Estratégia DoD Zero Trust para o pilar de visibilidade e análise

A Estratégia e o Roteiro do DoD Zero Trust traçam um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios do Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências do usuário e o desempenho da missão.

Este guia contém recomendações para as 152 atividades do Zero Trust no Roteiro de Execução de Capacidade do DoD Zero Trust. As seções correspondem aos sete pilares do modelo DoD Zero Trust.

Use os links a seguir para ir para as seções do guia.

7 Visibilidade e análise

Esta seção contém orientações e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de visibilidade e análise. Para saber mais, consulte Visibilidade, automação e orquestração com Zero Trust.

7.1 Registar todo o tráfego

O Microsoft Sentinel é um sistema de gerenciamento de eventos de informações de segurança (SIEM) escalável e nativo da nuvem. Além disso, o Sentinel é uma solução de orquestração, automação e resposta de segurança (SOAR) para lidar com grandes volumes de dados de várias fontes. Os conectores de dados sentinela ingerem dados entre usuários, dispositivos, aplicativos e infraestrutura, no local e em várias nuvens.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 7.1.1 Considerações sobre a escalaAs organizações do DoD realizam análises para determinar as necessidades atuais e futuras de escala. O dimensionamento é analisado seguindo métodos comuns de práticas recomendadas do setor e pilares ZT. A equipe trabalha com grupos existentes de Planejamento de Continuidade de Negócios (BCP) e Planejamento de Recuperação de Desastres (DPR) para determinar as necessidades de ambiente distribuído em emergências e à medida que as organizações crescem. Resultados: - Infraestrutura suficiente no local - Ambiente distribuído estabelecido - Largura de banda suficiente para o tráfego de rede	O Microsoft Sentinel Sentinel usa um espaço de trabalho do Log Analytics para armazenar dados de log de segurança para análise. O Log Analytics é uma plataforma como serviço (PaaS) no Azure. Não há infraestrutura para gerenciar ou construir. - Arquitetura - usando o Azure Monitor Agent para máquinas virtuais (VMs) também dispositivos de rede locais e em outras nuvens.- que a infraestrutura de rede atenda aos requisitos de largura de banda para o Microsoft 365 e o monitoramento de segurança baseado em nuvem para servidores locais.- - - Azure tem programas de gerenciamento de continuidade de negócios maduros para vários setores. Rever a gestão da continuidade de negócios e a divisão de responsabilidades. - Gerenciamento de continuidade de - negócios Diretrizes de confiabilidade
`Target` 7.1.2 Análise de logsAs organizações do DoD identificam e priorizam fontes de log e fluxo (por exemplo, Firewalls, Endpoint Detection & Response, Ative Directory, Switches, Routers, etc.) e desenvolvem um plano para a coleta de logs de alta prioridade primeiro, depois de baixa prioridade. Um formato de log padrão aberto do setor é acordado no nível do DoD Enterprise com as organizações e implementado em requisitos de aquisição futuros. As soluções e tecnologias existentes são migradas para o formato de forma contínua. Resultados: - Formatos de log padronizados- Regras desenvolvidas para cada formato de log	Conectores de dados do Microsoft Sentinel Conecte fontes de dados relevantes ao Sentinel. Habilite e configure regras de análise. Os conectores de dados usam formatos de log padronizados. - Monitore arquiteturas - Consulte as orientações da Microsoft 6.2.2 em - Padronize o registro em log com CEF (Common Event Format), um padrão do setor usado por fornecedores de segurança para interoperabilidade de eventos entre plataformas. Use o Syslog para sistemas que não suportam logs no CEF. - CEF com conector do Azure Monitor para Sentinel - Use o ASIM (Advanced Security Information Model) (visualização pública) para coletar e exibir dados de várias fontes com um esquema normalizado. -
`Target` 7.1.3 Análise de logsAs atividades comuns de usuários e dispositivos são identificadas e priorizadas com base no risco. As atividades consideradas mais simplistas e arriscadas têm análises criadas usando diferentes fontes de dados, como logs. As tendências e padrões são desenvolvidos com base nas análises recolhidas para analisar as atividades durante períodos de tempo mais longos. Resultados: - Desenvolver análises por atividade - Identificar atividades a analisar	Atividade completa 7.1.2. Microsoft Defender XDR O Microsoft Defender XDR é um pacote unificado de defesa empresarial pré e pós-violação que coordena a deteção, prevenção, investigação e resposta nativamente em pontos de extremidade, identidades, e-mail e aplicativos. Use o Defender XDR para proteger e responder a ataques sofisticados. - Investigar alertas - Zero Trust com o Defender XDR - Defender XDR para o governo Desenvolva consultas analíticas personalizadas e visualize os dados coletados usando pastas de trabalho. - Visualize os dados coletados

7.2 Gestão de eventos e informações de segurança

O Microsoft Defender XDR e o Microsoft Sentinel trabalham juntos para detetar, alertar e responder a ameaças à segurança. O Microsoft Defender XDR deteta ameaças no Microsoft 365, identidades, dispositivos, aplicativos e infraestrutura. O Defender XR gera alertas no portal do Microsoft Defender. Conecte alertas e dados brutos do Microsoft Defender XDR ao Sentinel e use regras de análise avançadas para correlacionar eventos e gerar incidentes para alertas de alta fidelidade.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 7.2.1 Alerta de Ameaça Pt1 As organizações do DoD utilizam a solução existente de Gerenciamento de Informações e Eventos de Segurança (SIEM) para desenvolver regras básicas e alertas para eventos de ameaças comuns (malware, phishing, etc.) Alertas e/ou disparos de regras são alimentados na atividade paralela "Asset ID & Alert Correlation" para automação de respostas. desenvolvidas para correlação de ameaças	Microsoft Defender XDR O Microsoft Defender XDR tem alertas para ameaças detetadas em endpoints multiplataforma, identidades, e-mail, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. A plataforma agrega alertas relacionados a incidentes automaticamente para agilizar a revisão de segurança. - Investigar alertas de análise do Microsoft Sentinel Habilite regras de análise padrão para fontes de dados conectadas e crie regras de análise personalizadas para detetar ameaças no Sentinel. Consulte as orientações da Microsoft na .
`Target` 7.2.2 Alerta de Ameaça Pt2 As organizações do DoD expandem o alerta de ameaças na solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) para incluir feeds de dados de Inteligência de Ameaças Cibernéticas (CTI). Regras de desvio e anomalia são desenvolvidas no SIEM para detetar ameaças avançadas. Resultado: - Desenvolver análises para detetar desvios	Inteligênciade ameaças do Microsoft Sentinel Conecte feeds de inteligência de ameaças cibernéticas (CTI) ao Sentinel. - Informações sobre ameaças Consulte as orientações 6.7.1 e 6.7.2 da Microsoft em Automação e orquestração. SoluçõesMicrosoft Sentinel Use regras de análise e pastas de trabalho no hub de conteúdo do Microsoft Sentinel. - Conteúdo e soluções do Sentinel Regras de análise do Microsoft Sentinel Crie regras de análise agendadas para detetar desvios, criar incidentes e acionar ações - de orquestração, automação e resposta de segurança (SOAR).Regras de análise personalizadas para detetar ameaças
`Advanced` 7.2.3 Alerta de Ameaças Pt3 O Alerta de Ameaças é expandido para incluir fontes de dados avançadas, como XDR (Extended Detection & Response), User & Entity Behavior Analytics (UEBA) e User Activity Monitoring (UAM). Essas fontes de dados avançadas são usadas para desenvolver deteções de atividades anômalas e de padrões aprimoradas. Resultados: - Identificar eventos anômalos desencadeantes- Implementar política de acionamento	Conectores de dados do Microsoft Sentinel Conecte o Microsoft Defender XDR ao Sentinel para agregar alertas, incidentes e dados brutos. - Conectar o Defender XDR ao Sentinel personalizáveis do Microsoft Sentinel Use modelos de anomalias personalizáveis do Microsoft Sentinel para reduzir o ruído com regras - O mecanismo Fusion correlaciona alertas para ataques avançados de vários estágios. Deteções do mecanismo de fusão Consulte a orientação da Microsoft 6.4.1 em -
`Target` 7.2.4 ID do ativo e correlação de alertaAs organizações do DoD desenvolvem regras básicas de correlação usando dados de ativos e alertas. A resposta a eventos de ameaça comuns (por exemplo, malware, phishing, etc.) é automatizada dentro da solução de Gerenciamento de Informações e Eventos de Segurança (SIEM). desenvolvidas para respostas baseadas em ID de ativos	Microsoft Defender XDR O Microsoft Defender XDR correlaciona sinais em pontos de extremidade multiplataforma, identidades, e-mail, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. Configure a autorrecuperação com os recursos automatizados de investigação e resposta do Microsoft Defender. - do Microsoft Sentinel Os alertas enviados ou gerados pelo Sentinel contêm itens de dados que o Sentinel classifica em entidades: contas de usuário, hosts, arquivos, processos, endereços IP, URLs. Use páginas de entidades para exibir informações de entidades, analisar comportamentos e melhorar investigações. - Classificar e analisar dados usando entidades - Investigar páginas de entidades
`Target` 7.2.5 Linhas de base do utilizador/dispositivoAs organizações do DoD desenvolvem abordagens de linha de base de usuários e dispositivos com base nos padrões corporativos do DoD para o pilar apropriado. Os atributos utilizados na linha de base são extraídos dos padrões de toda a empresa desenvolvidos em atividades de pilares cruzados. Resultado: - Identificar linhas de base de usuários e dispositivos	Conectores de dados do Microsoft Sentinel Estabeleça uma linha de base de ingestão de dados para o Sentinel. No mínimo, inclua conectores Microsoft Entra ID e Microsoft Defender XDR, configure regras de análise padrão e habilite a análise de comportamento de entidade do usuário (UEBA). - Conectar o Defender XDR ao Sentinel - Configure o Azure Lighthouse para gerenciar espaços de trabalho do Sentinel em vários locatários. -

7.3 Segurança comum e análise de riscos

O Microsoft Defender XDR tem deteções, análises e alertas de ameaças padrão. Use regras de análise quase em tempo real personalizáveis do Microsoft Sentinel para ajudar a correlacionar, detetar e gerar alertas para anomalias em fontes de dados conectadas.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 7.3.1 Implementar ferramentas
de análiseAs organizações do DoD adquirem e implementam ferramentas básicas de análise focadas em Cyber. O desenvolvimento de análises é priorizado com base no risco e na complexidade, procurando análises fáceis e impactantes primeiro. O desenvolvimento contínuo de análises concentra-se nos requisitos do Pilar para melhor atender às necessidades de relatórios. Microsoft Defender XDR e Microsoft Sentinel
Configure a integração do Microsoft Defender XDR e do Sentinel.
- Microsoft Defender XDR
- Sentinel e Defender XDR para Zero Trust

Target 7.3.2 Estabelecer comportamentos
de linha de base do usuárioUtilizando as análises desenvolvidas para usuários e dispositivos em uma atividade paralela, as linhas de base são estabelecidas em uma solução técnica. Essas linhas de base são aplicadas a um conjunto identificado de usuários com base no risco inicialmente e, em seguida, expandidas para a maior base de usuários da Organização DoD. A solução técnica utilizada é integrada com a funcionalidade de aprendizagem automática para iniciar a automação.

Resultados:
- Identificar usuários para linha
de base- Estabelecer linhas de base baseadas em ML Microsoft Defender XDR
O Microsoft Defender XDR integrado de deteção e resposta automatizada é uma linha de frente de defesa. A orientação nos pilares Usuário e Dispositivo estabelece o comportamento da linha de base e impõe políticas com sinais XDR do Microsoft Defender no Microsoft Intune (conformidade do dispositivo) e Acesso Condicional (risco de dispositivo e identidade compatível).

Consulte as orientações da Microsoft em Usuário e dispositivo.

Regras
de análise do Microsoft Sentinel Use o Sentinel para correlacionar eventos, detetar ameaças e acionar ações de resposta. Conecte fontes de dados relevantes ao Sentinel e crie regras de análise quase em tempo real para detetar ameaças durante a ingestão de dados.
- Detetar ameaças

Consulte as orientações da Microsoft na versão 7.2.5.

Notebooks
Microsoft Sentinel Crie modelos de ML personalizados para analisar dados do Sentinel usando notebooks Jupyter e a plataforma BYO-ML (traga seu próprio aprendizado de máquina).
- BYO-ML em notebooks Sentinel
- Jupyter e MSTICPy

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 7.3.1 Implementar ferramentas de análiseAs organizações do DoD adquirem e implementam ferramentas básicas de análise focadas em Cyber. O desenvolvimento de análises é priorizado com base no risco e na complexidade, procurando análises fáceis e impactantes primeiro. O desenvolvimento contínuo de análises concentra-se nos requisitos do Pilar para melhor atender às necessidades de relatórios.	Microsoft Defender XDR e Microsoft Sentinel Configure a integração do Microsoft Defender XDR e do Sentinel. - Microsoft Defender XDR - Sentinel e Defender XDR para Zero Trust
`Target` 7.3.2 Estabelecer comportamentos de linha de base do usuárioUtilizando as análises desenvolvidas para usuários e dispositivos em uma atividade paralela, as linhas de base são estabelecidas em uma solução técnica. Essas linhas de base são aplicadas a um conjunto identificado de usuários com base no risco inicialmente e, em seguida, expandidas para a maior base de usuários da Organização DoD. A solução técnica utilizada é integrada com a funcionalidade de aprendizagem automática para iniciar a automação. Resultados: - Identificar usuários para linha de base- Estabelecer linhas de base baseadas em ML	Microsoft Defender XDR O Microsoft Defender XDR integrado de deteção e resposta automatizada é uma linha de frente de defesa. A orientação nos pilares Usuário e Dispositivo estabelece o comportamento da linha de base e impõe políticas com sinais XDR do Microsoft Defender no Microsoft Intune (conformidade do dispositivo) e Acesso Condicional (risco de dispositivo e identidade compatível). Consulte as orientações da Microsoft em Usuário e dispositivo. Regras de análise do Microsoft Sentinel Use o Sentinel para correlacionar eventos, detetar ameaças e acionar ações de resposta. Conecte fontes de dados relevantes ao Sentinel e crie regras de análise quase em tempo real para detetar ameaças durante a ingestão de dados. - Detetar ameaças Consulte as orientações da Microsoft na versão 7.2.5. Notebooks Microsoft Sentinel Crie modelos de ML personalizados para analisar dados do Sentinel usando notebooks Jupyter e a plataforma BYO-ML (traga seu próprio aprendizado de máquina). - BYO-ML em notebooks Sentinel - Jupyter e MSTICPy

7.4 Análise do comportamento do utilizador e da entidade

O Microsoft Defender XDR e o Microsoft Sentinel detetam anomalias usando a análise de comportamento de entidade do usuário (UEBA). Detete anomalias no Sentinel com regras de análise do Fusion, UEBA e aprendizado de máquina (ML). Além disso, o Sentinel integra-se com os Blocos de Anotações do Azure (Jupyter Notebook) para trazer o seu próprio aprendizado de máquina (BYO-ML) e funcionalidade de visualização.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 7.4.1 Linha de base e definição de perfis Pt1 Utilizando as análises desenvolvidas para usuários e dispositivos em uma atividade paralela, perfis comuns são criados para tipos típicos de usuários e dispositivos. As análises retiradas da linha de base são atualizadas para examinar contêineres e perfis maiores. Identificar perfis de ameaças de usuários e dispositivos	Microsoft Defender XDR Visite o portal do Microsoft Defender para obter uma exibição unificada de incidentes, alertas, relatórios e análises de ameaças. Use o Microsoft Secure Score para avaliar e melhorar a postura de segurança. Crie deteções personalizadas para monitorar e responder a eventos de segurança no Microsoft Defender XDR. - Portal - do Microsoft Defender Avalie a postura de segurança com o Secure Score - Deteções personalizadas Microsoft Sentinel Use pastas de trabalho para visualizar e monitorar dados. Crie regras de análise personalizadas e habilite a deteção de anomalias para identificar e alertar para mudanças nas condições de ameaça. - Visualize e monitore dados - Análise personalizada para detetar ameaças - Personalize anomalias para detetar ameaças
`Advanced` 7.4.2 Linha de base e definição de perfis Pt2 As organizações do DoD expandem linhas de base e perfis para incluir tipos de dispositivos não gerenciados e não padrão, incluindo Internet das Coisas (IoT) e Tecnologia Operacional (OT) por meio do monitoramento de saída de dados. Esses dispositivos são novamente perfilados com base em atributos padronizados e casos de uso. As análises são atualizadas para considerar as novas linhas de base e perfis, permitindo novas deteções e respostas. Usuários e dispositivos de risco específico são automaticamente priorizados para aumentar o monitoramento com base no risco. A deteção e a resposta são integradas com funcionalidades de pilares transversais. - Estender perfis de ameaça para usuários e dispositivos individuais	Microsoft Defender XDR Descubra e proteja dispositivos não gerenciados com o Microsoft Defender for Endpoint. - Deteção - Implante sensores do Defender for IoT em redes de tecnologia operacional (OT). O Defender for IoT oferece suporte ao monitoramento de dispositivos sem agente para redes OT híbridas, locais e na nuvem. Habilite o modo de aprendizagem para uma linha de base do seu ambiente e conecte o Defender for IoT ao Microsoft Sentinel. - Defender para IoT para organizações - - -
`Advanced` 7.4.3 Suporte de linha de base UEBA Pt1 O User and Entity Behavior Analytics (UEBA) dentro do DoD Organizations expande o monitoramento para análises avançadas, como Machine Learning (ML). Estes resultados, por sua vez, são revistos e reintroduzidos nos algoritmos de ML para melhorar a deteção e a resposta. Resultado: - Implementar análises baseadas em ML para detetar anomalias	Atividade completa 7.3.2. Regras de análise do Microsoft Sentinel O Sentinel usa dois modelos para criar linhas de base e detetar anomalias, UEBA e aprendizado de máquina. - Anomalias detetadas Anomalias UEBA A UEBA deteta anomalias com base em bases de referência dinâmicas de entidades. - - de ML identificam comportamentos incomuns com modelos de regras de análise padrão. -
`Advanced` 7.4.4 Suporte de linha de base UEBA Pt2 O User & Entity Behavior Analytics (UEBA) dentro das Organizações DoD completa sua expansão usando resultados tradicionais e baseados em aprendizado de máquina (ML) para serem alimentados em algoritmos de Inteligência Artificial (IA). Inicialmente, as deteções baseadas em IA são supervisionadas, mas, em última análise, usando técnicas avançadas, como redes neurais, os operadores da UEBA não fazem parte do processo de aprendizagem. Resultado: - Implementar análises baseadas em ML para detetar anomalias (deteções supervisionadas de IA)	Fusion no Microsoft Sentinel Use a deteção avançada de ataques de vários estágios na regra de análise do Fusion, no Sentinel. O Fusion é um mecanismo de correlação treinado em ML que deteta ataques de vários estágios e ameaças persistentes avançadas (APTs). Identifica combinações de comportamentos anómalos e atividades suspeitas, de outra forma difíceis de apanhar. - Deteção avançada de Microsoft Sentinel Crie seus próprios modelos de ML personalizados para analisar dados do Microsoft Sentinel usando notebooks Jupyter e a plataforma BYO-ML (traga seu próprio aprendizado de máquina). - -

7.5 Integração de informações sobre ameaças

O Microsoft Defender Threat Intelligence simplifica a triagem, a resposta a incidentes, a caça a ameaças, o gerenciamento de vulnerabilidades e a inteligência de ameaças cibernéticas (CTI) de especialistas em ameaças da Microsoft e de outras fontes. O Microsoft Sentinel se conecta ao Microsoft Defender Threat Intelligence e a fontes de CTI de terceiros.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 7.5.1 Programa de Inteligência de Ameaças Cibernéticas Pt1
O DoD Enterprise trabalha com as organizações para desenvolver a política, o padrão e o processo do programa Cyber Threat Intelligence (CTI). As organizações utilizam essa documentação para desenvolver equipes organizacionais de CTI com as principais partes interessadas na missão/tarefa. As equipes de CTI integram feeds comuns de dados com o Gerenciamento de Informações e Eventos de Segurança (SIEM) para melhorar o alerta e a resposta. Integrações com pontos de imposição de dispositivos e redes (por exemplo, Firewalls, Endpoint Security Suites, etc.) são criadas para realizar o monitoramento básico de dados orientados por CTI.

- Feeds de CTI públicos e de linha de base estão sendo utilizados pelo SIEM para alerta-
Pontos de integração básicos existem com pontos de imposição de dispositivos e redes (por exemplo, NGAV, NGFW, NG-IPS) O Microsoft Defender Threat Intelligence
conecta o Defender Threat Intelligence e outros feeds de inteligência de ameaças ao Sentinel.
- Defender Threat Intelligence
-
- Azure Integre recursos de rede com o Microsoft Sentinel.

-

Target 7.5.2 Programa de Inteligência de Ameaças Cibernéticas Pt2
As organizações do DoD expandem suas equipes de Inteligência de Ameaças Cibernéticas (CTI) para incluir novas partes interessadas, conforme apropriado. Feeds de dados CTI autenticados, privados e controlados são integrados ao SIEM (Security Information and Event Management, gerenciamento de eventos e informações) de segurança e pontos de aplicação dos pilares Dispositivo, Usuário, Rede e Dados.

Resultados:
- A equipe de Inteligência de Ameaças Cibernéticas está em vigor com partes interessadas estendidas, conforme apropriado
- Feed controlado e privado está sendo utilizado pelo SIEM e outras ferramentas de análise apropriadas para alerta e monitoramento
- A integração está em vigor para pontos de aplicação estendidos dentro dos pilares Dispositivo, Usuário, Rede e Dados (UEBA, UAM) Conectores
de dados do Microsoft Sentinel Gerencie recursos de rede no Azure com a API REST. Estabeleça integração básica com pontos de imposição de rede usando playbooks do Sentinel e aplicativos lógicos.
- Operações
- do Sentinel Encontre playbooks para outros pontos de aplicação de rede no repositório de playbooks do Sentinel.

-

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 7.5.1 Programa de Inteligência de Ameaças Cibernéticas Pt1 O DoD Enterprise trabalha com as organizações para desenvolver a política, o padrão e o processo do programa Cyber Threat Intelligence (CTI). As organizações utilizam essa documentação para desenvolver equipes organizacionais de CTI com as principais partes interessadas na missão/tarefa. As equipes de CTI integram feeds comuns de dados com o Gerenciamento de Informações e Eventos de Segurança (SIEM) para melhorar o alerta e a resposta. Integrações com pontos de imposição de dispositivos e redes (por exemplo, Firewalls, Endpoint Security Suites, etc.) são criadas para realizar o monitoramento básico de dados orientados por CTI. - Feeds de CTI públicos e de linha de base estão sendo utilizados pelo SIEM para alerta- Pontos de integração básicos existem com pontos de imposição de dispositivos e redes (por exemplo, NGAV, NGFW, NG-IPS)	O Microsoft Defender Threat Intelligence conecta o Defender Threat Intelligence e outros feeds de inteligência de ameaças ao Sentinel. - Defender Threat Intelligence - - Azure Integre recursos de rede com o Microsoft Sentinel. -
`Target` 7.5.2 Programa de Inteligência de Ameaças Cibernéticas Pt2 As organizações do DoD expandem suas equipes de Inteligência de Ameaças Cibernéticas (CTI) para incluir novas partes interessadas, conforme apropriado. Feeds de dados CTI autenticados, privados e controlados são integrados ao SIEM (Security Information and Event Management, gerenciamento de eventos e informações) de segurança e pontos de aplicação dos pilares Dispositivo, Usuário, Rede e Dados. Resultados: - A equipe de Inteligência de Ameaças Cibernéticas está em vigor com partes interessadas estendidas, conforme apropriado - Feed controlado e privado está sendo utilizado pelo SIEM e outras ferramentas de análise apropriadas para alerta e monitoramento - A integração está em vigor para pontos de aplicação estendidos dentro dos pilares Dispositivo, Usuário, Rede e Dados (UEBA, UAM)	Conectores de dados do Microsoft Sentinel Gerencie recursos de rede no Azure com a API REST. Estabeleça integração básica com pontos de imposição de rede usando playbooks do Sentinel e aplicativos lógicos. - Operações - do Sentinel Encontre playbooks para outros pontos de aplicação de rede no repositório de playbooks do Sentinel. -

7.6 Políticas dinâmicas automatizadas

A pilha de Segurança da Microsoft usa aprendizado de máquina (ML) e inteligência artificial (IA) para proteger identidades, dispositivos, aplicativos, dados e infraestrutura. Com o Microsoft Defender XDR e o Acesso Condicional, as deteções de ML estabelecem níveis de risco agregados para usuários e dispositivos.

Use o risco do dispositivo para marcar um dispositivo como não compatível. O nível de risco de identidade permite que as organizações exijam métodos de autenticação resistentes a phishing, dispositivos compatíveis, maior frequência de entrada e muito mais. Use condições de risco e controles de Acesso Condicional para impor políticas de acesso automatizado e dinâmico.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Advanced 7.6.1 Acesso
à rede habilitado para IAAs organizações do DoD utilizam a infraestrutura SDN e os perfis de segurança empresarial para permitir o acesso à rede orientado por Inteligência Artificial (IA)/Machine Learning (ML). A análise de atividades anteriores é usada para ensinar os algoritmos de IA/ML a melhorar a tomada de decisões.

Resultado:
- O acesso à rede é orientado por IA com base na análise do ambiente Microsoft Defender XDR
A interrupção automática do ataque no Microsoft Defender XDR limita o movimento lateral. Esta ação reduz os efeitos de um ataque de ransomware. Os pesquisadores de segurança da Microsoft usam modelos de IA para neutralizar complexidades de ataques avançados usando o Defender XDR. A solução correlaciona sinais em incidentes de alta confiança para identificar e conter os ataques em tempo real.
- Interrupções de

ataque Os recursos de proteção de rede no Microsoft Defender SmartScreen e na proteção da Web se expandem para o sistema operacional para bloquear ataques de comando e controle (C2).
- Proteja sua IA de rede
- para interromper ransomware operado por humanos)

Use o Firewall do Azure para visualizar atividades de firewall, detetar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta.

-

Advanced 7.6.2 Controle
de acesso dinâmico habilitado para IAAs organizações do DoD utilizam o acesso dinâmico baseado em regras anteriores para ensinar algoritmos de Inteligência Artificial (IA)/Machine Learning (ML) para tomar decisões de acesso a vários recursos. Os algoritmos de atividade "Acesso à rede habilitado por IA" são atualizados para permitir uma tomada de decisão mais ampla para todos os DAAS.

Resultado:
- JIT/JEA são integrados com IA Acesso
condicional Requer o nível de risco da máquina do Microsoft Defender for Endpoint na política de conformidade do Microsoft Intune. Use a conformidade do dispositivo e as condições de risco da Proteção de ID do Microsoft Entra nas políticas de Acesso Condicional.
- Políticas de acesso
- baseadas no risco Políticas de conformidade para definir regras para dispositivos

geridos pelo Intune Gestão de
Identidades Privilegiadas Use o nível de risco de proteção de identidade e os sinais de conformidade do dispositivo para definir um contexto de autenticação para acesso privilegiado. Exija contexto de autenticação para solicitações PIM para impor políticas de acesso

just-In-time (JIT).Consulte as orientações da Microsoft 7.6.1 nesta seção e 1.4.4 em Usuário.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Advanced` 7.6.1 Acesso à rede habilitado para IAAs organizações do DoD utilizam a infraestrutura SDN e os perfis de segurança empresarial para permitir o acesso à rede orientado por Inteligência Artificial (IA)/Machine Learning (ML). A análise de atividades anteriores é usada para ensinar os algoritmos de IA/ML a melhorar a tomada de decisões. Resultado: - O acesso à rede é orientado por IA com base na análise do ambiente	Microsoft Defender XDR A interrupção automática do ataque no Microsoft Defender XDR limita o movimento lateral. Esta ação reduz os efeitos de um ataque de ransomware. Os pesquisadores de segurança da Microsoft usam modelos de IA para neutralizar complexidades de ataques avançados usando o Defender XDR. A solução correlaciona sinais em incidentes de alta confiança para identificar e conter os ataques em tempo real. - Interrupções de ataque Os recursos de proteção de rede no Microsoft Defender SmartScreen e na proteção da Web se expandem para o sistema operacional para bloquear ataques de comando e controle (C2). - Proteja sua IA de rede - para interromper ransomware operado por humanos) Use o Firewall do Azure para visualizar atividades de firewall, detetar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta. -
`Advanced` 7.6.2 Controle de acesso dinâmico habilitado para IAAs organizações do DoD utilizam o acesso dinâmico baseado em regras anteriores para ensinar algoritmos de Inteligência Artificial (IA)/Machine Learning (ML) para tomar decisões de acesso a vários recursos. Os algoritmos de atividade "Acesso à rede habilitado por IA" são atualizados para permitir uma tomada de decisão mais ampla para todos os DAAS. Resultado: - JIT/JEA são integrados com IA	Acesso condicional Requer o nível de risco da máquina do Microsoft Defender for Endpoint na política de conformidade do Microsoft Intune. Use a conformidade do dispositivo e as condições de risco da Proteção de ID do Microsoft Entra nas políticas de Acesso Condicional. - Políticas de acesso - baseadas no risco Políticas de conformidade para definir regras para dispositivos geridos pelo Intune Gestão de Identidades Privilegiadas Use o nível de risco de proteção de identidade e os sinais de conformidade do dispositivo para definir um contexto de autenticação para acesso privilegiado. Exija contexto de autenticação para solicitações PIM para impor políticas de acesso just-In-time (JIT).Consulte as orientações da Microsoft 7.6.1 nesta seção e 1.4.4 em Usuário.

Próximos passos

Configure os serviços de nuvem da Microsoft para a estratégia DoD Zero Trust:

Feedback

Esta página foi útil?

Last updated on 2025-06-21

Partilhar via

Estratégia DoD Zero Trust para o pilar de visibilidade e análise

7 Visibilidade e análise

7.1 Registar todo o tráfego

7.2 Gestão de eventos e informações de segurança

7.3 Segurança comum e análise de riscos

7.4 Análise do comportamento do utilizador e da entidade

7.5 Integração de informações sobre ameaças

7.6 Políticas dinâmicas automatizadas

Próximos passos

Feedback

Recursos adicionais