DoD 零信任 策略和藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可消除傳統的周邊和信任假設,讓架構更有效率,以增強安全性、用戶體驗和任務效能。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
6 自動化和協調流程
本節Microsoft自動化和協調流程支柱中 DoD 零信任 活動的指引和建議。 若要深入瞭解,請參閱使用 零信任的可見度、自動化和協調流程。
6.1 原則決策點 (PDP) 和原則協調流程
Microsoft Sentinel 具有透過雲端式資源的安全性協調流程、自動化和回應 (SOAR)。 將網路攻擊的偵測和回應自動化。 Sentinel 與 Microsoft Entra ID、Microsoft Defender 全面偵測回應、Microsoft 365、Azure 和非Microsoft平臺整合。 這些可延伸整合可讓 Sentinel 跨平臺協調網路安全偵測和回應動作,以提高安全性作業的有效性和效率。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.1.1 原則清查與開發DoD 企業會與組織合作,以編目和清查現有的網路安全策略和標準。 原則會視需要更新並建立跨支柱活動,以符合重要的 ZT 目標功能。 結果: - 已收集原則以參考適用的合規性和風險(例如 RMF、NIST) -已針對每個 ZTRA 遺漏的要素和功能而檢閱原則,以符合每個 ZTRA 的功能 |
Microsoft Purview 合規性管理員使用 Microsoft Purview 合規性管理員來評估和管理多重雲端環境中的合規性。 - 合規性管理員 - Azure Dynamics 365 Microsoft Purview - Multicloud 支援 適用於雲端的 Microsoft Defender 使用 適用於雲端的 Defender 法規合規性功能,以檢視及改善多重雲端環境中的 Azure 原則 計劃合規性。 - 改善法規合規性 - FedRAMP 高法規合規性 - 內容中樞有解決方案,可透過網域特定安全性需求可視化及測量進度。 - |
Target
6.1.2 組織存取配置檔DoD 組織會使用使用者、數據、網路和裝置支柱的數據,開發任務/工作和非任務/工作 DAAS 存取的基本存取配置檔。 DoD Enterprise 會與組織合作,使用現有的組織安全性配置檔來開發企業安全性配置檔,以建立 DAAS 的通用存取方法。 階段式方法可用於組織,在建立安全性配置文件之後,限制任務/工作關鍵 DAAS 存取的風險。 結果: - 建立組織範圍配置檔,以使用使用者、數據、網路和裝置支柱 的功能來判斷 DAAS 的存取權- 初始企業配置檔存取標準是針對 DAAS 的存取而開發-如果組織配置檔可能利用使用者、數據、網路和裝置支柱中的企業可用服務 |
條件式存取 使用條件式存取 定義標準化 DoD 原則集。 包括驗證強度、裝置合規性、使用者和登入風險控制。 - 條件式存取 |
Target
6.1.3 企業安全性配置檔 Pt1企業安全性配置檔一開始涵蓋使用者、數據、網路和裝置支柱。 現有的組織安全性配置檔已整合,以供非任務/工作 DAAS 存取遵循。 結果: -企業配置檔會使用使用者、數據、網路和裝置支柱 的功能來存取 DAAS-非任務/工作關鍵性組織配置檔會使用標準化方法與企業配置檔整合 |
完成活動 6.1.2。 Microsoft Graph API 使用 Microsoft Graph API 來管理及部署條件式存取原則、跨租使用者存取設定,以及其他Microsoft Entra 組態設定。 - 以程式設計方式存取 - 跨租使用者存取設定 API - Graph 功能與服務 |
Advanced
6.1.4 企業安全性配置檔 Pt2企業安全性配置檔的最小數目存在,可授與 DoD 組織內跨支柱範圍最廣泛的 DAAS 存取權。 任務/工作組織配置檔會與企業安全性配置檔整合,且例外狀況是以風險為基礎的有條理的方法進行管理。 結果: -已減少並簡化企業配置檔,以支援 DAAS 存取範圍最廣- 適當任務/任務關鍵配置檔已整合,且支援的組織配置檔被視為例外狀況 |
條件式存取 使用條件式存取深入解析和報告活頁簿來查看條件式存取原則如何影響貴組織。 可能的話,請結合原則。 簡化的原則集更容易管理、疑難解答及試驗新的條件式存取功能。 您可以使用條件式存取範本來簡化原則。 - 深入解析和報表 - 範本 使用 What If 工具和僅限報表模式來疑難解答和評估新原則。 - 針對僅限條件式存取 - 模式 進行疑難解答:減少貴組織對受信任網路位置的依賴。 使用由 GPS 座標或 IP 位址決定的國家/地區位置,以簡化條件式存取原則中的位置條件。 - 位置條件 自訂安全性屬性 在條件式存取原則中使用自定義安全性屬性和應用程式篩選器,將指派給應用程式對象的安全性屬性授權範圍,例如敏感度。 - 自訂安全性屬性 - 篩選應用程式 |
6.2 重大程序自動化
Microsoft Sentinel 自動化會執行一般由第 1 層安全性分析師執行的工作。 自動化規則會使用 Azure Logic Apps,協助您開發可增強安全性作業的詳細自動化工作流程。 例如,事件擴充:連結至外部數據源,以偵測惡意活動。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.2.1 工作自動化分析DoD 組織會識別並列舉可以手動和自動化方式執行的所有工作活動。 工作活動會組織成自動化和手動類別。 系統會分析手動活動,以取得可能的淘汰。 結果: - 已識別 自動化工作 - 列舉工作 - 原則清查及開發 |
完成活動 6.1.1。 Azure Resource Manager使用 ARM 範本和 Azure 藍圖,使用基礎結構即程式代碼 (IaC) 將部署自動化。 - ARM 範本 - Azure 藍圖 Azure 原則 Organize 使用其方案定義 Azure 原則 指派。 - Azure 原則 初始化定義 - 指派安全性標準 Microsoft Entra ID 控管 定義存取套件目錄,以建立存取套件指派和檢閱的標準。 使用 Azure Logic Apps 開發身分識別生命週期工作流程,以自動化聯結器、行動器、離開器和其他可自動化的工作。 - 權利管理資源 - - - |
Target
6.2.2 企業整合與工作流程布建 Pt1DoD 企業會在啟用目標層級 ZTA 功能所需的安全性協調流程、自動化和響應解決方案 (SOAR) 內建立基準整合。 DoD 組織會識別整合點,並依 DoD 企業基準排定關鍵點的優先順序。 重大整合會發生可啟用復原和保護功能的主要服務。 完整的企業整合 - 識別關鍵整合 - 識別復原和保護需求 |
Microsoft Sentinel 將相關的數據源連線到 Sentinel,以啟用分析規則。 包含 Microsoft 365、Microsoft Defender 全面偵測回應、Microsoft Entra ID、Microsoft Entra ID Protection、適用於雲端的 Microsoft Defender、Azure 防火牆、Azure Resource Manager、Azure 監視器代理程式的安全性事件和其他 API、Syslog 或 Common Event Format (CEF) 數據源的連接器。 - Sentinel 數據連接器 - 請參閱裝置中的Microsoft指引 2.7.2。 使用 Defender XDR 來搜尋、調查、警示及回應威脅- |
Advanced
6.2.3 企業整合和工作流程布建 Pt2DoD 組織會整合其餘服務,以符合基準需求和進階 ZTA 功能需求,視每個環境而定。 服務布建已整合並自動化至需要符合 ZTA 目標功能的工作流程。 結果: - 已 識別的服務 - 已實作服務布建 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 保護身分識別、裝置、資料和應用程式。 使用 Defender XDR 設定元件整合 - ,並啟用標準和自定義分析規則。- |
6.3 機器學習
Microsoft Defender 全面偵測回應 和Microsoft Sentinel 使用人工智慧 (AI)、機器學習 (ML) 和威脅情報來偵測和回應進階威脅。 使用整合 Microsoft Defender 全面偵測回應、Microsoft Intune、Microsoft Entra ID Protection 和條件式存取,以使用風險訊號來強制執行調適型存取原則。
瞭解Microsoft安全性堆疊和 ML, 準備美國政府雲端中的安全性 Copilot。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.3.1 實作數據標記和分類 ML 工具DoD 組織會利用現有的數據標記和分類標準和需求,視需要採購 機器學習 解決方案。 機器學習 解決方案會在組織中實作,而現有的標記和分類數據存放庫則用來建立基準。 機器學習解決方案會在受監督的方法中套用數據標記,以持續改善分析。 結果: - 實作的數據標記和分類工具已與 ML 工具整合 |
Microsoft Purview 在服務端 (Microsoft Microsoft 365) 和用戶端 (Microsoft Office 應用程式) 和 Microsoft Purview 資料對應 的 Purview 中設定自動標記。 - 數據對應 中的敏感度數據標籤請參閱數據中的Microsoft指引 4.3.4 和 4.3.5。 |
6.4 人工智慧
Microsoft Defender 全面偵測回應 和Microsoft Sentinel 使用人工智慧 (AI)、機器學習 (ML) 和威脅情報來偵測和回應進階威脅。 Microsoft Defender 全面偵測回應、Microsoft Intune、Microsoft Entra ID Protection 與條件式存取之間的整合,可協助您使用風險訊號來強制執行調適型存取原則。
瞭解Microsoft安全性堆疊和 AI, 準備美國政府雲端中的安全性 Copilot。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Advanced
6.4.1 實作 AI 自動化工具DoD 組織會根據人工智慧的現有機器學習技術來識別改進領域。 AI 解決方案是使用識別的區域作為需求來識別、採購及實作。 結果: - 開發 AI 工具需求 - 採購並實作 AI 工具 |
Microsoft Sentinel Fusion 中的融合是 Sentinel 中的進階多階段攻擊偵測分析規則。 Fusion 是 ML 訓練的相互關聯引擎,可偵測多階段攻擊或進階持續性威脅(APT)。 它會識別異常行為和可疑活動,否則難以攔截。 事件是低量、高精確度和高嚴重性。 - 會使用機器學習 (ML) 演算法來偵測和補救身分識別型風險。 啟用Microsoft Entra ID Protection,為使用者和登入風險建立條件式存取原則。 - - |
Advanced
6.4.2 由分析驅動的 AI 決定 A&O 修改DoD 組織利用現有的機器學習功能實作並使用 AI 技術,例如神經網路來推動自動化和協調流程決策。 決策會盡可能移至 AI,以釋出人力人員以進行其他工作。 利用歷程記錄模式,AI 會在環境中做出預期的變更,以更好地降低風險。 結果: - AI 能夠變更自動化工作流程活動 |
Microsoft Sentinel 啟用分析規則,以在 Sentinel Microsoft 中偵測具有 Fusion 和 UEBA 異常的進階多階段攻擊。 設計安全性回應的自動化規則和劇本。 請參閱 6.2.3 和 6.4.1 中的Microsoft指引。 |
6.5 安全性協調流程、自動化和回應 (SOAR)
Microsoft Defender 全面偵測回應 具有標準和可自定義偵測的偵測和回應功能。 使用 Microsoft Sentinel 分析規則來擴充功能,以使用 Azure Logic Apps 觸發安全性協調流程、自動化和回應 (SOAR) 動作。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.5.1 回應自動化分析DoD 組織會識別並列舉以手動方式和自動化方式執行的所有響應活動。 回應活動會組織成自動化和手動類別。 系統會分析手動活動,以取得可能的淘汰。 結果: - 已識別 自動響應活動 - 列舉響應活動 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 具有檔案和裝置事件的自動和手動回應動作。 - Defender XDR 中的事件 |
Target
6.5.2 實作SOAR工具DoD 企業與組織合作,針對安全性協調流程、自動化和回應 (SOAR) 工具開發一組標準需求,以啟用目標層級 ZTA 函式。 DoD 組織會使用已核准的需求來採購及實作SOAR解決方案。 未來 SOAR 功能的基本基礎結構整合已完成。 結果: - 開發 SOAR 工具 的需求 - 採購 SOAR 工具 |
Microsoft Defender 全面偵測回應 使用 Microsoft Defender 全面偵測回應 標準回應功能。 請參閱Microsoft指引 6.5.1。 Microsoft Sentinel Sentinel 使用適用於 SOAR 功能的 Azure Logic Apps。 使用 Logic Apps 來建立和執行自動化工作流程,幾乎不需要程式代碼。 使用 Logic Apps 連線到 Sentinel Microsoft 外部的資源並與其互動。 - 使用自動化規則 - 的劇本使用劇本自動化威脅回應 |
Advanced
6.5.3 實作劇本DoD 組織會檢閱所有現有的劇本,以識別未來的自動化。 現有的手動和自動化程式遺漏劇本已開發劇本。 劇本的優先順序是自動化與涵蓋重要程式的自動化工作流程活動整合。 沒有劇本的手動程式會使用以風險為基礎的方法獲得授權。 結果: - 可能的話,根據自動化工作流程功能 將劇本自動化- 手動劇本會開發並實作 |
Microsoft Sentinel 檢閱目前的安全性程式,並在 Microsoft 雲端採用架構 中使用最佳做法。 若要擴充 SOAR 功能,請建立和自定義劇本。 從 Sentinel 劇本範本開始。 - 範本的安全性作業 - SOC程式架構劇本 - |
6.6 API 標準化
Microsoft Graph API 具有標準介面,可與Microsoft雲端服務互動。 Azure API 管理 可以保護貴組織所裝載的 API。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.6.1 工具合規性分析自動化和協調流程工具和解決方案會根據 DoD Enterprise 程式設計介面標準和需求來分析合規性和功能。 識別出更多工具或解決方案,以支援程式設計介面標準和需求。 結果: - API 狀態已決定符合 API 標準 或不符合規範- 識別要使用的工具 |
Microsoft Graph 安全性 APIMicrosoft Defender、Microsoft Sentinel 和 Microsoft Entra 都記載了 API。 - 安全性 API 使用 Microsoft Graph - 應用程式開發介面 - RESTful Web API 設計 |
Target
6.6.2 標準化 API 呼叫和架構 Pt1DoD 企業會與組織合作,視需要建立程式設計介面(例如 API)標準和需求,以啟用目標 ZTA 功能。 DoD 組織會將程式設計介面更新為新的標準,並強制新取得/開發的工具符合新的標準。 使用以風險為基礎的方法,允許無法符合標準的工具。 結果: - 已實 作初始呼叫和架構 - 取代不符合規範的工具 |
完成活動 6.6.1。 Azure API 管理 使用 Azure API 管理 作為 API 閘道來與 API 通訊,並為各種 API 建立一致的存取架構。 - Azure API 管理 Azure 自動化 工具使用 Azure 自動化 工具來 協調 零信任 動作。 - Azure 中的整合與自動化 |
Target
6.6.3 標準化 API 呼叫和架構 Pt2DoD 組織會完成移轉至新的程式設計介面標準。 在先前活動中標示為解除委任的工具已淘汰,且函式會移轉至現代化工具。 核准的架構是根據 DoD Enterprise 標準/ 需求採用。 結果: - 已實作所有呼叫和架構 |
Microsoft Sentinel 使用 Sentinel 作為協調流程引擎,以觸發和執行本檔中所引用自動化工具中的動作。 - 使用劇本將威脅回應自動化 |
6.7 安全性作業中心 (SOC) 和事件回應 (IR)
Microsoft Sentinel 是調查和管理安全性事件的案例管理解決方案。 若要將安全性回應動作自動化、連線威脅情報解決方案、部署 Sentinel 解決方案、啟用使用者實體行為分析 (UEBA),以及使用 Azure Logic Apps 建立劇本。
瞭解如何提高SOC成熟度,請參閱 Sentinel事件調查和案例管理。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
6.7.1 工作流程擴充 Pt1DoD 企業會與組織合作,使用 NIST 等業界最佳做法來建立網路安全事件響應標準。 DoD 組織會利用企業標準來判斷事件回應工作流程。 系統會識別外部擴充來源以供日後整合。 結果: - 已識別 威脅事件 - 開發威脅事件的工作流程 |
Microsoft Sentinel 數據連接器藉由將 Microsoft Defender 威脅情報 連線至 Sentinel 來擴充 Sentinel 工作流程。 - 適用於 Defender 威脅情報 的數據連接器Microsoft Sentinel 解決方案使用 Sentinel 解決方案 來檢閱產業最佳做法。 - NIST 800-53 解決方案 CMMS 2.0 解決方案 - - DoD ZT Sentinel 活頁簿 - Sentinel 內容和解決方案 |
Target
6.7.2 工作流程擴充 Pt2DoD 組織會識別並建立其他事件回應類型的擴充工作流程。 初始擴充數據源會用於現有的工作流程。 未來整合會識別其他擴充來源。 結果: - 開發 進階威脅事件的工作流程 - 識別進階威脅事件 |
Microsoft Sentinel 在 Fusion 中使用進階的多階段攻擊偵測,以及 UEBA 異常偵測分析規則,Microsoft Sentinel 來觸發自動化安全性回應劇本。 請參閱本節中的Microsoft指引 6.2.3若要擴充 Sentinel 工作流程,請將 Microsoft Defender 威脅情報 和其他威脅情報平臺解決方案連線到Microsoft Sentinel。 - |
Advanced
6.7.3 工作流程擴充 Pt3DoD 組織在基本和擴充的威脅回應工作流程上使用最終擴充數據源。 結果: - 已識別 擴充數據 - 擴充數據已整合到工作流程中 |
Microsoft Sentinel 新增實體,以改善 Sentinel 中的威脅情報結果。 - 中事件的工作,以及管理 Sentinel 中的事件。 - 使用地理位置數據管理 Sentinel |
Advanced
6.7.4 自動化工作流程DoD 組織著重於自動化安全性協調流程、自動化和回應 (SOAR) 函式和劇本。 安全性作業內的手動程式會識別並盡可能完全自動化。 剩餘的手動程式會在可能的情況下解除委任,或使用風險型方法標示為例外狀況。 結果: - 工作流程程式已完全自動化 - 已識別 手動程式 - 其餘進程會標示為例外狀況並記載 |
Microsoft Sentinel 劇本 Sentinel 劇本是以Logic Apps為基礎,這是一項雲端服務,可排程、自動化及協調跨企業系統的工作和工作流程。 使用範本建置回應劇本,從 Sentinel 內容中樞部署解決方案。 使用 Azure Logic Apps 建置自定義分析規則和回應動作。 - 來自範本 - - |
下一步
為 DoD 零信任 策略設定 Microsoft 雲端服務: