Strategia doD Zero Trust dla filaru automatyzacji i aranżacji

Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

6 Automatyzacja i aranżacja

Ta sekcja zawiera wskazówki i zalecenia dotyczące działań firmy DoD Zero Trust w ramach filaru automatyzacji i aranżacji. Aby dowiedzieć się więcej, zobacz widoczność, automatyzację i aranżację za pomocą rozwiązania Zero Trust.

6.1 Punkt decyzyjny zasad (PDP) i aranżacja zasad

Usługa Microsoft Sentinel ma orkiestrację zabezpieczeń, automatyzację i reakcję (SOAR) za pośrednictwem zasobów opartych na chmurze. Automatyzowanie wykrywania i reagowania na cyberataki. Usługa Sentinel integruje się z platformami Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure i innych niż Microsoft. Te rozszerzalne integracje umożliwiają usłudze Sentinel koordynowanie akcji wykrywania cyberbezpieczeństwa i reagowania na nie na różnych platformach, zwiększając skuteczność i wydajność operacji zabezpieczeń.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 6.1.1 Spis zasad i programowanie Firma DoD współpracuje z organizacjami w celu wykazu i spisu istniejących zasad i standardów dotyczących zabezpieczeń cybernetycznych. Zasady są aktualizowane i tworzone w działaniach między filarami zgodnie z potrzebami, aby spełnić krytyczne funkcje usługi ZT Target. Wyniki: - Zasady zostały zebrane w odniesieniu do odpowiedniej zgodności i ryzyka (np. RMF, NIST) - Zasady zostały poddane przeglądowi brakujących filarów i możliwości zgodnie z ZTRA — brakujące obszary zasad są aktualizowane w celu spełnienia możliwości na ZTRA	Menedżer zgodności usługi Microsoft Purview używa Menedżerazgodności usługi Microsoft Purview do oceny zgodności i zarządzania zgodnością w środowisku wielochmurowym. - Menedżer - Użyj funkcji zgodności z przepisami Defender dla Chmury, aby wyświetlić i poprawić zgodność z inicjatywami usługi Azure Policy w środowisku wielochmurowym. - ma rozwiązania do wizualizacji i mierzenia postępu z wymaganiami zabezpieczeń specyficznymi dla domeny.- - - -
`Target` 6.1.2 Profil dostępu do organizacjiOrganizacje doD tworzą podstawowe profile dostępu do zadań/zadań i nienależących do zadań/dostępu daAS przy użyciu danych z filarów użytkownika, danych, sieci i urządzeń. DoD Enterprise współpracuje z organizacjami w celu opracowania profilu zabezpieczeń przedsiębiorstwa przy użyciu istniejących profilów zabezpieczeń organizacji w celu utworzenia wspólnego podejścia dostępu do daAS. Podejście etapowe może być używane w organizacjach w celu ograniczenia ryzyka do dostępu DAAS o znaczeniu krytycznym dla misji/zadania po utworzeniu profilów zabezpieczeń. Wyniki: — profile o określonym zakresie organizacji są tworzone w celu określenia dostępu do usługi DAAS przy użyciu funkcji z filarów Użytkowników, Danych, Sieci i Urządzeń — początkowy standard dostępu profilu przedsiębiorstwa jest opracowywany w celu uzyskania dostępu do usługi DAAS — jeśli to możliwe, profile organizacji korzystają z usług dostępnych w przedsiębiorstwie w filarach Użytkowników, Danych, Sieci i Urządzeń	Dostęp warunkowy Zdefiniuj standardowe zestawy zasad DoD z dostępem warunkowym. Uwzględnij siłę uwierzytelniania, zgodność urządzeń, a także kontrolę ryzyka związanego z logowaniem i logowaniem. - Dostęp warunkowy
`Target` 6.1.3 Profil zabezpieczeń przedsiębiorstwa Pt1 Profil zabezpieczeń przedsiębiorstwa obejmuje początkowo filary Użytkownik, Dane, Sieć i Urządzenie. Istniejące profile zabezpieczeń organizacji są zintegrowane z dostępem DAAS bez misji/zadań. Wyniki: — profile przedsiębiorstwa są tworzone w celu uzyskiwania dostępu do usługi DAAS przy użyciu funkcji użytkowników, danych, sieci i filarów urządzeń — profile organizacji o znaczeniu nienależący do zadań/zadania są zintegrowane z profilami przedsiębiorstwa przy użyciu ustandaryzowanego podejścia	Ukończ działanie 6.1.2. Interfejs API programu Microsoft Graph używa interfejsu API programu Microsoft Graph do zarządzania zasadami dostępu warunkowego, ustawieniami dostępu między dzierżawami i innymi ustawieniami konfiguracji firmy Microsoft Entra. - Dostęp programowy do ustawień dostępu - między dzierżawami interfejsu API Programu Graph - i ich usług
`Advanced` 6.1.4 Profil zabezpieczeń przedsiębiorstwa Pt2 Minimalna liczba profilów zabezpieczeń przedsiębiorstwa istnieje, udzielając dostępu do najszerszego zakresu daAS w ramach filarów w organizacjach dod. Profile organizacji misji/zadań są zintegrowane z profilami zabezpieczeń przedsiębiorstwa, a wyjątki są zarządzane w metodowym podejściu opartym na ryzyku. Wyniki: — profile przedsiębiorstwa zostały zredukowane i uproszczone w celu obsługi najszerszej gamy dostępu do usługi DAAS — jeśli odpowiednie profile o znaczeniu krytycznym dla zadań zostały zintegrowane i obsługiwane profile organizacji są uznawane za wyjątek	Dostęp warunkowy Użyj szczegółowych informacji o dostępie warunkowym i skoroszytu raportowania, aby zobaczyć, jak zasady dostępu warunkowego wpływają na organizację. Jeśli to możliwe, połącz zasady. Uproszczony zestaw zasad ułatwia zarządzanie, rozwiązywanie problemów i pilotaż nowych funkcji dostępu warunkowego. Szablony dostępu warunkowego umożliwiają prostsze zasady. - Szczegółowe informacje i raporty - używają narzędzia What If i trybu tylko do raportowania, aby rozwiązywać problemy i oceniać nowe zasady. warunkowego Zmniejsz zależność organizacji od zaufanych lokalizacji sieciowych. Użyj lokalizacji kraju/regionu określonych przez współrzędne GPS lub adres IP, aby uprościć warunki lokalizacji w zasadach dostępu warunkowego. - Warunki lokalizacjiNiestandardowe atrybuty zabezpieczeń Użyj niestandardowych atrybutów zabezpieczeń i filtrów aplikacji w zasadach dostępu warunkowego, aby ograniczyć zakres autoryzacji atrybutów zabezpieczeń przypisanych do obiektów aplikacji, takich jak wrażliwość.Niestandardowe atrybuty zabezpieczeńFiltrowanie dla aplikacji

6.2 Automatyzacja procesów krytycznych

Automatyzacja usługi Microsoft Sentinel wykonuje zadania zwykle wykonywane przez analityków zabezpieczeń warstwy 1. Reguły automatyzacji korzystają z usługi Azure Logic Apps, aby ułatwić opracowywanie szczegółowych, zautomatyzowanych przepływów pracy zwiększających operacje zabezpieczeń. Na przykład wzbogacanie zdarzeń: łączenie z zewnętrznymi źródłami danych w celu wykrywania złośliwych działań.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 6.2.1 Analiza automatyzacji zadańOrganizacje doD identyfikują i wyliczają wszystkie działania zadań, które można wykonać zarówno ręcznie, jak i w zautomatyzowany sposób. Działania zadań są zorganizowane w zautomatyzowane i ręczne kategorie. Działania ręczne są analizowane pod kątem ewentualnego wycofania. Wyniki: — zidentyfikowano zadania z możliwością automatyzacji — zadania są wyliczane — Spis zasad i programowanie	Ukończ działanie 6.1.1. Usługa Azure Resource Managerużywa szablonów usługi ARM i usługi Azure Blueprints do automatyzowania wdrożeń przy użyciu infrastruktury jako kodu (IaC). - Szablony - Organizuj przypisania usługi Azure Policy przy użyciu definicji inicjatyw. Deploy Defender dla Chmury standardów regulacyjnych i testów porównawczych. - Define access-package catalogs w celu ustanowienia standardów przypisań i przeglądów pakietów dostępu. Twórz przepływy pracy cyklu życia tożsamości przy użyciu usługi Azure Logic Apps, aby zautomatyzować zadania dołączania, przełączania, opuszczania i innych zadań automatyzowalnych. - Zasoby zarządzania upoważnieniami - Dostęp użytkowników - zewnętrznych — przegląd wdrożenia - Tworzenie przepływów pracy cyklu życia
`Target` 6.2.2 Enterprise Integration & Workflow Provisioning Pt1 Rozwiązanie DoD Enterprise ustanawia integracje punktów odniesienia w ramach rozwiązania Security Orchestration, Automation i Response (SOAR) wymaganego do włączenia funkcji ZTA na poziomie docelowym. Organizacje doD identyfikują punkty integracji i ustalają priorytety kluczowych punktów na punkt odniesienia przedsiębiorstwa usługi DoD. Kluczowe integracje są wykonywane ze spotkaniami z kluczowymi usługami umożliwiającymi odzyskiwanie i ochronę. Wyniki: — Implementowanie pełnej integracji przedsiębiorstwa — identyfikowanie kluczowych integracji — identyfikowanie wymagań dotyczących odzyskiwania i ochrony	Usługa Microsoft Sentinel połącz odpowiednie źródła danych z usługą Sentinel w celu włączenia reguł analizy. Dołączanie łączników dla platformy Microsoft 365, usługi Microsoft Defender XDR, identyfikatora Entra firmy Microsoft, Ochrona tożsamości Microsoft Entra, Microsoft Defender dla Chmury, usługi Azure Firewall, usługi Azure Resource Manager, zdarzeń zabezpieczeń za pomocą agenta usługi Azure Monitor (AMA) i innych źródeł - danych interfejsu API, dziennika systemu lub wspólnego formatu zdarzeń (CEF).Łączniki - danych usługi Sentinel UEBA w usłudze Sentinel z usługą Sentinel. - Zobacz Wskazówki firmy Microsoft 2.7.2 na urządzeniu. Użyj usługi Defender XDR, aby wyszukać, zbadać, otrzymywać alerty i reagować na zagrożenia Zautomatyzowane badanie i reagowanie na nie -
`Advanced` 6.2.3 Integracja przedsiębiorstwa i aprowizowanie przepływu pracy Pt2 Organizacje DoD integrują pozostałe usługi, aby spełnić wymagania podstawowe i zaawansowane wymagania dotyczące funkcji ZTA zgodnie z wymaganiami dotyczącymi poszczególnych środowisk. Aprowizacja usług jest zintegrowana i zautomatyzowana w przepływach pracy, w których wymagane jest spełnienie funkcji docelowych usługi ZTA. Wyniki: — zidentyfikowane usługi — zaimplementowano aprowizację usług	Usługa Microsoft Defender XDR XDR chroni tożsamości, urządzenia, dane i aplikacje w usłudze Microsoft Defender. Użyj usługi Defender XDR, aby skonfigurować narzędzia XDR integracji składników - i włączanie standardowych i niestandardowych reguł analizy.-

6.3 Uczenie maszynowe

Usługi Microsoft Defender XDR i Microsoft Sentinel używają sztucznej inteligencji (AI), uczenia maszynowego (ML) i analizy zagrożeń w celu wykrywania zaawansowanych zagrożeń i reagowania na nie. Użyj integracji usług Microsoft Defender XDR, Microsoft Intune, Ochrona tożsamości Microsoft Entra i dostępu warunkowego, aby używać sygnałów o podwyższonym ryzyku w celu wymuszania zasad dostępu adaptacyjnego.

Dowiedz się więcej na temat stosu zabezpieczeń i uczenia maszynowego firmy Microsoft, przygotowywanie do zabezpieczeń copilot w chmurach dla instytucji rządowych USA.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 6.3.1 Implementowanie narzędzi
uczenia maszynowego do tagowania i klasyfikacji danychOrganizacje doD korzystają z istniejących standardów tagowania i klasyfikacji danych oraz wymagań w celu pozyskania rozwiązań uczenia maszynowego zgodnie z potrzebami. Rozwiązania uczenia maszynowego są implementowane w organizacjach, a istniejące otagowane i niejawne repozytoria danych są używane do ustanawiania punktów odniesienia. Rozwiązania do uczenia maszynowego stosują tagi danych w nadzorowanym podejściu w celu ciągłego ulepszania analizy.

Wynik:
— Zaimplementowane narzędzia tagowania i klasyfikacji danych są zintegrowane z narzędziami uczenia maszynowego Microsoft Purview Skonfiguruj automatyczne etykietowanie w usłudze Microsoft Purview
pod kątem strony usługi (Microsoft 365) i po stronie klienta (Microsoft aplikacja pakietu Office s) i w Mapa danych w Microsoft Purview.
- Etykiety danych poufności w mapie

danych zobacz Wskazówki firmy Microsoft 4.3.4 i 4.3.5 w danych.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 6.3.1 Implementowanie narzędzi uczenia maszynowego do tagowania i klasyfikacji danychOrganizacje doD korzystają z istniejących standardów tagowania i klasyfikacji danych oraz wymagań w celu pozyskania rozwiązań uczenia maszynowego zgodnie z potrzebami. Rozwiązania uczenia maszynowego są implementowane w organizacjach, a istniejące otagowane i niejawne repozytoria danych są używane do ustanawiania punktów odniesienia. Rozwiązania do uczenia maszynowego stosują tagi danych w nadzorowanym podejściu w celu ciągłego ulepszania analizy. Wynik: — Zaimplementowane narzędzia tagowania i klasyfikacji danych są zintegrowane z narzędziami uczenia maszynowego	Microsoft Purview Skonfiguruj automatyczne etykietowanie w usłudze Microsoft Purview pod kątem strony usługi (Microsoft 365) i po stronie klienta (Microsoft aplikacja pakietu Office s) i w Mapa danych w Microsoft Purview. - Etykiety danych poufności w mapie danych zobacz Wskazówki firmy Microsoft 4.3.4 i 4.3.5 w danych.

6.4 Sztuczna inteligencja

Usługi Microsoft Defender XDR i Microsoft Sentinel używają sztucznej inteligencji (AI), uczenia maszynowego (ML) i analizy zagrożeń w celu wykrywania zaawansowanych zagrożeń i reagowania na nie. Integracje między usługą Microsoft Defender XDR, Microsoft Intune, Ochrona tożsamości Microsoft Entra i dostępem warunkowym ułatwiają stosowanie sygnałów ryzyka w celu wymuszania zasad dostępu adaptacyjnego.

Dowiedz się więcej na temat stosu zabezpieczeń i sztucznej inteligencji firmy Microsoft, przygotowywanie do zabezpieczeń copilot w chmurach dla instytucji rządowych USA.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Advanced 6.4.1 Implementowanie narzędzi
automatyzacji sztucznej inteligencjiOrganizacje doD identyfikują obszary poprawy w oparciu o istniejące techniki uczenia maszynowego dla sztucznej inteligencji. Rozwiązania sztucznej inteligencji są identyfikowane, pozyskiwane i implementowane przy użyciu określonych obszarów jako wymagań.

Wyniki:
— Opracowywanie wymagań
dotyczących narzędzi sztucznej inteligencji — pozyskiwanie i implementowanie narzędzi sztucznej inteligencji Fusion in Microsoft Sentinel
Fusion to zaawansowana wieloestowa reguła analizy wykrywania ataków w usłudze Sentinel. Fusion to aparat korelacji wytrenowany przez uczenie maszynowe, który wykrywa ataki wieloestkowe lub zaawansowane trwałe zagrożenia (APTs). Identyfikuje nietypowe zachowania i podejrzane działania w przeciwnym razie trudne do przechwycenia. Zdarzenia są małe, o wysokiej wierności i wysokiej ważności.
-
Zasady ochrony tożsamości używają algorytmów uczenia maszynowego (ML) do wykrywania i korygowania zagrożeń opartych na tożsamościach. Włącz Ochrona tożsamości Microsoft Entra, aby utworzyć zasady dostępu warunkowego dla użytkowników i ryzyko logowania.
-
-

Advanced 6.4.2 Sztuczna inteligencja sterowana przez analizę decyduje o modyfikacjach
A&OOrganizacje DoD korzystające z istniejących funkcji uczenia maszynowego implementują i używają technologii sztucznej inteligencji, takiej jak sieci neuronowe, aby podejmować decyzje dotyczące automatyzacji i aranżacji. Podejmowanie decyzji jest przenoszone do sztucznej inteligencji tak bardzo, jak to możliwe, zwalniając pracowników ludzkich do innych wysiłków. Korzystając z wzorców historycznych, sztuczna inteligencja wprowadza zmiany przewidywania w środowisku, aby lepiej zmniejszyć ryzyko.

Wynik:
— sztuczna inteligencja może wprowadzać zmiany w zautomatyzowanych działaniach przepływu pracy Usługa Microsoft Sentinel
umożliwia korzystanie z reguł analitycznych w celu wykrywania zaawansowanych ataków wieloestowych za pomocą anomalii fusion i UEBA w usłudze Microsoft Sentinel. Projektowanie reguł automatyzacji i podręczników na potrzeby reagowania na zabezpieczenia.

Zobacz Wskazówki dotyczące firmy Microsoft w wersji 6.2.3 i 6.4.1.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Advanced` 6.4.1 Implementowanie narzędzi automatyzacji sztucznej inteligencjiOrganizacje doD identyfikują obszary poprawy w oparciu o istniejące techniki uczenia maszynowego dla sztucznej inteligencji. Rozwiązania sztucznej inteligencji są identyfikowane, pozyskiwane i implementowane przy użyciu określonych obszarów jako wymagań. Wyniki: — Opracowywanie wymagań dotyczących narzędzi sztucznej inteligencji — pozyskiwanie i implementowanie narzędzi sztucznej inteligencji	Fusion in Microsoft Sentinel Fusion to zaawansowana wieloestowa reguła analizy wykrywania ataków w usłudze Sentinel. Fusion to aparat korelacji wytrenowany przez uczenie maszynowe, który wykrywa ataki wieloestkowe lub zaawansowane trwałe zagrożenia (APTs). Identyfikuje nietypowe zachowania i podejrzane działania w przeciwnym razie trudne do przechwycenia. Zdarzenia są małe, o wysokiej wierności i wysokiej ważności. - Zasady ochrony tożsamości używają algorytmów uczenia maszynowego (ML) do wykrywania i korygowania zagrożeń opartych na tożsamościach. Włącz Ochrona tożsamości Microsoft Entra, aby utworzyć zasady dostępu warunkowego dla użytkowników i ryzyko logowania. - -
`Advanced` 6.4.2 Sztuczna inteligencja sterowana przez analizę decyduje o modyfikacjach A&OOrganizacje DoD korzystające z istniejących funkcji uczenia maszynowego implementują i używają technologii sztucznej inteligencji, takiej jak sieci neuronowe, aby podejmować decyzje dotyczące automatyzacji i aranżacji. Podejmowanie decyzji jest przenoszone do sztucznej inteligencji tak bardzo, jak to możliwe, zwalniając pracowników ludzkich do innych wysiłków. Korzystając z wzorców historycznych, sztuczna inteligencja wprowadza zmiany przewidywania w środowisku, aby lepiej zmniejszyć ryzyko. Wynik: — sztuczna inteligencja może wprowadzać zmiany w zautomatyzowanych działaniach przepływu pracy	Usługa Microsoft Sentinel umożliwia korzystanie z reguł analitycznych w celu wykrywania zaawansowanych ataków wieloestowych za pomocą anomalii fusion i UEBA w usłudze Microsoft Sentinel. Projektowanie reguł automatyzacji i podręczników na potrzeby reagowania na zabezpieczenia. Zobacz Wskazówki dotyczące firmy Microsoft w wersji 6.2.3 i 6.4.1.

6.5 Aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR)

Usługa Microsoft Defender XDR ma możliwości wykrywania i reagowania ze standardowymi i dostosowywalnymi funkcjami wykrywania. Rozszerzanie możliwości przy użyciu reguł analizy usługi Microsoft Sentinel w celu wyzwalania akcji orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) za pomocą usługi Azure Logic Apps.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` Analiza automatyzacji odpowiedzi 6.5.1Organizacje doD identyfikują i wyliczają wszystkie działania odpowiedzi, które są wykonywane zarówno ręcznie, jak i w zautomatyzowany sposób. Działania odpowiedzi są zorganizowane w zautomatyzowane i ręczne kategorie. Działania ręczne są analizowane pod kątem ewentualnego wycofania. Wynik: — zidentyfikowane są działania odpowiedzi z możliwością automatyzacji — wyliczone są działania odpowiedzi	Usługa Microsoft Defender XDR XDR w usłudze Microsoft Defender ma automatyczne i ręczne akcje reagowania na zdarzenia dotyczące plików i urządzeń. - Zdarzenia w usłudze Defender XDR
`Target` 6.5.2 Implementowanie narzędzi SOARDoD dla przedsiębiorstw pracujących z organizacjami opracowuje standardowy zestaw wymagań dotyczących orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) w celu włączenia funkcji ZTA na poziomie docelowym. Organizacje doD używają zatwierdzonych wymagań w celu pozyskiwania i implementowania rozwiązania SOAR. Ukończono podstawowe integracje infrastruktury na potrzeby przyszłych funkcji SOAR. Wyniki: — Opracowywanie wymagań dotyczących narzędzia SOAR — uzyskiwanie narzędzia SOAR	Usługa Microsoft Defender XDR używa standardowych funkcji odpowiedzi usługi Microsoft Defender. Zobacz Wskazówki dotyczące firmy Microsoft 6.5.1. Usługa Sentinel w usłudze Microsoft Sentinel używa funkcji SOAR usługi Azure Logic Apps. Używanie usługi Logic Apps do tworzenia i uruchamiania zautomatyzowanych przepływów pracy bez kodu. Użyj usługi Logic Apps, aby nawiązać połączenie z zasobami spoza usługi Microsoft Sentinel i korzystać z nich. - Podręczniki z regułami - automatyzacji Automatyzowanie reagowania na zagrożenia za pomocą podręczników
`Advanced` 6.5.3 Implementowanie podręczników Organizacje doD przejrzyj wszystkie istniejące podręczniki, aby zidentyfikować przyszłe automatyzacje. Istniejące procesy ręczne i zautomatyzowane brakujące podręczniki mają opracowane podręczniki. Podręczniki są priorytetowe w celu zintegrowania automatyzacji z działaniami zautomatyzowanych przepływów pracy obejmującymi krytyczne procesy. Procesy ręczne bez podręczników są autoryzowane przy użyciu metodycznego podejścia opartego na ryzyku. Wyniki: - Jeśli to możliwe, automatyzowanie podręczników w oparciu o funkcję zautomatyzowanych przepływów pracy — podręczniki są opracowywane i implementowane	Microsoft Sentinel Przejrzyj bieżące procesy zabezpieczeń i skorzystaj z najlepszych rozwiązań w przewodniku Microsoft Cloud Adoption Framework (CAF). Aby rozszerzyć możliwości usługi SOAR, utwórz i dostosuj podręczniki. Zacznij od szablonów podręczników usługi Sentinel. -

6.6 Standaryzacja interfejsu API

Interfejs API programu Microsoft Graph ma standardowy interfejs umożliwiający interakcję z usługami w chmurze firmy Microsoft. Usługa Azure API Management może chronić interfejsy API hostowane przez organizację.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` Analiza zgodności narzędzi 6.6.1Narzędzia i rozwiązania automatyzacji i orkiestracji są analizowane pod kątem zgodności i możliwości opartych na standardzie i wymaganiach interfejsu programowego doD Enterprise. Kolejne narzędzia lub rozwiązania są identyfikowane w celu obsługi standardów i wymagań interfejsu programowego. Wyniki: — stan interfejsu API jest określany jako zgodność lub niezgodność ze standardami interfejsu API — narzędzia do użycia są identyfikowane	Interfejsy APIzabezpieczeń programu Microsoft Graph Microsoft Defender, Microsoft Sentinel i Microsoft Entra mają udokumentowane interfejsy API. - interfejs API Zabezpieczenia Work with Microsoft Graph Identity Protection APIs (Praca z interfejsami - Projekt internetowego interfejsu - API RESTful dla interfejsu programowania aplikacji
`Target` 6.6.2 Ustandaryzowane wywołania interfejsu API i schematy pt1 DoD enterprise współpracuje z organizacjami w celu ustanowienia interfejsu programowego (np. interfejsu API) standardu i wymagań zgodnie z potrzebami w celu włączenia docelowych funkcji ZTA. Organizacje DoD aktualizują interfejsy programowe do nowego standardu i nakazują nowo nabyte/opracowane narzędzia w celu spełnienia nowego standardu. Narzędzia, których nie można spełnić standardu, są dozwolone przez wyjątek przy użyciu metodycznego podejścia opartego na ryzyku. Wyniki: — implementowane są początkowe wywołania i schematy — niezgodne narzędzia są zastępowane	Ukończ działanie 6.6.1. Usługa Azure API Management używa usługi Azure API Managementjako bramy interfejsu API do komunikowania się z interfejsami API i tworzenia spójnego schematu dostępu dla różnych interfejsów API. - orchestrate Zero Trust actions przy użyciu narzędzi usługi Azure Automation.
`Target` 6.6.3 Ustandaryzowane wywołania interfejsu API i schematy pt2 Organizacje doD zakończą migrację do nowego standardu interfejsu programowego. Narzędzia oznaczone do likwidacji w poprzednim działaniu są wycofywane, a funkcje są migrowane do zmodernizowanych narzędzi. Zatwierdzone schematy są akceptowane w oparciu o standard/wymagania doD Enterprise. Wynik: — wszystkie wywołania i schematy są implementowane	Usługa Microsoft Sentinel używa usługi Sentinel jako aparatu aranżacji do wyzwalania i wykonywania akcji w narzędziach automatyzacji cytowanych w tym dokumencie. - Automatyzowanie reagowania na zagrożenia za pomocą podręczników

6.7 Security Operations Center (SOC) i reagowanie na zdarzenia (IR)

Microsoft Sentinel to rozwiązanie do zarządzania przypadkami umożliwiające badanie zdarzeń zabezpieczeń i zarządzanie nimi. Aby zautomatyzować akcje reagowania na zabezpieczenia, połączyć rozwiązania analizy zagrożeń, wdrożyć rozwiązania usługi Sentinel, włączyć analizę zachowań użytkowników (UEBA) i utworzyć podręczniki za pomocą usługi Azure Logic Apps.

Dowiedz się, jak zwiększyć dojrzałość SOC, zobacz Badanie zdarzeń usługi Sentinel i zarządzanie przypadkami.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 6.7.1 Wzbogacanie przepływu pracy pt1 Firma DoD współpracuje z organizacjami w celu ustanowienia standardu reagowania na zdarzenia cyberbezpieczeństwa przy użyciu najlepszych rozwiązań branżowych, takich jak NIST. Organizacje doD używają standardu przedsiębiorstwa do określania przepływów pracy reagowania na zdarzenia. Zewnętrzne źródła wzbogacania są identyfikowane na potrzeby przyszłej integracji. Wyniki: — zdarzenia zagrożeń są identyfikowane — opracowywane są przepływy pracy dla zdarzeń zagrożenia	Łączniki danych usługi Microsoft Sentinel wzbogacają przepływy pracy usługi Sentinel, łącząc usługę Microsoft Defender Threat Intelligence z usługą Sentinel. - Łącznik danych dla rozwiązań usługi Defender Threat Intelligence w usłudze Microsoft Sentinel umożliwia przeglądanie najlepszych rozwiązań branżowych przy użyciu rozwiązań usługi Sentinel. - Rozwiązanie - NIST 800-53 CMMS 2.0 rozwiązania - DoD ZT Sentinel skoroszyty - usługi Sentinel zawartości i rozwiązań usługi Sentinel
`Target` 6.7.2 Wzbogacanie przepływu pracy pt2 Organizacje doD identyfikują i ustanawiają rozszerzone przepływy pracy dla dodatkowych typów reagowania na zdarzenia. Początkowe źródła danych wzbogacania są używane dla istniejących przepływów pracy. Dodatkowe źródła wzbogacania są identyfikowane na potrzeby przyszłych integracji. Wyniki: — opracowywane są przepływy pracy dla zaawansowanych zdarzeń zagrożeń — zidentyfikowane są zdarzenia zaawansowanego zagrożenia	Usługa Microsoft Sentinel używa zaawansowanego wieloestowego wykrywania ataków w rozwiązaniu Fusion i reguł analizy wykrywania anomalii UEBA w usłudze Microsoft Sentinel w celu wyzwolenia podręczników automatycznego reagowania na zabezpieczenia. Zobacz Wskazówki firmy Microsoft 6.2.3 i 6.4.1 w tej sekcji. Aby wzbogacić przepływy pracy usługi Sentinel, połącz usługę Microsoft Defender Threat Intelligence i inne rozwiązania platform analizy zagrożeń z usługą Microsoft Sentinel. - Łączenie platform analizy zagrożeń z usługą Sentinel Connect Sentinel - z kanałami informacyjnymi analizy zagrożeń STIX/TAXII zobacz Wskazówki firmy Microsoft 6.7.1.
`Advanced` 6.7.3 Wzbogacanie przepływu pracy pt3 Organizacje doD używają końcowych źródeł danych wzbogacania w podstawowych i rozszerzonych przepływach pracy reagowania na zagrożenia. Wyniki: — zidentyfikowano dane wzbogacania — dane wzbogacania są zintegrowane z przepływami pracy	Usługa Microsoft Sentinel — dodawanie jednostek w celu poprawy wyników analizy zagrożeń w usłudze Sentinel. - Zadania zarządzania zdarzeniami w usłudze Sentinel - geolokalizacji Wzbogacanie przepływów pracy badania i zarządzanie zdarzeniami w usłudze Sentinel. - Wzbogacanie jednostek przy użyciu danych geolokalizacji -
`Advanced` 6.7.4 Zautomatyzowany przepływ pracy Organizacje doD koncentrują się na automatyzowaniu funkcji orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) i podręczników. Procesy ręczne w ramach operacji zabezpieczeń są identyfikowane i w pełni zautomatyzowane. Pozostałe procesy ręczne są likwidowane, gdy jest to możliwe lub oznaczone jako wyjątek przy użyciu podejścia opartego na ryzyku. Wyniki: - Procesy przepływu pracy są w pełni zautomatyzowane — zidentyfikowano procesy ręczne — pozostałe procesy są oznaczone jako wyjątki i udokumentowane	Podręczniki usługi Sentinel usługi Microsoft Sentinel są oparte na usłudze Logic Apps, usłudze w chmurze, która planuje, automatyzuje i organizuje zadania i przepływy pracy w systemach przedsiębiorstwa. Twórz podręczniki odpowiedzi za pomocą szablonów, wdrażaj rozwiązania z centrum zawartości usługi Sentinel. Tworzenie niestandardowych reguł analizy i akcji odpowiedzi za pomocą usługi Azure Logic Apps. - Podręczniki usługi Sentinel z szablonów -

Następne kroki

Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-05-07