DoD 零信任 策略和藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可排除傳統周邊和信任假設,以提升安全性、用戶體驗和任務效能的更有效率的架構。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
7 可見度和分析
本節針對可見度和分析要素中的 DoD 零信任 活動Microsoft指導方針和建議。 若要深入瞭解,請參閱使用 零信任的可見度、自動化和協調流程。
7.1 記錄所有流量
Microsoft Sentinel 是可調整的雲端原生安全性資訊事件管理 (SIEM) 系統。 此外,Sentinel 是安全性協調流程、自動化和回應 (SOAR) 解決方案,可處理來自各種來源的大量數據。 Sentinel 資料連接器會跨使用者、裝置、應用程式和基礎結構、內部部署和多個雲端內嵌數據。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
7.1.1 規模考慮DoD 組織進行分析,以判斷調整的目前和未來需求。 調整會遵循常見的產業最佳做法方法和 ZT 柱形分析。 小組會與現有的商務持續性規劃 (BCP) 和災害復原規劃 (DPR) 群組合作,以判斷緊急情況下分散的環境需求,以及隨著組織成長。 結果: - 已建立足夠的基礎結構 - 已建立 的分散式環境 - 網路流量的足夠頻寬 |
Microsoft Sentinel Sentinel 會使用 Log Analytics 工作區來儲存安全性記錄數據進行分析。 Log Analytics 是 Azure 中的平臺即服務(PaaS)。 沒有可管理或建置的基礎結構。 - 工作區架構 - 工作區架構最佳做法 使用 - 適用於虛擬機的 Azure 監視器代理程式,以及內部部署和其他雲端中的網路設備,降低 Sentinel Azure 監視器代理 程式串流記錄的成本。 - 使用 AMA - Windows 安全性 事件CEF 和 Syslog 格式 - 的串流記錄:數據收集 - 網路基礎結構確保網路基礎結構 符合Microsoft 365 的頻寬需求,以及內部部署伺服器的雲端式安全性監視。- Azure 中的商務持續性管理具有適用於多個產業的成熟商務持續性管理計劃。 檢閱商務持續性管理和責任劃分。 - 商務持續性管理 - 可靠性指引 |
Target
7.1.2 記錄剖析DoD 組織會識別並排定記錄和流程來源的優先順序(例如防火牆、端點偵測和回應、Active Directory、交換器、路由器等),並先開發高優先順序記錄的收集計劃,然後再設定低優先順序。 開放業界標準的記錄格式會在 DoD 企業層級與組織達成一致,並在未來的採購需求中實作。 現有的解決方案和技術會持續移轉至格式。 結果: - 標準化記錄格式 - 針對每個記錄格式所開發的規則 |
Microsoft Sentinel 數據連接器會將 相關的數據源聯機至 Sentinel。 啟用和設定分析規則。 數據連接器使用標準化的記錄格式。 - 記錄擷取 API,請參閱自動化和協調流程 使用 Common Event Format (CEF) 標準化記錄,這是安全性廠商用來在平臺之間進行事件互操作性的業界標準。 針對不支援 CEF 中記錄的系統使用 Syslog。 - - |
Target
7.1.3 記錄分析常見的使用者和裝置活動會根據風險來識別並設定優先順序。 認為最簡單且具風險的活動會使用不同的數據源來建立分析,例如記錄。 趨勢和模式是根據收集的分析所開發,以在較長時間內查看活動。 結果: - 開發每個活動的 分析 - 識別要分析的活動 |
完成活動 7.1.2。 Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 是一個統一的入侵前和后入侵企業防禦套件,可跨端點、身分識別、電子郵件和應用程式原生協調偵測、預防、調查和回應。 使用Defender XDR來防範和回應複雜的攻擊。 - 調查警示 - 零信任 搭配適用於美國政府 - Microsoft Sentinel 開發自定義分析查詢,並使用活頁簿將收集的數據可視化。 - 的自定義分析規則 將收集的數據可視化 |
7.2 安全性資訊和事件管理
Microsoft Defender 全面偵測回應 和Microsoft Sentinel 一起運作,以偵測、警示及回應安全性威脅。 Microsoft Defender 全面偵測回應 會偵測Microsoft 365、身分識別、裝置、應用程式和基礎結構之間的威脅。 Defender XR 會在 Microsoft Defender 入口網站中產生警示。 將警示和原始數據從 Microsoft Defender 全面偵測回應 連線到 Sentinel,並使用進階分析規則將事件相互關聯,並針對高逼真度警示產生事件。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
7.2.1 威脅警示 Pt1DoD 組織利用現有的安全性資訊和事件管理 (SIEM) 解決方案來開發常見威脅事件的基本規則和警示(惡意代碼、網路釣魚等)警示和/或規則引發會送入平行的「資產標識碼和警示相互關聯」活動,以自動化回應。 結果: - 針對威脅相互關聯所開發的規則 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 針對跨多平臺端點、身分識別、電子郵件、共同作業工具、應用程式和雲端基礎結構偵測到的威脅警示。 平臺會自動將相關的警示匯總到事件中,以簡化安全性檢閱。 - 調查警示 Microsoft Sentinel 分析規則 啟用連線數據源的標準分析規則,並建立自定義分析規則來偵測 Sentinel 中的威脅。 請參閱 7.1.3 中的Microsoft指引。 |
Target
7.2.2 威脅警示 Pt2DoD 組織在安全性資訊和事件管理 (SIEM) 解決方案中擴充威脅警示,以包含網路威脅情報 (CTI) 數據摘要。 偏差和異常規則是在 SIEM 中開發,以偵測進階威脅。 結果: - 開發分析以偵測偏差 |
Microsoft Sentinel 威脅情報將網路威脅情報(CTI) 摘要傳送至 Sentinel。 - 威脅情報 請參閱自動化和協調流程中的Microsoft指引 6.7.1 和 6.7.2。 Microsoft Sentinel 解決方案使用Microsoft Sentinel 內容中樞的分析規則和活頁簿。 - Sentinel 內容和解決方案 Microsoft Sentinel 分析規則建立排程的分析規則 ,以偵測偏差、建立事件,以及觸發安全性協調流程、自動化和回應 (SOAR) 動作。 - 用來偵測威脅的自定義分析規則 |
Advanced
7.2.3 威脅警示 Pt3威脅警示已展開,以包含進階數據源,例如擴充偵測和回應(XDR)、使用者和實體行為分析(UEBA),以及用戶活動監視(UAM)。 這些進階數據源可用來開發改善的異常和模式活動偵測。 結果: - 識別觸發異常事件 - 實作觸發原則 |
Microsoft Sentinel 數據連接器連線到 Sentinel Microsoft Defender 全面偵測回應 以匯總警示、事件和原始數據。 - 將 Defender XDR 連線至 Sentinel Microsoft Sentinel 可自定義的異常 融合引擎偵測 請參閱自動化和協調流程- Microsoft指引 6.4.1。 |
Target
7.2.4 資產標識碼和警示相互關聯DoD 組織會使用資產和警示數據來開發基本相互關聯規則。 安全性資訊與事件管理 (SIEM) 解決方案內會自動化回應常見的威脅事件(例如惡意代碼、網路釣魚等)。 結果: - 針對資產標識碼型回應所開發的規則 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 跨多平臺端點、身分識別、電子郵件、共同作業工具、應用程式和雲端基礎結構相互關聯訊號。 使用 Microsoft Defender 自動化調查和回應功能設定自我修復。 - 使用實體頁面來檢視實體資訊、分析行為,以及改善調查。 - 使用實體 - 來分類和分析數據 調查實體頁面 |
Target
7.2.5 使用者/裝置基準DoD 組織會根據適當要素的 DoD 企業標準來開發使用者和裝置基準方法。 基底線中使用的屬性是從跨支柱活動開發的企業級標準中提取而來。 結果: - 識別使用者和裝置基準 |
Microsoft Sentinel 數據連接器建立 Sentinel 的數據擷取基準。 至少包括Microsoft Entra ID 和 Microsoft Defender 全面偵測回應 連接器、設定標準分析規則,以及啟用用戶實體行為分析 (UEBA)。 - 將 Defender XDR 連線至 Sentinel - ,以跨多個租使用者管理 Sentinel 工作區。 - |
7.3 常見的安全性和風險分析
Microsoft Defender 全面偵測回應 具有標準的威脅偵測、分析和警示。 使用 Microsoft Sentinel 可自定義的近乎即時分析規則,協助相互關聯、偵測及產生連線數據源之間異常的警示。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
7.3.1 實作分析工具DoD 組織會採購並實作基本的網路焦點分析工具。 分析開發會根據風險和複雜度排定優先順序,先尋找容易影響的分析。 持續分析開發著重於支柱需求,以更符合報告需求。 結果: - 開發分析環境 的需求 - 採購並實作分析工具 |
Microsoft Defender 全面偵測回應和Microsoft Sentinel 設定 Microsoft Defender 全面偵測回應 與 Sentinel 的整合。 - - Microsoft Defender 全面偵測回應 Sentinel 和適用於 零信任 的 Defender XDR |
Target
7.3.2 建立使用者基準行為利用平行活動為使用者和裝置開發的分析,系統會在技術解決方案中建立基準。 這些基準會根據一開始的風險套用至一組已識別的使用者,然後擴充至較大的 DoD 組織使用者群。 使用的技術解決方案會與機器學習功能整合,以開始自動化。 結果: - 識別基準 的使用者 - 建立 ML 型基準 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應整合式自動化偵測和回應是防禦的前線。 用戶和裝置支柱中的指引會建立基準行為,並在 Microsoft Intune(裝置合規性)和條件式存取中強制執行具有 Microsoft Defender 全面偵測回應 訊號的原則(符合規範的裝置和身分識別風險)。 請參閱用戶和裝置中的使用 Sentinel 來關聯事件、偵測威脅和觸發回應動作。 將相關的數據源連線至 Sentinel,並建立近乎即時的分析規則,以在數據擷取期間偵測威脅。 - 偵測威脅 請參閱 7.2.5 中的Microsoft指導方針。 Microsoft Sentinel 筆記本建置自定義 ML 模型,以使用 Jupyter Notebook 和自備 Machine-Learning (BYO-ML) 平台來分析 Sentinel 數據。 - BYO-ML 進入 Sentinel - Jupyter 筆記本和 MSTICPy |
7.4 用戶和實體行為分析
Microsoft Defender 全面偵測回應 和Microsoft Sentinel 會使用用戶實體行為分析 (UEBA) 偵測異常狀況。 使用 Fusion、UEBA 和機器學習 (ML) 分析規則來偵測 Sentinel 中的異常狀況。 此外,Sentinel 會與 Azure Notebooks (Jupyter Notebook) 整合,以攜帶您自己的 Machine-Learning (BYO-ML) 和視覺效果功能。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
7.4.1 基準和分析 Pt1利用平行活動中針對使用者和裝置開發的分析,會針對一般使用者和裝置類型建立通用配置檔。 從基底線擷取的分析會更新,以查看較大的容器、配置檔。 結果: - 開發分析以偵測變更的威脅狀況 - 識別使用者和裝置威脅配置檔 |
Microsoft Defender 全面偵測回應 Visit Microsoft Defender 入口網站,以統一檢視事件、警示、報告和威脅分析。 使用Microsoft安全分數來評估和改善安全性狀態。 建立自定義偵測,以監視和回應 Microsoft Defender 全面偵測回應 中的安全性事件。 - Microsoft Defender 入口網站 - 使用活頁簿來可視化和監視數據。 建立自定義分析規則,並啟用異常偵測,以識別和警示變更威脅狀況。 - 可視化和監視數據 - 自定義分析以偵測威脅 - 自定義異常以偵測威脅 |
Advanced
7.4.2 基準和分析 Pt2DoD 組織擴充基準和配置檔,透過資料輸出監視來包含非受控和非標準裝置類型,包括物聯網 (IoT) 和操作技術 (OT)。 這些裝置會再次根據標準化屬性和使用案例進行分析。 分析會更新,以據以考慮新的基準和配置檔,以啟用進一步的偵測和回應。 特定有風險的使用者和裝置會自動排定優先順序,以根據風險增加監視。 偵測和回應會與跨支柱功能整合。 結果: - 新增 IoT 和 OT 裝置 的威脅設定檔- 開發和擴充分析 - 將威脅設定檔擴充至個別使用者和裝置 |
Microsoft Defender 全面偵測回應 使用 適用於端點的 Microsoft Defender 來保護非受控裝置。 - 裝置探索 - - 的 Defender。 適用於 IoT 的 Defender 支援雲端、內部部署和混合式 OT 網路的無代理程式裝置監視。 為環境的基準啟用學習模式,並將適用於IoT的Defender線上至 Microsoft Sentinel。 - 適用於 IoT 的 Defender 適用於組織的 - - |
Advanced
7.4.3 UEBA 基準支援 Pt1DoD 組織內的使用者和實體行為分析 (UEBA) 會將監視擴充至進階分析,例如 機器學習 (ML)。 這些結果會接著檢閱並送回 ML 演算法,以改善偵測和回應。 結果: - 實作以 ML 為基礎的分析來偵測異常 |
完成活動 7.3.2。 Microsoft Sentinel 分析規則Sentinel 會使用兩個模型來建立基準並偵測異常、UEBA 和機器學習。 - 偵測到的異常 UEBA 會根據動態實體基準來偵測異常。 - - 異常 ML 異常,使用標準分析規則範本來識別不尋常的行為。 - |
Advanced
7.4.4 UEBA 基準支援 Pt2DoD 組織內的使用者和實體行為分析 (UEBA) 會使用傳統和機器學習 (ML) 型結果來完成其擴充,以饋送至人工智慧 (AI) 演算法。 一開始,AI 型偵測會受到監督,但最終會使用神經網路等進階技術,UEBA 運算符不屬於學習程式的一部分。 結果: - 實作 ML 型分析來偵測異常狀況(受監督的 AI 偵測) |
Microsoft Sentinel 中的 Fusion 在 Sentinel 中使用融合分析規則中的進階多階段攻擊偵測。 Fusion 是 ML 訓練的相互關聯引擎,可偵測多階段攻擊和進階持續性威脅 (APT)。 它會識別異常行為和可疑活動的組合,否則難以攔截。 - 進階多階段攻擊偵測 Microsoft Sentinel 筆記本建置您自己的自定義 ML 模型,以使用 Jupyter Notebook 和自備 Machine-Learning (BYO-ML) 平臺來分析Microsoft Sentinel 數據。 - BYO-ML 進入 Sentinel - Jupyter 筆記本和 MSTICPy |
7.5 威脅情報整合
Microsoft Defender 威脅情報 簡化來自Microsoft威脅專家和其他來源的分級、事件回應、威脅搜捕、弱點管理 和網路威脅情報(CTI)。 Microsoft Sentinel 會連線到 Microsoft Defender 威脅情報 和第三方 CTI 來源。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
7.5.1 網路威脅情報計劃 Pt1DoD 企業會與組織合作,開發網路威脅情報(CTI)計劃原則、標準和程式。 組織會利用這份文件來開發具有重要任務/工作項目關係人的組織 CTI 小組。 CTI Teams 會將常見的數據摘要與安全性資訊與事件管理 (SIEM) 整合,以改善警示和回應。 建立與裝置和網路強制執行點 (例如防火牆、端點安全性套件等) 的整合,以對 CTI 驅動數據進行基本監視。 結果: 網路威脅情報小組已備妥與重要項目關係 人-公開和基準 CTI 摘要正由 SIEM 用於警示 -基本整合點與裝置和網路強制執行點存在(例如 NGAV、NGFW、NG-IPS) |
Microsoft Defender 威脅情報 連接 Defender 威脅情報和其他威脅情報摘要至 Sentinel。 - Defender 威脅情報 啟用Defender威脅情報 - - 整合網路資源與 Microsoft Sentinel。 - |
Target
7.5.2 網路威脅情報計劃 Pt2DoD 組織擴充其網路威脅情報 (CTI) 小組,以適當地納入新的項目關係人。 已驗證、私人及受控制的 CTI 數據摘要會整合到安全性資訊和事件管理 (SIEM) 中,以及來自裝置、使用者、網路和數據支柱的強制點。 結果: 網路威脅情報小組已適當地與擴充項目關係人 合作,SIEM 正在利用其他適當的分析工具進行警示和監視 -整合已備妥,適用於裝置、使用者、網路和數據支柱 (UEBA, UAM) 內的延伸強制執行點 |
Microsoft Sentinel 數據連接器 使用 REST API 管理 Azure 中的網路資源。 使用 Sentinel 劇本和 Logic Apps 建立與網路強制點的基本整合。 - 虛擬網路 REST 作業 - 存放庫中尋找其他網路強制執行點的劇本。 - |
7.6 自動化動態原則
Microsoft安全性堆疊會使用機器學習服務 (ML) 和人工智慧 (AI) 來保護身分識別、裝置、應用程式、數據和基礎結構。 使用 Microsoft Defender 全面偵測回應 和條件式存取,ML 偵測會建立使用者和裝置的匯總風險層級。
使用裝置風險將裝置標示為不符合規範。 身分識別風險等級可讓組織要求網路釣魚防護驗證方法、符合規範的裝置、增加的登入頻率等等。 使用風險條件和條件式訪問控制來強制執行自動化、動態存取原則。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Advanced
7.6.1 啟用 AI 的網路存取DoD 組織會利用 SDN 基礎結構和企業安全性配置檔來啟用人工智慧 (AI)/機器學習 (ML) 導向的網路存取。 先前活動的分析可用來教導 AI/ML 演算法,以改善決策。 結果: - 網路存取是以環境分析為基礎的 AI 驅動 |
Microsoft Defender 全面偵測回應 Microsoft Defender 全面偵測回應 限制橫向移動的自動攻擊中斷。 此動作可減少勒索軟體攻擊的影響。 Microsoft安全性研究人員使用 AI 模型來對抗使用 Defender XDR 的進階攻擊的複雜性。 解決方案會將訊號與高信賴事件相互關聯,以實時識別並包含攻擊。 - 攻擊中斷 Microsoft Defender SmartScreen 和 Web 保護中的網路保護功能擴充至操作系統,以封鎖命令和控制 (C2) 攻擊。 - 保護您的網路 - AI 以中斷人為操作的勒索軟體Microsoft Sentinel 使用 Azure 防火牆 將防火牆活動可視化、偵測具有 AI 調查功能的威脅、相互關聯活動,以及自動化回應動作。 - 使用 Sentinel Azure 防火牆 |
Advanced
7.6.2 已啟用 AI 的動態 存取控制DoD 組織會利用先前以規則為基礎的動態存取來教導人工智慧(AI)/機器學習(ML) 演算法,以決定各種資源的存取權。 「已啟用 AI 的網路存取」活動演算法會更新,讓所有 DAAS 做出更廣泛的決策。 結果: - JIT/JEA 與 AI 整合 |
條件式存取 需要Microsoft Intune 合規性政策中的計算機風險層級 適用於端點的 Microsoft Defender。 在條件式存取原則中使用裝置合規性和Microsoft Entra ID Protection 風險條件。 - 風險型存取原則 合規性原則 - 以設定 Intune 受控裝置 Privileged Identity Management 的規則 使用身分識別保護風險層級和裝置合規性訊號來定義特殊許可權存取的驗證內容。 需要 PIM 要求的驗證內容,才能強制執行 Just-In-Time (JIT) 存取的原則。 請參閱本節中的Microsoft指引 7.6.1 和 User 中的 1.4.4。 |
下一步
為 DoD 零信任 策略設定 Microsoft 雲端服務: