organisaties breiden hun CTI-teams (Cyber Threat Intelligence) uit om zo nodig nieuwe belanghebbenden op te nemen. Geverifieerde, privé- en gecontroleerde CTI-gegevensfeeds zijn geïntegreerd in SIEM-gegevensfeeds (Security Information and Event Management) en afdwingingspunten van de pijlers Apparaat, Gebruiker, Netwerk en Gegevens. Resultaten: - Het cyberbedreigingsintelligentieteam is aanwezig met uitgebreide belanghebbenden, indien van toepassing , en privéfeeds worden gebruikt door SIEM en andere geschikte analysehulpprogramma's voor waarschuwingen en bewaking - Integratie is ingesteld voor uitgebreide afdwingingspunten binnen de pijlers Apparaat, Gebruiker, Netwerk en Gegevens (UEBA, UAM)	Microsoft Sentinel-gegevensconnectors beheren netwerkresources in Azure met REST API. Basisintegratie met netwerk afdwingingspunten tot stand brengen met behulp van Sentinel-playbooks en Logic Apps. - -

7.6 Geautomatiseerd dynamisch beleid

De Microsoft-beveiligingsstack maakt gebruik van machine learning (ML) en kunstmatige intelligentie (AI) om identiteiten, apparaten, toepassingen, gegevens en infrastructuur te beveiligen. Met Microsoft Defender XDR en voorwaardelijke toegang stellen ML-detecties cumulatieve risiconiveaus vast voor gebruikers en apparaten.

Gebruik apparaatrisico's om een apparaat als niet-compatibel te markeren. Met identiteitsrisiconiveau kunnen organisaties phishingbestendige verificatiemethoden, compatibele apparaten, verhoogde aanmeldingsfrequentie en meer vereisen. Gebruik risicovoorwaarden en besturingselementen voor voorwaardelijke toegang om geautomatiseerd, dynamisch toegangsbeleid af te dwingen.

Beschrijving en resultaat van DoD-activiteit Richtlijnen en aanbevelingen van Microsoft

Advanced 7.6.1 NETWERKtoegang
met AIDoD-organisaties maken gebruik van de SDN Infrastructure and Enterprise Security Profiles om kunstmatige intelligentie (AI)/Machine Learning (ML) netwerktoegang mogelijk te maken. Analyse van eerdere activiteiten wordt gebruikt om de AI/ML-algoritmen te leren die de besluitvorming verbeteren.

Resultaat:
- Netwerktoegang wordt gebaseerd op AI op basis van omgevingsanalyse Microsoft Defender XDR
Automatische aanvalsonderbreking in Microsoft Defender XDR beperkt laterale verplaatsing. Deze actie vermindert de effecten van een ransomware-aanval. Microsoft Security-onderzoekers gebruiken AI-modellen om complexiteit van geavanceerde aanvallen tegen te gaan met Defender XDR. De oplossing correleert signalen in incidenten met hoge betrouwbaarheid om de aanvallen in realtime te identificeren en te bevatten.
-

te verstoren)
- Azure Firewall gebruiken om firewallactiviteiten te visualiseren, bedreigingen te detecteren met ai-onderzoeksmogelijkheden, activiteiten te correleren en reactieacties te automatiseren.
-

Advanced 7.6.2 Dynamisch toegangsbeheer
met AIDoD-organisaties gebruiken eerdere dynamische toegang op basis van regels om AI-algoritmen (Artificial Intelligence)/Machine Learning (ML) te leren om toegang te nemen tot verschillende resources. De activiteitsalgoritmen met AI-functionaliteit voor netwerktoegang worden bijgewerkt om bredere besluitvorming voor alle DAAS mogelijk te maken.

Resultaat:
- JIT/JEA zijn geïntegreerd met AI Voor voorwaardelijke toegang
is Microsoft Defender voor Eindpunt risiconiveau van de machine vereist in het Microsoft Intune-nalevingsbeleid. Gebruik apparaatnalevings- en Microsoft Entra ID Protection-risicovoorwaarden in beleid voor voorwaardelijke toegang.
- Op risico's gebaseerd toegangsbeleid nalevingsbeleid
- voor het instellen van regels voor door Intune beheerde apparaten

Privileged Identity Management
Gebruik risiconiveau voor identiteitsbeveiliging en apparaatnalevingssignalen om een verificatiecontext voor bevoegde toegang te definiëren. Verificatiecontext vereisen voor PIM-aanvragen om beleid af te dwingen voor Just-In-Time-toegang (JIT).

Zie Microsoft-richtlijnen 7.6.1 in deze sectie en 1.4.4 in Gebruiker.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Advanced` 7.6.1 NETWERKtoegang met AIDoD-organisaties maken gebruik van de SDN Infrastructure and Enterprise Security Profiles om kunstmatige intelligentie (AI)/Machine Learning (ML) netwerktoegang mogelijk te maken. Analyse van eerdere activiteiten wordt gebruikt om de AI/ML-algoritmen te leren die de besluitvorming verbeteren. Resultaat: - Netwerktoegang wordt gebaseerd op AI op basis van omgevingsanalyse	Microsoft Defender XDR Automatische aanvalsonderbreking in Microsoft Defender XDR beperkt laterale verplaatsing. Deze actie vermindert de effecten van een ransomware-aanval. Microsoft Security-onderzoekers gebruiken AI-modellen om complexiteit van geavanceerde aanvallen tegen te gaan met Defender XDR. De oplossing correleert signalen in incidenten met hoge betrouwbaarheid om de aanvallen in realtime te identificeren en te bevatten. - te verstoren) - Azure Firewall gebruiken om firewallactiviteiten te visualiseren, bedreigingen te detecteren met ai-onderzoeksmogelijkheden, activiteiten te correleren en reactieacties te automatiseren. -
`Advanced` 7.6.2 Dynamisch toegangsbeheer met AIDoD-organisaties gebruiken eerdere dynamische toegang op basis van regels om AI-algoritmen (Artificial Intelligence)/Machine Learning (ML) te leren om toegang te nemen tot verschillende resources. De activiteitsalgoritmen met AI-functionaliteit voor netwerktoegang worden bijgewerkt om bredere besluitvorming voor alle DAAS mogelijk te maken. Resultaat: - JIT/JEA zijn geïntegreerd met AI	Voor voorwaardelijke toegang is Microsoft Defender voor Eindpunt risiconiveau van de machine vereist in het Microsoft Intune-nalevingsbeleid. Gebruik apparaatnalevings- en Microsoft Entra ID Protection-risicovoorwaarden in beleid voor voorwaardelijke toegang. - Op risico's gebaseerd toegangsbeleid nalevingsbeleid - voor het instellen van regels voor door Intune beheerde apparaten Privileged Identity Management Gebruik risiconiveau voor identiteitsbeveiliging en apparaatnalevingssignalen om een verificatiecontext voor bevoegde toegang te definiëren. Verificatiecontext vereisen voor PIM-aanvragen om beleid af te dwingen voor Just-In-Time-toegang (JIT). Zie Microsoft-richtlijnen 7.6.1 in deze sectie en 1.4.4 in Gebruiker.

Volgende stappen

Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie:

Feedback

Is deze pagina nuttig?

Last updated on 2025-06-16

Delen via

DoD Zero Trust-strategie voor de zichtbaarheids- en analysepijler

7 Zichtbaarheid en analyse

7.1 Alle verkeer registreren

7.2 Beveiligingsinformatie en gebeurtenisbeheer

7.3 Algemene beveiligings- en risicoanalyses

7.4 Analyse van gebruikers- en entiteitsgedrag

7.5 Integratie van bedreigingsinformatie

7.6 Geautomatiseerd dynamisch beleid

Volgende stappen

Feedback

Aanvullende resources