本節針對裝置支柱 CISA 零信任成熟度模型 提供Microsoft指引和建議。
2 部裝置
CISA 會將裝置識別為連線到網路的資產,包括伺服器、桌面電腦和膝上型電腦、印表機、行動電話、物聯網 (IoT) 裝置、網路設備等等。 資產包括硬體軟體、韌體等。若要深入瞭解,請參閱 使用零信任保護端點。
使用下列連結來移至指南的章節。
2.1 功能:原則強制執行和合規性監視
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會在裝置上收到自我回報的裝置特性(例如密鑰、令牌、使用者等),但強制執行機制有限。 企業有一個初步的基本程式,可核准軟體使用,並將更新和設定變更推送至裝置。 |
Microsoft Intune,Microsoft Configuration Manager Microsoft Intune 系列產品是管理裝置的整合式解決方案。 使用 Intune 裝置清查、裝置設定變更和軟體更新功能。 使用 Microsoft Configuration Manager,啟用雲端附加功能以現代化和簡化裝置管理。 使用第三方行動裝置管理 (MDM) 解決方案可以將裝置管理整合至 Intune。 - Intune - Configuration Manager - Cloud attach - Intune 移轉指南 - Intune 支援的操作系統和瀏覽器 |
|
進階成熟度狀態 Enterprise 已驗證具體洞察(也就是系統管理員可以在首次存取裝置時檢查和驗證裝置上的數據),並強制大多數裝置和虛擬資產的合規性。 企業會使用自動化方法來管理裝置和虛擬資產、核准軟體,以及識別弱點並安裝修補程式。 |
Intune 設定原則以評估裝置是否符合合規性和設定需求。 系統管理員會在 Intune 系統管理中心檢閱受管理裝置的洞察信息,並驗證數據和裝置合規性報告。 - Intune 系統管理中心 - Intune 中的裝置設定檔 設定自動註冊以初始存取裝置。 強制執行 Intune 的合規要求。 - Intune 中的裝置註冊 - 自動註冊 若要管理已核准的軟體,請使用 Intune 設定 Windows Defender 應用程控原則。 - WDAC 和 AppLocker - 部署 WDAC 原則 若要控制資料存取,以及應用程式在行動裝置上共用數據的方式,請設定應用程式保護原則。 - 應用程式保護原則 - 建立和部署應用程式保護原則 - 行動裝置應用程式管理和應用程式保護 - Windows Autopilot Microsoft Defender for Endpoint 將 Microsoft Defender for Endpoint 與 Intune 整合,以識別漏洞並修復受 Intune 管理的裝置。 在 Intune 中設定 Microsoft Defender for Endpoint Microsoft Defender for Cloud 使用 Microsoft Defender for Cloud 保護和管理 Azure 虛擬資產,這是一個雲端原生應用程式保護平台(CNAPP)。 使用安全性措施和做法來保護雲端應用程式免於網路威脅和弱點。 Microsoft Defender for Cloud Microsoft Defender for Cloud、使用 Azure Arc 來管理配置,將包括虛擬資產在內的非 Azure 資產連接到 Microsoft Defender for Cloud。 - 使用 Azure Arc - 將啟用 Azure Arc 的伺服器連接到 Microsoft Defender for IoT Microsoft Defender for IoT 作為一種統一的安全性解決方案,可識別物聯網(IoT)和操作技術(OT)裝置、弱點和威脅的 Microsoft Defender。 使用Defender for IoT來保護IoT和OT環境,以及沒有安全性代理程式或完整作業系統的裝置。Defender for IoT |
|
最佳成熟度模型 Enterprise 持續驗證見解,並在裝置和虛擬資產的整個存留期內強制執行合規性。 企業會跨所有企業環境整合裝置、軟體、設定和弱點管理,包括虛擬資產。 |
Microsoft Entra 條件式存取 設定條件式存取,以根據裝置合規性狀態持續強制執行應用程式和數據存取。 設定會在整個裝置存留期內套用。 只需要符合規範的裝置才能存取資源。 - 條件式存取 - 授與原則中的控制,並要求符合規範的裝置 Microsoft Defender 弱點管理 使用 Defender 弱點管理來持續監視並取得建議。 使用安全分數和曝露分數進行基於風險的優先級排序。 DVM 持續清查已安裝的軟體(應用程式)、數位證書、硬體、韌體,以及瀏覽器延伸模組。 - Defender 弱點管理 - 監視裝置風險和合規性 Microsoft Defender for Cloud,Defender for Servers Defender for Servers in Defender for Cloud 為 Windows 和 Linux 伺服器提供威脅偵測和進階防禦,這些伺服器運行於 Azure、Amazon Web Services(AWS)、Google Cloud Platform(GCP) 和內部部署環境。 適用於伺服器的 Defender |
2.2 功能:資產和供應鏈風險管理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會追蹤所有實體和部分虛擬資產,並根據聯邦建議建立原則和控制基準來管理供應鏈風險(例如 NIST SCRM)。 |
Microsoft Intune 使用 Intune 檢視受管理裝置的相關信息:硬體規格、已安裝的應用程式和合規性狀態。 集中式檢視有助於監控裝置健康情況、確保遵循公司政策,以及管理裝置配置。 Intune Endpoint Defender Endpoint Defender 承載了 Intune,並對已清查裝置進行保護以補充 Intune 的功能。 整合 Intune 和適用於端點的 Defender,以追蹤實體和虛擬資產。 裝置庫存 採用 Microsoft 軟體和雲端服務並遵循供應鏈政策,以協助根據聯邦建議控制基準。 此動作支持負責任的來源和供應鏈完整性。 供應鏈 |
|
進階成熟度狀態 企業開始透過自動化程式開發實體和虛擬資產的完整企業檢視,讓多個廠商能夠驗證取得、追蹤開發週期,並提供第三方評量。 |
Microsoft Intune 使用 Intune 註冊和管理 Windows、macOS、iOS、Android 等操作系統上的裝置。註冊會建立裝置的集中式清查,包括硬體規格、已安裝的應用程式和合規性狀態。 若要簡化裝置上線,請實作自動化裝置註冊,例如 Windows Autopilot 和 Apple 裝置註冊計劃 (DEP)。zh-TW: - 移至 Intune - 在 Intune 中註冊裝置, Microsoft Defender 進階威脅防護 部署 Microsoft Defender 進階威脅防護,以自動化方式獲得整個企業的實體和虛擬資產,包括已安裝的軟體的全面檢視。 檢閱產生安全性警示之裝置的相關見解,包括網域、風險層級和操作系統。 使用探索功能在您的網路中尋找非受控裝置。 裝置探索會使用已整合的網路端點來收集、探查或掃描未受管理的裝置。 使用 Microsoft Defender 弱點管理中的弱點管理頁面,以取得已知的常見弱點和暴露程度(CVE),包括 CVE ID 的第三方評估。 - Defender 弱點管理、軟體清查 - 組織中的弱點 |
|
最佳成熟度狀態 企業具有跨廠商和服務提供者之所有資產的完整、即時或近乎實時檢視、將供應鏈風險管理自動化、建置可容忍供應鏈失敗的作業,並納入最佳做法。 |
Microsoft Entra 條件式存取 設定條件式存取原則,以要求由 Intune 管理的符合規範之裝置,或由支援的行動裝置管理 (MDM) 整合夥伴管理的裝置。 此控件可確保即時或近乎實時的資產檢視。 - 在原則中授予控制,要求合規的裝置 - Intune 的第三方裝置合規合作夥伴,Microsoft Defender for Endpoint 啟用 Microsoft Defender for Endpoint 和 Intune,以建立服務對服務的連線。 將裝置上線以使用 Intune 管理至適用於端點的 Defender。 上線可啟用即時或近乎實時的資產檢視。 適用於端點的 Defender 提供威脅分析,其威脅情報來自 Microsoft 的安全性研究人員。 安全性小組使用它來支援自動化風險管理,包括供應鏈風險。 - 在 Intune 中設定適用於端點的 Defender - 使用適用於端點的 Defender 適用於 IoT 的 Defender 適用於 IoT 的 Defender 來解決新興威脅,可識別物聯網 (IoT) 和操作技術 (OT) 裝置、弱點和威脅。 使用適用於 IoT 的 Defender 來保護 IoT 和 OT 環境,包括沒有安全代理的裝置。 適用於 IoT 的 Defender Microsoft Defender 外部攻擊面管理 Defender EASM 持續探索和繪製數位攻擊面,並透過在線基礎結構的外部視角精確對應。 安全性與 IT 小組會識別未知專案、排定風險優先順序、減輕威脅,也會將弱點和暴露控制延伸至防火牆之外。 攻擊面分析是根據弱點和基礎設施數據生成的。 探索關注的重點領域。 Defender EASM |
2.3 函式:資源存取
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業版初始成熟度狀態 需要某些裝置或虛擬資產來報告特性,然後使用這項資訊來核准資源存取。 |
Microsoft Entra ID 使用 Microsoft Entra 識別符註冊終端使用者裝置。 從 Microsoft Entra 系統管理中心管理裝置身分識別。 - Microsoft Entra 已加入的裝置 - 混合加入的裝置 - 已註冊的裝置 Microsoft Entra 條件式存取 在條件式存取政策中使用裝置訊號,例如位置,用於安全決策。 根據裝置屬性使用篩選來包含和排除原則。 - 條件 - 設備篩選 |
|
進階成熟度狀態 在企業的初始資源存取中,會考慮來自已驗證的裝置或虛擬資產的見解。 |
Microsoft Intune、Microsoft 適用於端點的 Defender 使用 Intune 管理裝置、部署適用於端點的 Defender,以及設定裝置合規性原則。 請參閱 第 2.1 節 函式:原則強制執行和合規性:進階成熟度狀態。 條件式存取 建立需要混合式或相容裝置的條件式存取原則。 在資源存取決策中包含裝置或虛擬資產的資訊。 請參閱 2.1 函式:政策執行與合規性。 Microsoft Entra 應用程式 整合應用程式並管理使用者存取與 Microsoft Entra 識別碼。 請參閱 第 1.1 節 功能:身份驗證。 Microsoft Entra 應用程式 Proxy 部署應用程式 Proxy 或 SHA 合作夥伴提供的安全混合存取解決方案,以通過零信任網路存取 (ZTNA) 為內部部署和遺留應用程式啟用條件式存取。 結合 SHA 和 Microsoft Entra |
|
最佳成熟度狀態 企業的資源存取會考慮裝置和虛擬資產內的實時風險分析。 |
Microsoft Entra ID Protection 設定 Microsoft Entra ID Protection 以進行風險偵測,包括裝置風險,以偵測具風險的使用者和登入事件。 使用登入和用戶風險條件來配合原則與風險層級。 需要多重要素驗證(MFA)才能進行具風險的登入。 - ID 保護 - 部署 ID 保護 Microsoft Intune、Microsoft Defender for Endpoint 啟用 Microsoft Defender for Endpoint 和 Intune,建立服務對服務連線。 使用 Intune 將受管理的裝置整合至 Microsoft Defender for Endpoint,以提供即時或接近即時的資產視圖。 使用適用於端點的 Defender 時,根據風險分數,使用威脅風險訊號來封鎖對裝置的存取。 Microsoft建議允許存取具有中等風險分數或較低風險的裝置。 - 在 Intune 中設定適用於端點的 Defender - Defender 弱點管理 - 監視裝置風險和合規性 條件式存取 在條件式存取中建立合規性裝置原則。 在裝置和虛擬資產中使用即時風險分析來進行資源存取決策。 請參閱 第 2.1 功能:政策執行與合規 |
2.4 功能:裝置威脅偵測
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業擁有一些自動化流程,可用於將威脅防護功能部署到裝置和虛擬資產,但僅具有限的政策執行與合規性監控整合。 |
Microsoft Defender for Endpoint 部署 Defender for Endpoint 為終端使用者裝置。 部署 Defender for Cloud Defender for Cloud 若要自動化地部署和更新威脅防護功能至 Azure 虛擬資產,請整合 Defender for Endpoint 與 Defender for Cloud。 Defender for Endpoint 整合 |
|
進階成熟度狀態 企業開始將威脅防護功能合併到裝置和虛擬資產的集中式解決方案,並將大部分功能與原則強制執行和合規性監視整合。 |
Microsoft Intune 配置 Intune,以符合裝置合規性原則。 包含 Microsoft Defender for Endpoint 的機器風險分數,以確保原則合規性。 Intune 裝置合規性政策 將 Microsoft Defender for Endpoint 與 Intune 整合為移動威脅防護(MTD)解決方案。 針對 Microsoft Configuration Manager 所管理的舊版裝置,請設定雲端連結。 - Microsoft Defender for Endpoint 在 Intune 中 - 在 Intune 中設定 Microsoft Defender for Endpoint - 雲端連接 Microsoft Defender XDR 進行試點,然後部署 Microsoft Defender XDR 的元件和服務。 Microsoft Defender XDR 設定已部署的 Microsoft Defender XDR 元件的整合。 - 適用於端點的 Defender 與適用於 Cloud Apps 的 Defender - 適用於身分識別的 Defender 和適用於 Cloud Apps 的 Defender - Purview 資訊保護和適用於 Cloud Apps 的 Defender Azure Arc 使用已啟用 Azure Arc 的伺服器來管理和保護 Windows 和 Linux 實體伺服器。 同時保護 Azure 外部的虛擬機(VM)。 針對裝載於 Azure 外部的伺服器部署 Azure Arc。 將啟用 Arc 的伺服器加入受到伺服器版 Defender 保護的訂閱中。 - 已啟用 Azure Arc 的伺服器 - Azure 連接機器代理程式 Microsoft Cloud 的 Defender 在 Azure 中使用 VM 的訂用帳戶啟用適用於伺服器的 Microsoft Defender。 伺服器專用的 Defender 方案包括雲端伺服器用的 Defender。伺服器專用的 Defender |
|
最佳成熟度狀態 企業具有集中式威脅防護安全性解決方案,其部署具有所有裝置和虛擬資產的進階功能,以及裝置威脅防護、原則強制執行和合規性監視的統一方法。 |
Defender XDR 若要啟用裝置和虛擬資產的進階功能,請將 Defender XDR 整合到安全性作業策略中。 - Defender XDR 和安全性作業 - 進階搜捕 在 Defender XDR 中,警示是來自威脅偵測活動所產生來源的訊號。 訊號表示環境中的惡意或可疑事件。 警示可以指出更廣泛的複雜攻擊。 相關警示會匯總並相互關聯,以形成代表攻擊的事件。 Defender XDR Microsoft Sentinel 設定 Defender XDR 的 Sentinel 數據連接器中的警示、事件和相互關聯。 啟用分析規則。 - 探索及管理 Sentinel - 將 Defender XDR 數據連線至 Sentinel - Sentinel 和 Defender XDR for Zero Trust Microsoft Defender 威脅情報 Defender TI 整合並擴充重要數據源,透過易於操作的介面檢視。 將威脅指標與相關文章、攻擊者檔案和漏洞相互關聯。 分析師會使用Defender TI與分析師共同作業。 Defender TI |
2.5 功能:可見度和分析
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會在可用時,使用數位標識碼(例如介面位址、數字標記)以及裝置的手動清查和端點監視。 某些企業裝置和虛擬資產正在進行自動化分析(例如軟體型掃描),以根據風險進行異常偵測。 |
Microsoft IntuneMicrosoft Defender for Endpoint 每個裝置都有數位識別符。 企業可以使用某些裝置和虛擬資產進行試行,並根據風險進行異常偵測的自動化分析。 請參閱 2.1 功能:政策強制執行和遵從一節。 |
|
進階成熟度狀態 Enterprise 會將庫存收集自動化(包括所有標準使用者裝置的端點監控,例如桌面電腦、筆記型電腦、手機、平板電腦及其虛擬資產),並利用異常偵測來檢測未經授權的設備。 |
適用於端點的 Defender 若要偵測未經授權的設備,請自動化設備清查與異常偵測。 設備探索 Intune 若要檢視已管理設備的詳細資訊,請使用 Intune 設備清查。 - Intune 中的裝置詳細資料 - Intune 中的端點安全性 - 請參閱 部分 2.1 功能:政策執行和合規性。 |
|
最佳成熟度狀態 Enterprise 會將所有網路連線裝置和虛擬資產的狀態集合自動化,同時與身分識別相互關聯、進行端點監視,以及執行異常偵測來通知資源存取。 企業會追蹤虛擬資產配置和/或撤銷配置的模式以偵測異常。 |
Microsoft Entra 條件式存取 設定條件式存取原則,以要求網路連線裝置的合規性。 Intune 會管理裝置,或者由支援的行動裝置管理 (MDM) 整合合作夥伴來管理這些裝置。 此控件要求裝置必須註冊於 Intune,以便自動化收集狀態、監視端點及偵測異常,從而推動資源存取決策。 - 在條件式存取中設定控管條件,要求裝置符合規範 - Intune 第三方裝置合規合作夥伴支援 Microsoft Defender XDR ,部署和整合 Defender XDR 中的元件,以偵測來自使用者、裝置和應用程式的異常活動。 - Defender XDR - 部署支援裝置, - 零信任與 Defender XDR Microsoft Entra ID Protection ID Protection 異常偵測,藉由與其他 Defender XDR 元件整合來增強。 標識符保護中的風險 條件式存取 針對使用者和登入風險設定風險型條件式存取原則,包括異常偵測。 需要抗網路釣魚的多因素驗證(MFA)才能進行有風險的登入。若要監視效果,請建立原則以封鎖僅報告模式中的高風險使用者。 風險型存取原則 Microsoft Sentinel 中的融合功能 將所需的數據源連接至 Sentinel,並啟用進階的多階段攻擊偵測。 - 將數據源連線至 Sentinel - 進階多階段攻擊偵測 |
2.6 功能:自動化和編排
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業初始成熟度狀態 開始使用工具和腳本,將裝置和虛擬資產的布建、設定、註冊和/或取消布建程序自動化 |
Microsoft Intune 開始自動化來布建、設定和取消布建裝置。 Intune Microsoft Entra ID 實作 Microsoft Entra ID 以簡化裝置註冊。 自動化裝置註冊 Microsoft 適用於端點的 Defender 套用基本安全性設定來管理裝置保護。 Microsoft 適用於端點的 Defender Microsoft Sentinel 使用 Sentinel 監視裝置狀態。 Sentinel |
|
進階成熟度狀態 企業已實作監視和強制執行機制,以識別並手動中斷聯機或隔離不相容(易受驗證、未驗證的憑證;未註冊的 mac 位址)裝置和虛擬資產。 |
Intune 強制執行合規性政策並管理裝置設定。 Intune的合規性政策 使用針對端點的Defender 透過進階威脅防護偵測並回應弱點和合規性問題。 在端點上的Defender進行威脅偵測和回應 Sentinel 使用Sentinel進行進階資料收集、分析和警示,以支援監控和強制執行作業。 在Sentinel中的進階監視 |
|
最佳成熟度狀態 Enterprise 擁有完全自動化的布建、註冊、監控、隔離、補救和取消布建裝置及虛擬資產的流程。 |
Intune 自動化裝置生命週期:布建、註冊、監視和取消布建。 在 Intune 中自動化裝置生命週期 Microsoft Entra ID 為求統一的方法,整合裝置管理與身分識別與存取控制。 將裝置管理與 Microsoft Entra 整合 Microsoft Defender XDR 使用 Defender XDR 進行進階和自動化的威脅偵測與回應。 使用 Defender XDR 進行進階威脅偵測 Sentinel 使用 Sentinel 自動化監視、遵循合規性和事件回應。 使用 Sentinel 來自動化 |
2.7 功能:治理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會設定並強制執行原則,以採購新裝置、非傳統運算裝置和虛擬資產的生命週期,以及定期進行裝置的監視和掃描。 |
Microsoft Intune 為新裝置採購和生命週期建立原則。 確保基本設定和管理。 Intune Microsoft Defender for Endpoint 定期監控和掃描裝置,以辨識弱點和合規性問題。 Microsoft Defender for Endpoint Sentinel 執行監控和掃描程序,以查看裝置狀態和潛在問題。 Sentinel |
|
進階成熟度狀態 企業會設定裝置和虛擬資產生命週期的全企業原則,包括其列舉和責任,以及一些自動化強制執行機制。 責任,具有一些自動化的強制執行機制。 |
Intune 定義並強制執行裝置及虛擬資產的全面生命週期管理政策。 Intune中的合規性政策 Defender for Endpoint 利用自動化執行機制和進階監控來提升安全性與合規性。 威脅偵測及回應 Sentinel 使用 Sentinel 進行詳細的裝置列舉與責任確立。 盡可能與自動化強制執行整合。 進階監視 |
|
最佳成熟度狀態 Enterprise 自動化管理企業內所有網路連線裝置和虛擬資產的生命週期原則。 |
Intune 自動化裝置和虛擬資產生命週期管理:採購、設定、監控和取消配置。 使用 Intune 自動化裝置生命週期 Microsoft Entra ID 為了更流暢地管理裝置和資產,請將生命週期政策與身分識別和存取管理結合。 整合裝置管理 Microsoft Defender XDR 使用 Defender XDR 來自動化裝置和資產的進階威脅偵測、回應及強制執行。 進階威脅偵測 Sentinel Sentinel 將監控、合規性強制執行及企業全範圍生命週期管理自動化。 使用 Sentinel 進行自動化 |
後續步驟
為 CISA 零信任成熟度模型設定Microsoft雲端服務。