Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.
Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.
Use os links a seguir para acessar as seções do guia.
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
7 Visibilidade e análise
Esta seção tem diretrizes e recomendações da Microsoft para atividades do DoD de Confiança Zero no pilar de visibilidade e análise. Para saber mais, veja Visibilidade, automação e orquestração com Zero Trust.
7.1 Registrar todo o tráfego
O Microsoft Sentinel é um sistema de gerenciamento de eventos e informações de segurança (SIEM) escalonável e nativo da nuvem. Além disso, o Sentinel é uma solução de orquestração, automação e resposta de segurança (SOAR) para lidar com grandes volumes de dados de várias fontes. Os conectores de dados do Sentinel ingerem dados entre usuários, dispositivos, aplicativos e infraestrutura, no local e em várias nuvens.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
7.1.1 Considerações sobre escalaAs organizações DoD realizam análises para determinar as necessidades atuais e futuras de escala. A colocação em escala é analisada seguindo métodos comuns de melhores práticas do setor e Pilares ZT. A equipe trabalha com grupos de planejamento de continuidade de negócios (BCP) e planejamento de recuperação de desastre (DPR) existentes para determinar as necessidades de ambiente distribuído em emergências e à medida que as organizações crescem. Resultados: – Infraestrutura suficiente no local – Ambiente distribuído estabelecido – Largura de banda suficiente para tráfego de rede |
Microsoft Sentinel O Sentinel usa um workspace do Log Analytics para armazenar dados de log de segurança para análise. O Log Analytics é uma plataforma como serviço (PaaS) no Azure. Não há infraestrutura para gerenciar ou compilar. - Arquitetura do workspace - Melhores práticas de arquitetura do workspace - Reduz os custos para o Sentinel Agente do Azure Monitor Transmitir logs utilizando o Agente Monitor Azure para máquinas virtuais (VMs) e também dispositivos de rede no local e em outras nuvens. - Eventos de segurança do Windows com o AMA - Transmitir logs nos formatos CEF e Syslog - Coleta de dados - Parâmetro de comparação de desempenho do Agente do Azure Monitor - Ingestão escalonável Infraestrutura de rede Garanta que a infraestrutura de rede atenda aos requisitos de largura de banda do Microsoft 365 e monitoramento de segurança baseado em nuvem para servidores locais. - Conectividade de rede do Microsoft 365 - Planejamento de rede e ajuste de desempenho - Azure ExpressRoute - Requisitos de rede do agente do computador conectado Gerenciamento de continuidade dos negócios O Azure tem programas maduros de continuidade dos negócios para diversas indústrias. Examine o gerenciamento de continuidade dos negócios e a divisão de responsabilidades. - Gerenciamento de continuidade dos negócios - Diretrizes de confiabilidade |
Target
7.1.2 Análise de logsAs organizações DoD identificam e priorizam fontes de log e fluxo (por exemplo, firewalls, detecção e resposta do ponto de extremidade, Active Directory, comutadores, roteadores etc.) e desenvolvem um plano para coleta de logs de alta prioridade primeiro e, em seguida, baixa prioridade. Um formato de log padrão do setor aberto é acordado no nível do DoD Enterprise com as organizações e implementado em requisitos futuros de aquisição. As soluções e tecnologias existentes são migradas para o formato continuamente. Resultados: – Formatos de log padronizados – Regras desenvolvidas para cada formato de log |
Conectores de dados do Microsoft Sentinel Conectam fontes de dados relevantes ao Sentinel. Habilite e configure regras de análise. Os conectores de dados usam formatos de log padronizados. - Monitorar arquiteturas de segurança de Confiança Zero - Criar conectores personalizados do Sentinel - API de ingestão de logs no Azure Monitor Confira as diretrizes 6.2.2 da Microsoft em Automação e orquestração. Padronizar o registro em log com o Formato Comum de Evento (CEF), um padrão do setor usado pelos fornecedores de segurança para interoperabilidade de eventos entre plataformas. Use o Syslog para sistemas que não dão suporte a logs no CEF. - CEF com conector do Azure Monitor para Sentinel - Ingerir mensagens do Syslog e CEF para o Sentinel com o Azure Monitor Utilize o Modelo de Informação de Segurança Avançada (ASIM) (versão prévia pública) para recolher e visualizar dados de múltiplas fontes com um esquema normalizado. - ASIM para normalizar dados |
Target
7.1.3 Análise de logsAs atividades comuns do usuário e do dispositivo são identificadas e priorizadas com base no risco. As atividades consideradas mais simplistas e arriscadas têm análises criadas usando fontes de dados diferentes, como logs. Tendências e padrões são desenvolvidos com base na análise coletada para examinar as atividades por períodos mais longos de tempo. Resultados: – Desenvolver análise por atividade – Identificar atividades a serem analisadas |
Conclua a atividade 7.1.2. Microsoft Defender XDR O Microsoft Defender XDR é um conjunto unificado de defesa corporativa pré e pós-violação que coordena a detecção, a prevenção, a investigação e a resposta nativamente entre pontos de extremidade, identidades, email e aplicativos. Use o Defender XDR para proteger-se contra ataques sofisticados e responder a eles. - Investigar alertas - Confiança Zero com o Defender XDR - Defender XDR para o governo dos EUA Microsoft Sentinel Desenvolva consultas analíticas personalizadas e visualize dados coletados usando pastas de trabalho. - Regras de análise personalizadas para detecção de ameaças - Visualizar os dados coletados |
7.2 Informações de segurança e gerenciamento de eventos
O Microsoft Defender XDR e o Microsoft Sentinel trabalham juntos para detectar, alertar e responder a ameaças à segurança. O Microsoft Defender XDR detecta ameaças no Microsoft 365, identidades, dispositivos, aplicativos e infraestrutura. O Defender XR gera alertas no portal do Microsoft Defender. Conecte alertas e dados brutos do Microsoft Defender XDR ao Sentinel e use regras de análise avançada para correlacionar eventos e gerar incidentes para alertas de alta fidelidade.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
7.2.1 Alerta de ameaças – Parte 1As organizações DoD utilizam a solução de SIEM (gerenciamento de eventos e informações de segurança) existente para desenvolver regras e alertas básicos para eventos comuns de ameaça (malware, phishing etc.) Alertas e/ou acionamentos de regra são alimentados na atividade paralela "ID do ativo e correlação de alertas" para ser a automação de respostas. Resultado: – Regras desenvolvidas para correlação de ameaças |
Microsoft Defender XDR O Microsoft Defender XDR tem alertas para ameaças detectadas em pontos de extremidade de várias plataformas, identidades, email, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. A plataforma agrega alertas relacionados em incidentes automaticamente para agilizar a revisão de segurança. - Investigar alertas Regras de análise do Microsoft Sentinel Habilite regras de análise padrão para fontes de dados conectadas e crie regras de análise personalizadas para detectar ameaças no Sentinel. Veja as orientações da Microsoft em 7.1.3. |
Target
7.2.2 Alertas de ameaças – Parte 2As organizações DoD expandem alertas de ameaças na solução de SIEM (gerenciamento de eventos e informações de segurança) para incluir feeds de dados de CTI (inteligência contra ameaças cibernéticas). Regras de desvio e anomalia são desenvolvidas no SIEM para detectar ameaças avançadas. Resultado: – Desenvolver análise para detectar desvios |
Inteligência de ameaças do Microsoft Sentinel Conecte feeds de inteligência contra ameaças cibernéticas (CTI) ao Sentinel. - Inteligência contra ameaças Confira as orientações 6.7.1 e 6.7.2 da Microsoft em Automação e orquestração. Soluções do Microsoft Sentinel Use regras de análise e pastas de trabalho no hub de conteúdo do Microsoft Sentinel. - Conteúdo e soluções do Sentinel Regras de análise do Microsoft Sentinel Crie regras de análise agendadas para detectar desvios, criar incidentes e acionar ações de orquestração, automação e resposta de segurança (SOAR). - Regras de análise personalizadas para detectar ameaças |
Advanced
7.2.3 Alertas de ameaças – Parte 3Os alertas de ameaças são expandidos para incluir fontes de dados avançadas, como XDR (detecção e resposta estendida), UEBA (análise do comportamento de usuários e de entidades) e UAM (monitoramento de atividade do usuário). Essas fontes de dados avançadas são usadas para desenvolver detecções de atividade anômalas e padrão aprimoradas. Resultados: – Identificar o gatilho de eventos anômalos – Implementar a política de gatilho |
Conectores de dados do Microsoft Sentinel Conecte o Microsoft Defender XDR ao Sentinel para agregar alertas, incidentes e dados brutos. - Conectar o Defender XDR ao Sentinel Anomalias personalizáveis do Microsoft Sentinel Usar modelos de anomalias personalizáveis do Microsoft Sentinel para reduzir o ruído com regras de detecção de anomalias - Anomalias personalizáveis para detecção de ameaças Fusion no Microsoft Sentinel O mecanismo Fusion correlaciona alertas para ataques avançados em vários estágios. - Detecções do mecanismo Fusion Confira a orientação 6.4.1 da Microsoft em Automação e orquestração. |
Target
7.2.4 ID de ativo e correlação de alertasAs organizações DoD desenvolvem regras básicas de correlação usando dados de alertas e ativos. A resposta a eventos comuns de ameaça (por exemplo, malware, phishing, etc.) é automatizada na solução de gerenciamento de eventos e informações de segurança (SIEM). Resultado: – Regras desenvolvidas para respostas baseadas em ID de ativo |
Microsoft Defender XDR O Microsoft Defender XDR correlaciona sinais entre pontos de extremidade de várias plataformas, identidades, email, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. Configure a autocorreção com recursos automatizados de investigação e resposta do Microsoft Defender. - Microsoft Defender XDR - Investigação e resposta automatizadas Entidades do Microsoft Sentinel Os alertas enviados ou gerados pelo Sentinel contêm itens de dados que o Sentinel classifica em entidades: contas de usuário, hosts, arquivos, processos, endereços IP, URLs. Use páginas de entidades para exibir informações de entidade, analisar o comportamento e melhorar as investigações. - Classificar e analisar dados usando entidades - Investigar páginas de entidade |
Target
7.2.5 Linhas de base de usuário/dispositivoAs organizações DoD desenvolvem abordagens de linha de base de usuário e dispositivo com base nos padrões da empresa DoD para o pilar apropriado. Os atributos utilizados na base são extraídos dos padrões de toda a empresa desenvolvidos em atividades entre pilares. Resultado: – Identificar linhas de base de usuário e dispositivo |
Conectores de dados do Microsoft Sentinel Estabeleça uma linha de base de ingestão de dados para o Sentinel. No mínimo, inclua o Microsoft Entra ID e os conectores do Microsoft Defender XDR, configure regras de análise padrão e habilite a análise de comportamento de entidade de usuário (UEBA). - Conectar o Defender XDR ao Sentinel - Habilitar o UEBA Configurar o Azure Lighthouse para gerenciar workspaces do Sentinel em vários locatários. - - |
7.3 Análise de risco e segurança comum
O Microsoft Defender XDR tem detecções, análises e alertas de ameaças padrão. Use regras de análise personalizáveis quase em tempo real do Microsoft Sentinel para ajudar a correlacionar, detectar e gerar alertas para anomalias entre fontes de dados conectadas.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
7.3.1 Implementar ferramentas de análiseAs organizações DoD adquirem e implementam ferramentas básicas de análise focadas no virtual. O desenvolvimento de análise é priorizado com base no risco e na complexidade em busca de análises fáceis e impactantes primeiro. O desenvolvimento de análise contínua concentra-se nos requisitos do pilar para atender melhor às necessidades de relatório. Resultados: – Desenvolver requisitos para ambiente analítico – Adquirir e implementar ferramentas analíticas |
Microsoft Defender XDR e Microsoft Sentinel Configure a integração do Microsoft Defender XDR e Sentinel. - Microsoft Defender XDR - Sentinel e Defender XDR para Confiança Zero |
Target
7.3.2 Estabelecer comportamentos de linha de base do usuárioUsando a análise desenvolvida para usuários e dispositivos em uma atividade paralela, as linhas de base são estabelecidas em uma solução técnica. Essas linhas de base são aplicadas a um conjunto identificado de usuários com base no risco inicialmente e, em seguida, expandidas para a maior base de usuários da organização do DoD. A solução técnica usada é integrada à funcionalidade de machine learning para iniciar a automação. Resultados: – Identificar usuários para a linha de base – Estabelecer linhas de base baseadas em ML |
Microsoft Defender XDR A detecção e a resposta automatizadas integradas do Microsoft Defender XDR são uma linha de frente de defesa. A orientação nos pilares Usuário e Dispositivo estabelece o comportamento básico e impõe políticas com sinais XDR do Microsoft Defender no Microsoft Intune (conformidade do dispositivo) e acesso condicional (dispositivo compatível e risco de identidade). Confira as orientações da Microsoft em Usuário e Dispositivo. Regras de análise do Microsoft Sentinel Use o Sentinel para correlacionar eventos, detectar ameaças e acionar ações de resposta. Conecte fontes de dados relevantes ao Sentinel e crie regras de análise quase em tempo real para detectar ameaças durante a ingestão de dados. - Detectar ameaças Confira as orientações da Microsoft em 7.2.5. Notebooks do Microsoft Sentinel Crie modelos de ML personalizados para analisar dados do Sentinel usando notebooks Jupyter e a plataforma traga seu próprio aprendizado de máquina (BYO-ML). - BYO-ML no Sentinel - Jupyter Notebooks e MSTICPy |
7.4 Análise de comportamento de usuário e entidade
O Microsoft Defender XDR e o Microsoft Sentinel detectam anomalias usando a UEBA (análise de comportamento de entidade de usuário). Detecte anomalias no Sentinel com regras de análise de Fusão, UEBA e ML (machine learning). Além disso, o Sentinel integra-se ao Azure Notebooks (Jupyter Notebook) para Traga seu próprio aprendizado de máquina (BYO-ML) e funcionalidade de visualização.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
7.4.1 Linha de base e criação de perfil – Parte 1Usando a análise desenvolvida para usuários e dispositivos em uma atividade paralela, perfis comuns são criados para tipos comuns de usuário e dispositivo. As análises obtidas da linha de base são atualizadas para examinar contêineres maiores, perfis. Resultados: – Desenvolver análise para detectar a alteração das condições de ameaça – Identificar perfis de ameaça de usuário e dispositivo |
Microsoft Defender XDR Visite o portal do Microsoft Defender para obter uma exibição unificada de incidentes, alertas, relatórios e análise de ameaças. Use o Microsoft Secure Score para avaliar e melhorar a postura de segurança. Crie detecções personalizadas para monitorar e responder a eventos de segurança no Microsoft Defender XDR. - Portal do Microsoft Defender - Avalie a postura de segurança com o Secure Score - Detecções personalizadas Microsoft Sentinel Use pastas de trabalho para visualizar e monitorar dados. Crie regras de análise personalizadas e habilite a detecção de anomalias para identificar e alertar sobre a alteração das condições de ameaça. - Visualizar e monitorar dados - Análise personalizada para detecção de ameaças - Personalização de anomalias para detecção de ameaças |
Advanced
7.4.2 Linha de base e criação de perfil – Parte 2As organizações DoD expandem linhas de base e perfis para incluir tipos de dispositivos não gerenciados e não padrão, incluindo IoT (Internet das Coisas) e OT (tecnologia operacional) por meio do monitoramento de saída de dados. Esses dispositivos são novamente criados com base em atributos padronizados e casos de uso. A análise é atualizada para considerar as novas linhas de base e perfis de acordo, permitindo novas detecções e resposta. Usuários e dispositivos arriscados específicos são automaticamente priorizados para aumentar o monitoramento com base no risco. A detecção e a resposta são integradas com funcionalidades entre pilares. Resultados: – Adicionar perfis de ameaça para dispositivos IoT e OT – Desenvolver e estender a análise – Estender perfis de ameaça a usuários e dispositivos individuais |
Microsoft Defender XDR Descubra e proteja dispositivos não gerenciados com o Microsoft Defender para Ponto de Extremidade. - Descoberta de dispositivos - Anexação de locatário para dar suporte a políticas de segurança de ponto de extremidade do Intune - Proteger dispositivos gerenciados e não gerenciados - Verificações de dispositivos de rede autenticados - Verificação autenticada de dispositivo Windows não gerenciado Microsoft Defender para IoT Implantar o Defender para sensores de IoT em redes de tecnologia operacional (OT). O Defender para IoT dá suporte ao monitoramento de dispositivo sem agente para redes OT híbridas, locais e de nuvem. Habilite o modo de aprendizagem para uma linha de base do seu ambiente e conecte o Defender para IoT ao Microsoft Sentinel. - Defender para IoT para organizações - Monitoramento de OT - Linha de base aprendida de alertas de OT - Conectar o Defender para IoT com o Sentinel - Investigar entidades com páginas de entidade |
Advanced
7.4.3 Suporte de linha de base da UEBA – Parte 1A UEBA (análise do comportamento de usuários e de entidades) em organizações DoD expande o monitoramento para análises avançadas, como o ML (aprendizado de máquina). Esses resultados, por sua vez, são revisados e alimentados novamente nos algoritmos de ML para melhorar a detecção e a resposta. Resultado: – Implementar análise baseada em ML para detectar anomalias |
Conclua a atividade 7.3.2. Regras de análise do Microsoft Sentinel O Sentinel usa dois modelos para criar linhas de base e detectar anomalias, UEBA e aprendizado de máquina. - Anomalias detectadas Anomalias da UEBA A UEBA detecta anomalias com base em linhas de base de entidades dinâmicas. - Habilitar a UEBA - Anomalias da UEBA Anomalias de aprendizado de máquina As anomalias de ML identificam comportamentos incomuns com modelos de regras de análise padrão. - Anomalias de ML |
Advanced
7.4.4 Suporte de linha de base da UEBA – Parte 2A UEBA (análise do comportamento de usuários e de entidades) nas organizações DoD conclui a expansão usando resultados tradicionais e baseados em ML (aprendizado de máquina) para serem alimentados em algoritmos de IA (inteligência artificial). Inicialmente, as detecções baseadas em IA são supervisionadas, mas, em última análise, usando técnicas avançadas, como redes neurais, os operadores UEBA não fazem parte do processo de aprendizagem. Resultado: – Implementar análise baseada em ML para detectar anomalias (detecções de IA supervisionadas) |
Fusão no Microsoft Sentinel Use a detecção avançada de ataque multiestágio na regra de análise Fusion, no Sentinel. A fusão é um mecanismo de correlação treinado por ML que detecta ataques de vários estágios e ameaças persistentes avançadas (APTs). Identifica combinações de comportamentos anômalos e atividades suspeitas, que de outra forma seriam difíceis de detectar. - Detecção avançada de ataques em vários estágios Notebooks do Microsoft Sentinel Crie seus próprios modelos de ML personalizados para analisar dados do Microsoft Sentinel usando Jupyter Notebooks e a plataforma Traga seu próprio aprendizado de máquina (BYO-ML). - BYO-ML no Sentinel - Jupyter Notebooks e MSTICPy |
7.5 Integração da inteligência contra ameaças
A Inteligência contra ameaças do Microsoft Defender simplifica a triagem, a resposta a incidentes, a busca de ameaças, o gerenciamento de vulnerabilidades e a inteligência contra ameaças cibernéticas (CTI) de especialistas em ameaças da Microsoft e outras fontes. O Microsoft Sentinel se conecta à Inteligência contra ameaças do Microsoft Defender e a fontes de CTI de terceiros.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
7.5.1 Programa de inteligência contra ameaças cibernéticas – Parte 1A empresa DoD trabalha com as organizações para desenvolver a política de programa, o padrão e o processo de CTI (inteligência contra ameaças cibernéticas). As organizações utilizam esta documentação para desenvolver equipes de CTI organizacional com os principais stakeholders de missão/tarefa. As equipes de CTI integram feeds comuns de dados com o gerenciamento de eventos e informações de segurança (SIEM) para melhorar o alerta e a resposta. Integrações com pontos de imposição de dispositivo e rede (por exemplo, Firewalls, Pacotes de Segurança de Ponto de Extremidade etc.) são criadas para conduzir o monitoramento básico de dados controlados por CTI. Resultados: – A equipe de inteligência contra ameaças cibernéticas está em vigor com os stakeholders críticos – Os feeds de CTI públicos e de linha de base estão sendo utilizados pelo SIEM para alertas – Existem pontos de integração básicos com pontos de imposição de dispositivo e rede (por exemplo, NGAV, NGFW, NG-IPS) |
Inteligência contra ameaças do Microsoft Defender Conecte a Inteligência contra ameaças do Defender e outros feeds de inteligência contra ameaças ao Sentinel. - Inteligência contra ameaças do Defender - Habilitar o conector de dados da Inteligência contra ameaças do Defender - Conectar plataformas de inteligência contra ameaças ao Sentinel Rede do Azure Integrar recursos de rede com o Microsoft Sentinel. - Sentinel com o Firewall do Aplicativo Web do Azure - Firewall do Azure com o Sentinel |
Target
7.5.2 Programa de inteligência contra ameaças cibernéticas – Parte 2As organizações DoD expandem as equipes de CTI (inteligência contra ameaças cibernéticas) para incluir novos stakeholders conforme apropriado. Os feeds de dados CTI autenticados, privados e controlados são integrados ao gerenciamento de eventos e informações de segurança (SIEM) e aos pontos de imposição dos pilares Dispositivo, Usuário, Rede e Dados. Resultados: – A equipe de inteligência contra ameaças cibernéticas está em vigor com stakeholders estendidos conforme apropriado – Feed controlado e privado estão sendo utilizados pelo SIEM e outras ferramentas de Análise apropriadas para alertas e monitoramento – A integração está em vigor para pontos de imposição estendidos dentro dos pilares dispositivo, usuário, rede e dados (UEBA, UAM) |
Conectores de dados do Microsoft Sentinel Gerencie recursos de rede no Azure com a API REST. Estabeleça integração básica com pontos de aplicação de rede usando guias estratégicos do Sentinel e Aplicativos Lógicos. - Operações REST de rede virtual - Resposta a ameaças com guias estratégicos do Sentinel Encontre manuais para outros pontos de aplicação de rede no repositório de guias estratégicos do Sentinel. - Guias estratégicos do Sentinel no GitHub |
7.6 Políticas dinâmicas automatizadas
A pilha de Segurança da Microsoft usa machine learning (ML) e inteligência artificial (IA) para proteger identidades, dispositivos, aplicativos, dados e infraestrutura. Com o Microsoft Defender XDR e o acesso condicional, as detecções de ML estabelecem níveis de risco agregados para usuários e dispositivos.
Use o risco do dispositivo para marcar um dispositivo como não compatível. O nível de risco de identidade permite que as organizações exijam métodos de autenticação resistentes a phishing, dispositivos compatíveis, maior frequência de entrada e muito mais. Use condições de risco e controles de acesso condicional para impor políticas de acesso automatizado e dinâmico.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Advanced
7.6.1 Acesso à rede habilitado para IAAs organizações DoD utilizam a infraestrutura do SDN e perfis de segurança empresarial para habilitar o acesso à rede orientado por IA (inteligência artificial) ou ML (aprendizado de máquina). A análise de atividades anteriores é usada para ensinar os algoritmos de IA/ML a melhorar a tomada de decisões. Resultado: – O acesso à rede é orientado pela IA com base na análise de ambiente |
Microsoft Defender XDR A interrupção automática de ataque no Microsoft Defender XDR limita a movimentação lateral. Esta ação reduz os efeitos de um ataque de ransomware. Os pesquisadores de Segurança da Microsoft usam modelos de IA para combater complexidades de ataques avançados usando o Defender XDR. A solução correlaciona sinais em incidentes de alta confiança para identificar e conter os ataques em tempo real. - Interrupções de ataques Os recursos de proteção de rede no Microsoft Defender SmartScreen e proteção da Web se expandem para o sistema operacional para bloquear ataques de comando e controle (C2). - Proteger a sua rede - IA para deter ransomware operado por humanos) Microsoft Sentinel Use o Firewall do Azure para visualizar atividades de firewall, detectar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Firewall do Azure com o Sentinel |
Advanced
7.6.2 Controle de acesso dinâmico habilitado para IAAs organizações DoD utilizam o acesso dinâmico baseado em regra anterior para ensinar algoritmos de IA (inteligência artificial)/ML (aprendizado de máquina) a tomar decisões de acesso a vários recursos. Os algoritmos de atividade de "acesso à rede habilitado para IA" são atualizados para habilitar uma tomada de decisão mais ampla para todos os DAAS. Resultado: – JIT/JEA são integrados à IA |
Acesso condicional Exija o nível de risco da máquina do Microsoft Defender para Ponto de Extremidade na política de conformidade do Microsoft Intune. Use a conformidade do dispositivo e as condições de risco da Proteção do Microsoft Entra ID nas políticas de acesso condicional. - Políticas de acesso baseadas em risco - Políticas de conformidade para definir regras para dispositivos gerenciados do Intune Privileged Identity Management Use o nível de risco de proteção de identidade e sinais de conformidade do dispositivo para definir um contexto de autenticação para acesso privilegiado. Exigir contexto de autenticação para solicitações do PIM para impor políticas para acesso just-In-time (JIT). Confira as diretrizes da Microsoft 7.6.1 nesta seção e 1.4.4 em Usuário. |
Próximas etapas
Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD:
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise