Strategia doD Zero Trust dla filaru widoczności i analizy

Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

7 Widoczność i analiza

Ta sekcja zawiera wskazówki i zalecenia firmy Microsoft dotyczące działań DoD Zero Trust w filarze widoczności i analizy. Aby dowiedzieć się więcej, zobacz Widoczność, automatyzacja i aranżacja za pomocą rozwiązania Zero Trust.

7.1 Rejestrowanie całego ruchu

Microsoft Sentinel to skalowalny, natywny dla chmury system zarządzania zdarzeniami zabezpieczeń (SIEM). Ponadto usługa Sentinel to rozwiązanie do orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) do obsługi dużych ilości danych z różnych źródeł. Łączniki danych usługi Sentinel pozyskiwają dane między użytkownikami, urządzeniami, aplikacjami i infrastrukturą, lokalnie i w wielu chmurach.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 7.1.1 Zagadnienia dotyczące skalowania Organizacje doD przeprowadzają analizę w celu określenia bieżących i przyszłych potrzeb skalowania. Skalowanie jest analizowane zgodnie z typowymi metodami najlepszych rozwiązań branżowych i filarami ZT. Zespół współpracuje z istniejącymi grupami planowania ciągłości działania (BCP) i planowania odzyskiwania po awarii (DPR) w celu określenia potrzeb środowiska rozproszonego w nagłych wypadkach i rozwoju organizacji. Wyniki: - Wystarczająca infrastruktura w miejscu — ustanowione środowisko rozproszone — wystarczająca przepustowość dla ruchu sieciowego	Usługa Microsoft Sentinel używa obszaru roboczego usługi Log Analytics do przechowywania danych dziennika zabezpieczeń na potrzeby analizy. Log Analytics to platforma jako usługa (PaaS) na platformie Azure. Nie ma infrastruktury do zarządzania ani kompilowania. - usługi Azure Monitor usługi Azure Monitor przy użyciu agenta usługi Azure Monitor dla maszyn wirtualnych, a także urządzeń sieciowych lokalnych i w innych chmurach.- - - sieciowa Zapewnia, że infrastruktura sieci spełnia wymagania dotyczące przepustowości dla monitorowania zabezpieczeń opartych na chmurze dla serwerów lokalnych. - ma dojrzałe programy do zarządzania ciągłością biznesową dla wielu branż. Przejrzyj zarządzanie ciągłością działalności biznesowej i podział obowiązków. - Wskazówki dotyczące niezawodności zarządzania ciągłością - działania
`Target` 7.1.2 Analizowanie dziennikówOrganizacje doD identyfikują i ustalają priorytety źródeł dzienników i przepływów (np. zapory, wykrywanie i reagowanie punktów końcowych, usługę Active Directory, przełączniki, routery itp.) i opracują plan zbierania dzienników o wysokim priorytcie, a następnie niski priorytet. Otwarty format dziennika standardu branżowego jest uzgodniony na poziomie DoD Enterprise z organizacjami i wdrożony w przyszłych wymaganiach dotyczących zamówień. Istniejące rozwiązania i technologie są stale migrowane do formatu. Wyniki: - Standardowe formaty dzienników — reguły opracowane dla każdego formatu dziennika	Łączniki danych usługi Microsoft Sentinel Łączą odpowiednie źródła danych z usługą Sentinel. Włączanie i konfigurowanie reguł analizy. Łączniki danych używają standardowych formatów dziennika. - Monitorowanie architektur zabezpieczeń Zero Trust Tworzenie niestandardowych łączników - Zobacz Wskazówki firmy Microsoft 6.2.2 w usłudze Standaryzacja rejestrowania przy użyciu formatu COMMON Event Format (CEF) — standard branżowy używany przez dostawców zabezpieczeń na potrzeby współdziałania zdarzeń między platformami. Użyj dziennika systemowego dla systemów, które nie obsługują dzienników w formacie CEF. - Cef z łącznikiem usługi Azure Monitor dla dzienników syslogu usługi Sentinel i komunikatów CEF do usługi Sentinel - Użyj zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza) w celu zbierania i wyświetlania danych z wielu źródeł przy użyciu znormalizowanego schematu. -
`Target` 7.1.3 Analiza dzienników Typowe działania użytkowników i urządzeń są identyfikowane i priorytetowe na podstawie ryzyka. Działania uznane za najbardziej uproszczone i ryzykowne mają analizy utworzone przy użyciu różnych źródeł danych, takich jak dzienniki. Trendy i wzorce są opracowywane na podstawie analiz zebranych w celu analizowania działań w dłuższych okresach czasu. Wyniki: - Opracowywanie analiz na działanie — identyfikowanie działań do analizowania	Ukończ działanie 7.1.2. Usługa Microsoft Defender XDR Microsoft Defender XDR to ujednolicony pakiet ochrony przedsiębiorstwa przed naruszeniem zabezpieczeń, który koordynuje wykrywanie, zapobieganie, badanie i reagowanie natywnie między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami. Użyj usługi Defender XDR, aby chronić przed zaawansowanymi atakami i reagować na nie. - Zbadaj alerty - Tworzenie niestandardowych zapytań analitycznych i wizualizowanie zebranych danych przy użyciu skoroszytów.-

7.2 Zarządzanie informacjami i zdarzeniami zabezpieczeń

Usługi Microsoft Defender XDR i Microsoft Sentinel współpracują ze sobą w celu wykrywania, zgłaszania alertów i reagowania na zagrożenia bezpieczeństwa. Usługa Microsoft Defender XDR wykrywa zagrożenia na platformie Microsoft 365, tożsamościach, urządzeniach, aplikacjach i infrastrukturze. Usługa Defender XR generuje alerty w portalu usługi Microsoft Defender. Połącz alerty i nieprzetworzone dane z usługi Microsoft Defender XDR z usługą Sentinel i korzystaj z zaawansowanych reguł analizy w celu korelowania zdarzeń i generowania zdarzeń dla alertów o wysokiej wierności.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 7.2.1 Alerty o zagrożeniach pt1 Organizacje doD korzystają z istniejącego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby opracować podstawowe reguły i alerty dotyczące typowych zdarzeń zagrożenia (złośliwe oprogramowanie, wyłudzanie informacji itp.) Alerty i/lub wyzwalania reguł są przekazywane do równoległego działania "Identyfikator zasobów i korelacja alertów" w celu automatyzacji odpowiedzi. Wynik: - Reguły opracowane dla korelacji zagrożeń	Usługa Microsoft Defender XDR XDR w usłudze Microsoft Defender ma alerty dotyczące zagrożeń wykrytych w wielu punktach końcowych, tożsamościach, wiadomościach e-mail, narzędziach współpracy, aplikacjach i infrastrukturze w chmurze. Platforma agreguje powiązane alerty automatycznie w celu usprawnienia przeglądu zabezpieczeń. - Zbadaj alerty analizy usługi Microsoft Sentinel Włącz standardowe reguły analizy dla połączonych źródeł danych i utwórz niestandardowe reguły analizy w celu wykrywania zagrożeń w usłudze Sentinel. Zobacz Wskazówki firmy Microsoft w wersji .
`Target` 7.2.2 Alerty o zagrożeniach pt2 Organizacje doD rozszerzają alerty o zagrożeniach w rozwiązaniu DoD Security Information and Event Management (SIEM) w celu uwzględnienia źródeł danych analizy zagrożeń cybernetycznych (CTI). Reguły odchylenia i anomalii są opracowywane w rozwiązaniu SIEM w celu wykrywania zaawansowanych zagrożeń. Wynik: - Opracowywanie analiz w celu wykrywania odchyleń	Usługa Microsoft Sentinel threat intelligence Connect cyber threat intelligence(CTI) przesyła źródła danych do usługi Sentinel. - Analiza zagrożeń Zobacz Wskazówki firmy Microsoft 6.7.1 i 6.7.2 w usłudze Automation i aranżacji. Rozwiązaniausługi Microsoft Sentinel używają reguł analizy i skoroszytów w centrum zawartości usługi Microsoft Sentinel. - Zawartość i rozwiązania usługi Sentinel — reguły analizy usługi Microsoft Sentinel — tworzenie zaplanowanych reguł analitycznych w celu wykrywania odchyleń, tworzenia zdarzeń i wyzwalania akcji - orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).Niestandardowe reguły analizy do wykrywania zagrożeń
`Advanced` 7.2.3 Alerty o zagrożeniach pt3 Alerty dotyczące zagrożeń są rozszerzane w celu uwzględnienia zaawansowanych źródeł danych, takich jak rozszerzone wykrywanie i reagowanie (XDR), analiza zachowań użytkowników i jednostek (UEBA) oraz monitorowanie aktywności użytkowników (UAM). Te zaawansowane źródła danych są używane do opracowywania ulepszonych nietypowych i wzorców wykrywania działań. Wyniki: — identyfikowanie wyzwalania nietypowych zdarzeń — implementowanie zasad wyzwalania	Łączniki danych usługi Microsoft Sentinel Łączą usługę Microsoft Defender XDR z usługą Sentinel w celu agregowania alertów, zdarzeń i nieprzetworzonych danych. - Połącz usługę Defender XDR z usługą Sentinel w usłudze Microsoft Sentinel Za pomocą szablonów anomalii można dostosowywać szablony anomalii, aby zmniejszyć liczbę szumów dzięki regułom aparat fusion koreluje alerty z zaawansowanymi atakami wieloetapowymi. - Wykrywanie aparatu łączenia można znaleźć w temacie Microsoft guidance 6.4.1 in Automation and orchestration (Wskazówki firmy Microsoft 6.4.1 w automatyzacji i aranżacji).
`Target` 7.2.4 Identyfikator zasobu i korelacja alertówOrganizacje doD opracowują podstawowe reguły korelacji przy użyciu zasobów i danych alertów. Reagowanie na typowe zdarzenia zagrożeń (np. złośliwe oprogramowanie, wyłudzenie informacji itp.) jest zautomatyzowane w rozwiązaniu Do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Wynik: - Reguły opracowane dla odpowiedzi opartych na identyfikatorach zasobów	Usługa Microsoft Defender XDR XDR w usłudze Microsoft Defender koreluje sygnały między wieloma punktami końcowymi, tożsamościami, pocztą e-mail, narzędziami do współpracy, aplikacjami i infrastrukturą chmury. Skonfiguruj samonaprawiania za pomocą funkcji zautomatyzowanego badania i reagowania w usłudze Microsoft Defender. - alerty przechodzące lub generowane przez usługę Sentinel zawierają elementy danych klasyfikowane do jednostek: konta użytkowników, hosty, pliki, procesy, adresy IP, adresy URL. Strony jednostek umożliwiają wyświetlanie informacji o jednostkach, analizowanie zachowania i ulepszanie badań. - Klasyfikowanie i analizowanie danych przy użyciu jednostek - Badanie stron jednostek
`Target` 7.2.5 Punkty odniesienia użytkownika/urządzeniaOrganizacje DoD opracowują podejścia bazowe dla użytkowników i urządzeń na podstawie standardów przedsiębiorstwa doD dla odpowiedniego filaru. Atrybuty używane podczas tworzenia podstaw są pobierane ze standardów dla całego przedsiębiorstwa opracowanych w ramach działań między filarami. Wynik: - Identyfikowanie punktów odniesienia użytkownika i urządzenia	Łączniki danych usługi Microsoft Sentinel Ustanów punkt odniesienia pozyskiwania danych dla usługi Sentinel. Uwzględnij co najmniej łączniki Microsoft Entra ID i Microsoft Defender XDR, skonfiguruj standardowe reguły analizy i włącz analizę zachowań użytkowników (UEBA). - Połącz usługę Defender XDR z usługą Sentinel - , skonfiguruj usługę Azure Lighthouse, aby zarządzać obszarami roboczymi usługi Sentinel w wielu dzierżawach. -

7.3 Wspólna analiza zabezpieczeń i ryzyka

Usługa Microsoft Defender XDR ma standardowe wykrywanie zagrożeń, analizę i alerty. Używaj reguł analizy niemal w czasie rzeczywistym, które można dostosowywać w usłudze Microsoft Sentinel, aby ułatwić korelowanie, wykrywanie i generowanie alertów dotyczących anomalii w połączonych źródłach danych.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 7.3.1 Implementowanie narzędzi analitycznych
DoD Organizations pozyskiwać i implementować podstawowe narzędzia do analizy ukierunkowanej na cyber. Opracowywanie analiz jest priorytetowe w oparciu o ryzyko i złożoność, szukając najpierw łatwej analizy, która ma wpływ. Ciągłe opracowywanie analiz koncentruje się na wymaganiach filaru, aby lepiej spełniać potrzeby raportowania.

Wyniki:
- Opracowywanie wymagań dotyczących środowiska
analitycznego — pozyskiwanie i implementowanie narzędzi analitycznych Usługi Microsoft Defender XDR i Microsoft Sentinel
umożliwiają skonfigurowanie integracji usług Microsoft Defender XDR i Sentinel.
- Microsoft Defender XDR
- Sentinel i Defender XDR for Zero Trust

Target 7.3.2 Ustanów zachowania
punktu odniesienia użytkownikaKorzystając z analizy opracowanej dla użytkowników i urządzeń w ramach równoległego działania, punkty odniesienia są ustanawiane w rozwiązaniu technicznym. Te punkty odniesienia są stosowane do zidentyfikowanego zestawu użytkowników na podstawie początkowo ryzyka, a następnie rozszerzane do większej bazy użytkowników organizacji DoD. Używane rozwiązanie techniczne jest zintegrowane z funkcjami uczenia maszynowego w celu rozpoczęcia automatyzacji.

Wyniki:
— identyfikowanie użytkowników dla linii bazowej — ustanawianie punktów odniesienia
opartych na uczeniu maszynowym Usługa Microsoft Defender XDR XDR
zintegrowana automatyczna funkcja wykrywania i reagowania w usłudze Microsoft Defender jest linią frontonu obrony. Wskazówki zawarte w sekcji Filary użytkowników i urządzeń określają zachowanie punktu odniesienia i wymuszają zasady za pomocą sygnałów XDR w usłudze Microsoft Defender w usłudze Microsoft Intune (zgodność urządzeń) i dostęp warunkowy (zgodne ryzyko dotyczące urządzeń i tożsamości).

Zobacz Wskazówki firmy Microsoft w temacie Użytkownik i urządzenie.

Reguły
analizy usługi Microsoft Sentinel używają usługi Sentinel do korelowania zdarzeń, wykrywania zagrożeń i wyzwalania akcji odpowiedzi. Połącz odpowiednie źródła danych z usługą Sentinel i utwórz reguły analizy niemal w czasie rzeczywistym, aby wykrywać zagrożenia podczas pozyskiwania danych.
- Wykrywanie zagrożeń

Zobacz Wskazówki firmy Microsoft w wersji 7.2.5.

Notesy
usługi Microsoft Sentinel Tworzą dostosowane modele uczenia maszynowego do analizowania danych usługi Sentinel przy użyciu notesów Jupyter i platformy
- bring-your-own-Machine-Learning (BYO-ML).Usługa BYO-ML w notesach Jupyter Usługi Sentinel
- i MSTICPy

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 7.3.1 Implementowanie narzędzi analitycznych DoD Organizations pozyskiwać i implementować podstawowe narzędzia do analizy ukierunkowanej na cyber. Opracowywanie analiz jest priorytetowe w oparciu o ryzyko i złożoność, szukając najpierw łatwej analizy, która ma wpływ. Ciągłe opracowywanie analiz koncentruje się na wymaganiach filaru, aby lepiej spełniać potrzeby raportowania. Wyniki: - Opracowywanie wymagań dotyczących środowiska analitycznego — pozyskiwanie i implementowanie narzędzi analitycznych	Usługi Microsoft Defender XDR i Microsoft Sentinel umożliwiają skonfigurowanie integracji usług Microsoft Defender XDR i Sentinel. - Microsoft Defender XDR - Sentinel i Defender XDR for Zero Trust
`Target` 7.3.2 Ustanów zachowania punktu odniesienia użytkownikaKorzystając z analizy opracowanej dla użytkowników i urządzeń w ramach równoległego działania, punkty odniesienia są ustanawiane w rozwiązaniu technicznym. Te punkty odniesienia są stosowane do zidentyfikowanego zestawu użytkowników na podstawie początkowo ryzyka, a następnie rozszerzane do większej bazy użytkowników organizacji DoD. Używane rozwiązanie techniczne jest zintegrowane z funkcjami uczenia maszynowego w celu rozpoczęcia automatyzacji. Wyniki: — identyfikowanie użytkowników dla linii bazowej — ustanawianie punktów odniesienia opartych na uczeniu maszynowym	Usługa Microsoft Defender XDR XDR zintegrowana automatyczna funkcja wykrywania i reagowania w usłudze Microsoft Defender jest linią frontonu obrony. Wskazówki zawarte w sekcji Filary użytkowników i urządzeń określają zachowanie punktu odniesienia i wymuszają zasady za pomocą sygnałów XDR w usłudze Microsoft Defender w usłudze Microsoft Intune (zgodność urządzeń) i dostęp warunkowy (zgodne ryzyko dotyczące urządzeń i tożsamości). Zobacz Wskazówki firmy Microsoft w temacie Użytkownik i urządzenie. Reguły analizy usługi Microsoft Sentinel używają usługi Sentinel do korelowania zdarzeń, wykrywania zagrożeń i wyzwalania akcji odpowiedzi. Połącz odpowiednie źródła danych z usługą Sentinel i utwórz reguły analizy niemal w czasie rzeczywistym, aby wykrywać zagrożenia podczas pozyskiwania danych. - Wykrywanie zagrożeń Zobacz Wskazówki firmy Microsoft w wersji 7.2.5. Notesy usługi Microsoft Sentinel Tworzą dostosowane modele uczenia maszynowego do analizowania danych usługi Sentinel przy użyciu notesów Jupyter i platformy - bring-your-own-Machine-Learning (BYO-ML).Usługa BYO-ML w notesach Jupyter Usługi Sentinel - i MSTICPy

7.4 Analiza zachowań użytkowników i jednostek

Usługi Microsoft Defender XDR i Microsoft Sentinel wykrywają anomalie przy użyciu analizy zachowania jednostek użytkownika (UEBA). Wykrywanie anomalii w usłudze Sentinel przy użyciu reguł analizy fusion, UEBA i uczenia maszynowego (ML). Ponadto usługa Sentinel integruje się z usługą Azure Notebooks (Jupyter Notebook) na potrzeby funkcji bring-your-own-Machine-Learning (BYO-ML) i wizualizacji.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 7.4.1 Punkt odniesienia i profilowanie pt1 Korzystając z analizy opracowanej dla użytkowników i urządzeń w ramach równoległego działania, typowe profile są tworzone dla typowych typów użytkowników i urządzeń. Analiza pobrana z tworzenia podstaw jest aktualizowana w celu przyjrzenia się większym kontenerom, profilom. Wyniki: - Opracowywanie analiz w celu wykrywania zmieniających się warunków zagrożenia — identyfikowanie profilów zagrożeń użytkowników i urządzeń	Usługa Microsoft Defender XDR odwiedź portal usługi Microsoft Defender, aby uzyskać ujednolicony widok zdarzeń, alertów, raportów i analizy zagrożeń. Użyj wskaźnika bezpieczeństwa firmy Microsoft, aby ocenić i poprawić poziom zabezpieczeń. Tworzenie niestandardowych wykryć w celu monitorowania zdarzeń zabezpieczeń i reagowania na nie w usłudze Microsoft Defender XDR. - Portal - usługi Microsoft Defender Ocenianie stanu zabezpieczeń za pomocą - funkcji wykrywania niestandardowego wskaźnika bezpieczeństwa w usłudze Microsoft Sentinel Użyj skoroszytów do wizualizacji i monitorowania danych. Tworzenie niestandardowych reguł analizy i włączanie wykrywania anomalii w celu identyfikowania i zgłaszania alertów dotyczących zmieniających się warunków zagrożenia. - Wizualizowanie i monitorowanie niestandardowych analiz danych - w celu wykrywania zagrożeń - Dostosowywanie anomalii w celu wykrywania zagrożeń
`Advanced` 7.4.2 Punkt odniesienia i profilowanie pt2 Organizacje doD rozszerzają punkty odniesienia i profile w celu uwzględnienia niezarządzanych i niezgodnych typów urządzeń, w tym Internetu rzeczy (IoT) i technologii operacyjnej (OT) za pomocą monitorowania danych wyjściowych. Te urządzenia są ponownie profilowane na podstawie standardowych atrybutów i przypadków użycia. Analiza jest aktualizowana w celu uwzględnienia nowych punktów odniesienia i profilów w celu odpowiedniego włączenia dalszych wykrywania i reagowania. Określone ryzykowne użytkownicy i urządzenia są automatycznie priorytetowe w celu zwiększenia monitorowania na podstawie ryzyka. Wykrywanie i reagowanie są zintegrowane z funkcjami między filarami. Wyniki: - Dodawanie profilów zagrożeń dla urządzeń IoT i OT — opracowywanie i rozszerzanie analiz — rozszerzanie profilów zagrożeń na poszczególnych użytkowników i urządzeń	Usługa Microsoft Defender XDR Odnajdywanie i zabezpieczanie niezarządzanych urządzeń przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender. - Dołączanie dzierżawy odnajdywania - w sieciach technologii operacyjnej (OT). Usługa Defender for IoT obsługuje monitorowanie urządzeń bez agentów w chmurze, lokalnie i hybrydowych sieci OT. Włącz tryb uczenia dla punktu odniesienia środowiska i połącz usługę Defender dla IoT z usługą Microsoft Sentinel. - Defender for IoT for organizations - OT monitoring - Learned baseline of OT alerts - Connect Defender for IoT with Sentinel - Zbadaj jednostki ze stronami jednostek
`Advanced` 7.4.3 Wsparcie bazowe UEBA pt1 Analiza zachowań użytkowników i jednostek (UEBA) w organizacjach doD rozszerza monitorowanie do zaawansowanej analizy, takiej jak uczenie maszynowe. Wyniki te są z kolei przeglądane i przekazywane z powrotem do algorytmów uczenia maszynowego w celu poprawy wykrywania i reagowania. Wynik: - Implementowanie analizy opartej na uczeniu maszynowym w celu wykrywania anomalii	Ukończ działanie 7.3.2. Regułyanalizy usługi Sentinel w usłudze Microsoft Sentinel używają dwóch modeli do tworzenia punktów odniesienia i wykrywania anomalii, analizy UEBA i uczenia maszynowego. - Wykryte anomalie UEBA anomalie UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia jednostek. - uczenia maszynowego identyfikują nietypowe zachowanie przy użyciu standardowych szablonów reguł analizy.-
`Advanced` 7.4.4 Wsparcie bazowe UEBA pt2 Analiza zachowań użytkowników i jednostek (UEBA) w organizacjach DoD kończy rozszerzanie przy użyciu tradycyjnych i opartych na uczeniu maszynowym wyników, które mają być wprowadzane do algorytmów sztucznej inteligencji (AI). Początkowo wykrywanie oparte na sztucznej inteligencji jest nadzorowane, ale ostatecznie wykorzystuje zaawansowane techniki, takie jak sieci neuronowe, operatory UEBA nie są częścią procesu uczenia. Wynik: - Implementowanie analizy opartej na uczeniu maszynowym w celu wykrywania anomalii (nadzorowanych wykrywania sztucznej inteligencji)	Łączenie w usłudze Microsoft Sentinel Użyj zaawansowanego wieloestowego wykrywania ataków w regule analizy fusion w usłudze Sentinel. Fusion to aparat korelacji wytrenowany przez uczenie maszynowe, który wykrywa ataki wieloestowe i zaawansowane trwałe zagrożenia (APTs). Identyfikuje kombinacje nietypowych zachowań i podejrzanych działań, w przeciwnym razie trudno je przechwycić. - Zaawansowane notesy wykrywania wielu ataków w usłudze Microsoft Sentinel Tworzenie własnych dostosowanych modeli uczenia maszynowego w celu analizowania danych usługi Microsoft Sentinel przy użyciu notesów Jupyter i platformy - BRING-your-own-Machine-Learning (BYO-ML).Usługa BYO-ML w notesach Jupyter Usługi Sentinel - i MSTICPy

7.5 Integracja analizy zagrożeń

Usługa Microsoft Defender Threat Intelligence usprawnia klasyfikację, reagowanie na zdarzenia, wyszukiwanie zagrożeń, zarządzanie lukami w zabezpieczeniach i analizę zagrożeń cybernetycznych (CTI) od ekspertów ds. zagrożeń firmy Microsoft i innych źródeł. Usługa Microsoft Sentinel łączy się ze źródłami analizy zagrożeń w usłudze Microsoft Defender i źródłami CTI innych firm.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 7.5.1 Cyber Threat Intelligence Program Pt1
DoD Enterprise współpracuje z organizacjami w celu opracowania i opracowania zasad programu analizy zagrożeń cybernetycznych (CTI, Cyber Threat Intelligence), standardu i procesu. Organizacje wykorzystują tę dokumentację do opracowywania zespołów organizacyjnych CTI z kluczowymi uczestnikami projektu misji/zadań. Usługa CTI Teams integruje typowe źródła danych z usługą Security Information and Event Management (SIEM) w celu ulepszenia alertów i odpowiedzi. Integracje z punktami wymuszania urządzeń i sieci (np. zaporami, pakietami zabezpieczeń punktu końcowego itp.) są tworzone w celu przeprowadzania podstawowego monitorowania danych opartych na ctI.

Wyniki:
- Zespół ds. analizy zagrożeń cybernetycznych jest obecny z krytycznymi uczestnikami
projektu — publiczne i bazowe źródła danych CTI są wykorzystywane przez rozwiązanie SIEM do zgłaszania alertów — podstawowe punkty integracji istnieją z punktami wymuszania
urządzeń i sieci (np. NGAV, NGFW, NG-IPS) Usługa Microsoft Defender Threat Intelligence Connect Threat Intelligencei inne źródła danych analizy zagrożeń do usługi Sentinel.

- Defender Threat Intelligence
-
-

Target 7.5.2 Cyber Threat Intelligence Program Pt2
Organizacje DoD rozszerzają swoje zespoły ds. analizy zagrożeń cybernetycznych (CTI), aby uwzględnić nowych uczestników projektu zgodnie z potrzebami. Uwierzytelnione, prywatne i kontrolowane źródła danych CTI są zintegrowane z punktami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz punktami wymuszania z filarów urządzenia, użytkownika, sieci i danych.

Wyniki:
- Zespół ds. analizy zagrożeń cybernetycznych jest wdrażany wraz z rozszerzonymi uczestnikami projektu zgodnie z potrzebami
— kontrolowane i prywatne źródła danych są wykorzystywane przez rozwiązanie SIEM i inne odpowiednie narzędzia do analizy na potrzeby alertów i monitorowania
— integracja jest dostępna dla rozszerzonych punktów wymuszania w ramach filarów Urządzenia, Użytkowników, Sieci i Danych (UEBA, UAM) Łączniki
danych usługi Microsoft Sentinel Zarządzaj zasobami sieciowymi na platformie Azure przy użyciu interfejsu API REST. Ustanów podstawową integrację z punktami wymuszania sieci przy użyciu podręczników usługi Sentinel i usługi Logic Apps.
- Operacje REST sieci wirtualnej Reagowanie
- dla innych punktów wymuszania sieci w repozytorium podręcznika usługi Sentinel.

-

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 7.5.1 Cyber Threat Intelligence Program Pt1 DoD Enterprise współpracuje z organizacjami w celu opracowania i opracowania zasad programu analizy zagrożeń cybernetycznych (CTI, Cyber Threat Intelligence), standardu i procesu. Organizacje wykorzystują tę dokumentację do opracowywania zespołów organizacyjnych CTI z kluczowymi uczestnikami projektu misji/zadań. Usługa CTI Teams integruje typowe źródła danych z usługą Security Information and Event Management (SIEM) w celu ulepszenia alertów i odpowiedzi. Integracje z punktami wymuszania urządzeń i sieci (np. zaporami, pakietami zabezpieczeń punktu końcowego itp.) są tworzone w celu przeprowadzania podstawowego monitorowania danych opartych na ctI. Wyniki: - Zespół ds. analizy zagrożeń cybernetycznych jest obecny z krytycznymi uczestnikami projektu — publiczne i bazowe źródła danych CTI są wykorzystywane przez rozwiązanie SIEM do zgłaszania alertów — podstawowe punkty integracji istnieją z punktami wymuszania urządzeń i sieci (np. NGAV, NGFW, NG-IPS)	Usługa Microsoft Defender Threat Intelligence Connect Threat Intelligencei inne źródła danych analizy zagrożeń do usługi Sentinel. - Defender Threat Intelligence - -
`Target` 7.5.2 Cyber Threat Intelligence Program Pt2 Organizacje DoD rozszerzają swoje zespoły ds. analizy zagrożeń cybernetycznych (CTI), aby uwzględnić nowych uczestników projektu zgodnie z potrzebami. Uwierzytelnione, prywatne i kontrolowane źródła danych CTI są zintegrowane z punktami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz punktami wymuszania z filarów urządzenia, użytkownika, sieci i danych. Wyniki: - Zespół ds. analizy zagrożeń cybernetycznych jest wdrażany wraz z rozszerzonymi uczestnikami projektu zgodnie z potrzebami — kontrolowane i prywatne źródła danych są wykorzystywane przez rozwiązanie SIEM i inne odpowiednie narzędzia do analizy na potrzeby alertów i monitorowania — integracja jest dostępna dla rozszerzonych punktów wymuszania w ramach filarów Urządzenia, Użytkowników, Sieci i Danych (UEBA, UAM)	Łączniki danych usługi Microsoft Sentinel Zarządzaj zasobami sieciowymi na platformie Azure przy użyciu interfejsu API REST. Ustanów podstawową integrację z punktami wymuszania sieci przy użyciu podręczników usługi Sentinel i usługi Logic Apps. - Operacje REST sieci wirtualnej Reagowanie - dla innych punktów wymuszania sieci w repozytorium podręcznika usługi Sentinel. -

7.6 Automatyczne zasady dynamiczne

Stos zabezpieczeń firmy Microsoft używa uczenia maszynowego (ML) i sztucznej inteligencji (AI) do ochrony tożsamości, urządzeń, aplikacji, danych i infrastruktury. Dzięki usłudze Microsoft Defender XDR i dostępowi warunkowym wykrywanie uczenia maszynowego ustanawia zagregowane poziomy ryzyka dla użytkowników i urządzeń.

Użyj ryzyka urządzenia, aby oznaczyć urządzenie jako niezgodne. Poziom ryzyka tożsamości umożliwia organizacjom wymaganie metod uwierzytelniania odpornych na wyłudzanie informacji, zgodnych urządzeń, zwiększonej częstotliwości logowania i nie tylko. Użyj warunków ryzyka i kontroli dostępu warunkowego, aby wymusić automatyczne, dynamiczne zasady dostępu.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Advanced 7.6.1 Dostęp
sieciowy z obsługą sztucznej inteligencjiOrganizacje DoD korzystają z infrastruktury SDN i profilów zabezpieczeń przedsiębiorstwa, aby umożliwić dostęp sieciowy oparty na sztucznej inteligencji (AI)/Machine Learning (ML). Analiza z poprzednich działań służy do uczenia algorytmów sztucznej inteligencji/uczenia maszynowego poprawiających podejmowanie decyzji.

Wynik:
- Dostęp do sieci jest oparty na sztucznej inteligencji oparte na analizie środowiska Automatyczne zakłócenia ataków w usłudze Microsoft Defender XDR
w usłudze Microsoft Defender ograniczają ruch boczny. Ta akcja zmniejsza skutki ataku wymuszającego okup. Naukowcy zajmujący się zabezpieczeniami firmy Microsoft używają modeli sztucznej inteligencji do przeciwdziałania złożoności zaawansowanych ataków przy użyciu usługi Defender XDR. Rozwiązanie koreluje sygnały ze zdarzeniami o wysokiej pewności, aby identyfikować i zawierać ataki w czasie rzeczywistym.
- Ataki zakłócają

działanie funkcji ochrony sieci w filtrze Microsoft Defender SmartScreen i ochrona w internecie rozszerzają system operacyjny w celu blokowania ataków
- na polecenia i kontrolę (C2).Chroń sieć
- sztucznej inteligencji, aby zakłócić oprogramowanie wymuszające okup przez człowieka)

użyj usługi Azure Firewall, aby wizualizować działania zapory, wykrywać zagrożenia za pomocą możliwości badania sztucznej inteligencji, korelować działania i automatyzować akcje odpowiedzi.

-

Advanced 7.6.2 Dynamiczna kontrola dostępu z obsługą sztucznej inteligencji
Organizacje doD korzystają z wcześniejszego dynamicznego dostępu opartego na regułach w celu uczenia algorytmów sztucznej inteligencji /uczenia maszynowego (ML) w celu podjęcia decyzji o dostępie do różnych zasobów. Algorytmy działań "Dostęp sieciowy z obsługą sztucznej inteligencji" są aktualizowane w celu umożliwienia szerszego podejmowania decyzji we wszystkich daAS.

Wynik:
- JIT/JEA są zintegrowane ze sztuczną inteligencją Dostęp
warunkowy Wymagaj Ochrona punktu końcowego w usłudze Microsoft Defender poziomu ryzyka maszyny w zasadach zgodności usługi Microsoft Intune. Użyj warunków zgodności urządzeń i Ochrona tożsamości Microsoft Entra ryzyka w zasadach dostępu warunkowego.
- Zasady zgodności zasad
- dostępu oparte na ryzyku w celu ustawienia reguł dla urządzeń zarządzanych

przez usługę Intune Privileged Identity Management
Użyj poziomu ryzyka ochrony tożsamości i sygnałów zgodności urządzeń w celu zdefiniowania kontekstu uwierzytelniania dla uprzywilejowanego dostępu. Wymagaj kontekstu uwierzytelniania dla żądań PIM w celu wymuszenia zasad dostępu

just in time (JIT).Zobacz Wskazówki firmy Microsoft 7.6.1 w tej sekcji i 1.4.4 w temacie Użytkownik.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Advanced` 7.6.1 Dostęp sieciowy z obsługą sztucznej inteligencjiOrganizacje DoD korzystają z infrastruktury SDN i profilów zabezpieczeń przedsiębiorstwa, aby umożliwić dostęp sieciowy oparty na sztucznej inteligencji (AI)/Machine Learning (ML). Analiza z poprzednich działań służy do uczenia algorytmów sztucznej inteligencji/uczenia maszynowego poprawiających podejmowanie decyzji. Wynik: - Dostęp do sieci jest oparty na sztucznej inteligencji oparte na analizie środowiska	Automatyczne zakłócenia ataków w usłudze Microsoft Defender XDR w usłudze Microsoft Defender ograniczają ruch boczny. Ta akcja zmniejsza skutki ataku wymuszającego okup. Naukowcy zajmujący się zabezpieczeniami firmy Microsoft używają modeli sztucznej inteligencji do przeciwdziałania złożoności zaawansowanych ataków przy użyciu usługi Defender XDR. Rozwiązanie koreluje sygnały ze zdarzeniami o wysokiej pewności, aby identyfikować i zawierać ataki w czasie rzeczywistym. - Ataki zakłócają działanie funkcji ochrony sieci w filtrze Microsoft Defender SmartScreen i ochrona w internecie rozszerzają system operacyjny w celu blokowania ataków - na polecenia i kontrolę (C2).Chroń sieć - sztucznej inteligencji, aby zakłócić oprogramowanie wymuszające okup przez człowieka) użyj usługi Azure Firewall, aby wizualizować działania zapory, wykrywać zagrożenia za pomocą możliwości badania sztucznej inteligencji, korelować działania i automatyzować akcje odpowiedzi. -
`Advanced` 7.6.2 Dynamiczna kontrola dostępu z obsługą sztucznej inteligencji Organizacje doD korzystają z wcześniejszego dynamicznego dostępu opartego na regułach w celu uczenia algorytmów sztucznej inteligencji /uczenia maszynowego (ML) w celu podjęcia decyzji o dostępie do różnych zasobów. Algorytmy działań "Dostęp sieciowy z obsługą sztucznej inteligencji" są aktualizowane w celu umożliwienia szerszego podejmowania decyzji we wszystkich daAS. Wynik: - JIT/JEA są zintegrowane ze sztuczną inteligencją	Dostęp warunkowy Wymagaj Ochrona punktu końcowego w usłudze Microsoft Defender poziomu ryzyka maszyny w zasadach zgodności usługi Microsoft Intune. Użyj warunków zgodności urządzeń i Ochrona tożsamości Microsoft Entra ryzyka w zasadach dostępu warunkowego. - Zasady zgodności zasad - dostępu oparte na ryzyku w celu ustawienia reguł dla urządzeń zarządzanych przez usługę Intune Privileged Identity Management Użyj poziomu ryzyka ochrony tożsamości i sygnałów zgodności urządzeń w celu zdefiniowania kontekstu uwierzytelniania dla uprzywilejowanego dostępu. Wymagaj kontekstu uwierzytelniania dla żądań PIM w celu wymuszenia zasad dostępu just in time (JIT).Zobacz Wskazówki firmy Microsoft 7.6.1 w tej sekcji i 1.4.4 w temacie Użytkownik.

Następne kroki

Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-06-16

Udostępnij przez

Strategia doD Zero Trust dla filaru widoczności i analizy

7 Widoczność i analiza

7.1 Rejestrowanie całego ruchu

7.2 Zarządzanie informacjami i zdarzeniami zabezpieczeń

7.3 Wspólna analiza zabezpieczeń i ryzyka

7.4 Analiza zachowań użytkowników i jednostek

7.5 Integracja analizy zagrożeń

7.6 Automatyczne zasady dynamiczne

Następne kroki

Sprzężenie zwrotne

Dodatkowe źródła