Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика
6 Автоматизация и оркестрация
В этом разделе содержатся руководство и рекомендации Microsoft по активностям Zero Trust в опоре на автоматизацию и оркестрацию. Дополнительные сведения см. в статье о видимости, автоматизации и оркестрации с помощью Zero Trust.
6.1 Точка принятия решений политики (PDP) и оркестрация политик
Microsoft Sentinel включает в себя оркестрацию безопасности, автоматизацию и реагирование (SOAR) с использованием облачных ресурсов. Автоматизация обнаружения и реагирования на кибератаки. Sentinel интегрируется с Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure и платформ, отличных от Майкрософт. Эти расширяемые интеграции позволяют Sentinel координировать действия по обнаружению и реагированию на кибербезопасность на разных платформах, повышая эффективность и эффективность операций безопасности.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
6.1.1 Инвентаризация политик и разработкаКомпания DoD работает с организациями для каталогизации и инвентаризации существующих политик и стандартов кибербезопасности. Политики обновляются и создаются в межплатформенных действиях по мере необходимости для удовлетворения критически важного уровня функциональности ZT Target. Результаты: - Политики были собраны по ссылке на применимое соответствие и риск (например, RMF, NIST) - Политики были проверены на наличие отсутствующих столпов и возможностей в соответствии с ZTRA - Отсутствующие области политик обновлены для обеспечения соответствия возможностям ZTRA |
Microsoft Purview Compliance Manager Используйте Microsoft Purview Compliance Manager для оценки и управления соответствием требованиям в многоблочной среде. - Compliance Manager - Azure, Dynamics 365, Microsoft Purview - Поддержка многоблочных сред Microsoft Defender for Cloud Используйте функции нормативного соответствия Defender for Cloud для просмотра и улучшения соответствия инициативам Azure Policy в многоблочной среде. - Улучшение соответствия нормативным требованиям - Соответствие требованиям FedRAMP High - Соответствие требованиям NIST SP 800-53 ред. 5 - Соответствие требованиям CMMC Microsoft Sentinel Концентратор содержимого Sentinel предлагает решения для визуализации и измерения прогресса с учетом требований безопасности для конкретных доменов. - Каталог содержимого концентратора Sentinel - Рабочая книга DoD ZT Sentinel - Решение NIST SP 800-53 |
Target6.1.2 Профиль доступа организацииОрганизации DoD разрабатывают базовые профили доступа для доступа к миссионным/задачным и не миссионным/задачным системам DAAS, используя данные из основных компонентов: пользователя, данных, сети и устройств. DoD Enterprise работает с организациями для разработки профиля корпоративной безопасности с помощью существующих профилей безопасности организации для создания общего подхода к DAAS. Поэтапный подход можно использовать в организациях, чтобы ограничить риск при критически важном доступе к DAAS для миссии/задачи после создания профиля(-ей) безопасности. Результаты: Создаются профили организации для определения доступа к DAAS, используя возможности пользователей, данных, сети и устройств. Разработан начальный стандарт корпоративного доступа к DAAS. Когда возможно, профили организации используют доступные корпоративные службы в столпах "Пользователь", "Данные", "Сеть" и "Устройства." |
Условный доступ Определите стандартные наборы политик DoD с условным доступом. Включите уровень проверки подлинности, соответствие устройств, а также элементы управления пользователями и рисками входа. - Условный доступ |
Target
6.1.3 Корпоративный профиль безопасности Pt1Профиль безопасности предприятия изначально охватывает основные аспекты безопасности пользователей, данных, сети и устройств. Существующие организационные профили безопасности интегрируются для доступа к DAAS, не являющиеся критически важными для выполнения миссий/задач. Результаты: - Корпоративные профили создаются для доступа к DAAS, используя возможности из областей пользователя, данных, сети и устройств - Профили организации, не являющиеся критически важными для выполнения миссий/задач, интегрируются с корпоративными профилями с использованием стандартизованного подхода. |
Выполните задание 6.1.2. Microsoft Graph API Используйте Microsoft Graph API для управления политиками условного доступа, параметрами доступа между клиентами и другими параметрами конфигурации Microsoft Entra. |
Advanced
6.1.4 Корпоративный профиль безопасности Pt2Минимальное количество корпоративных профилей безопасности существует, предоставляющих доступ к самому широкому диапазону DAAS в рамках столпов в организациях DoD. Профили организации миссий и задач интегрируются с профилями безопасности предприятия, и исключения управляются в методическом подходе на основе рисков. Результаты: - Профили предприятия были упрощены и оптимизированы для обеспечения максимального доступа к DAAS . При необходимости критически важные профили задач были интегрированы, а поддерживаемые организационные профили являются исключением. |
Условный доступ Используйте рабочую книгу "Аналитика и отчеты по условному доступу", чтобы узнать, как политики условного доступа влияют на вашу организацию. При возможности объедините политики. Упрощенный набор политик проще управлять, устранять неполадки и пилотировать новые функции условного доступа. Шаблоны условного доступа можно использовать для упрощения политик. - Аналитика и отчеты - Шаблоны Используйте средство "Что если" и режим только для отчетов для устранения неполадок и оценки новых политик. - Устранение неполадок условного доступа - Режим Уменьшите зависимость вашей организации от надежных сетевых расположений. Используйте местоположения страны или региона, определенные координатами GPS или IP-адресом, чтобы упростить условия расположения в политиках условного доступа. - Условия расположения Настраиваемые атрибуты безопасности Используйте настраиваемые атрибуты безопасности и фильтры приложений в политиках условного доступа для определения области действия авторизации атрибутов безопасности для объектов приложений, таких как чувствительность. - Настраиваемые атрибуты безопасности - Фильтрация приложений |
6.2 Критическая автоматизация процессов
Microsoft Sentinel автоматизация выполняет задачи, обычно выполняемые аналитиками безопасности уровня 1. Правила автоматизации используют Azure Logic Apps для разработки подробных автоматизированных рабочих процессов, которые повышают безопасность. Например, обогащение инцидентов: подключение к внешним источникам данных для обнаружения вредоносной активности.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
TargetАнализ Организации DoD определяют и перечисляют все действия задач, которые можно выполнять как вручную, так и автоматически. Действия задач организованы по автоматическим и ручным категориям. Ручные действия анализируются для возможного прекращения. Результаты: - Автоматизируемые задачи определены - Задачи перечислены - Инвентаризация и разработка политик |
Выполнить задание 6.1.1. Azure Resource Manager Используйте шаблоны ARM и Azure Blueprints для автоматизации развертываний с использованием инфраструктуры как кода (IaC). - ARM шаблоны - Azure Blueprints Azure Policy Организуйте назначения Azure Policy с использованием определений инициатив. - Azure Policy - Microsoft Defender for Cloud Разверните нормативные стандарты и эталоны Defender for Cloud. - Назначение стандартов безопасности Microsoft Entra ID Governance Определите каталоги пакетов доступа для установления стандартов назначения и проверки пакетов доступа. Разработка рабочих процессов жизненного цикла идентичности с помощью Azure Logic Apps для автоматизации включения, перемещения, увольнения и других автоматизируемых задач. - Ресурсы управления правами - Доступ внешних пользователей - Развертывание обзора доступа - Создание рабочих процессов жизненного цикла |
Target
6.2.2 Корпоративная интеграция и подготовка рабочих процессов Pt1Предприятие DoD устанавливает базовые интеграции в решении оркестрации безопасности, автоматизации и ответа (SOAR), необходимого для включения функциональных возможностей ZTA на целевом уровне. Организации DoD определяют точки интеграции и расставляют приоритеты для ключевых из них на основе базовой линии предприятия DoD. Критически важные интеграции происходят, обеспечивая ключевые сервисы, которые включают возможности восстановления и защиты. Результаты. Реализация полной корпоративной интеграции . Определение ключевых интеграции — определение требований к восстановлению и защите |
Microsoft Sentinel Подключите соответствующие источники данных к Sentinel для активации аналитических правил. Включите соединители для Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, события безопасности с агентом Azure Monitor (AMA) и другими источниками данных API, Syslog или Common Event Format (CEF). - Соединители данных Sentinel - UEBA в Sentinel Microsoft Defender XDR Настройте интеграции развернутых компонентов Microsoft Defender XDR и подключите Microsoft Defender XDR к Sentinel. - Подключите данные из Defender XDR к Sentinel См. Руководство Microsoft 2.7.2 в Устройстве. Используйте Defender XDR для охоты, анализа, оповещения и реагирования на угрозы - Автоматическое исследование и реагирование |
Advanced
6.2.3 Корпоративная интеграция и подготовка рабочих процессов Pt2DoD Organizations интегрируют оставшиеся службы в соответствии с базовыми требованиями и расширенными требованиями к функциональным возможностям ZTA в соответствии с соответствующей средой. Подготовка служб интегрирована и автоматизирована в рабочие процессы, где это необходимо для достижения целевых функций ZTA. Результаты: — Идентифицированные услуги — Реализовано предоставление услуг |
Microsoft Defender XDR Microsoft Defender XDR защищает идентификаторы, устройства, данные и приложения. Используйте XDR Defender для настройки интеграции компонентов - настройка XDR инструментов - исправления Defender XDR. Microsoft Sentinel. Подключите новые источники данных к Sentinel и включите стандартные и пользовательские правила аналитики. SOAR в Sentinel. |
6.3 Машинное обучение
Microsoft Defender XDR и Microsoft Sentinel использовать искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Используйте интеграции Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection и условного доступа, чтобы использовать сигналы риска для применения политик адаптивного доступа.
Узнайте о стеке безопасности Майкрософт и машинном обучении, Подготовка к Security Copilot в облаке правительства США.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
6.3.1 Реализация инструментов машинного обучения для тегирования и классификации данныхОрганизации МО США используют существующие стандарты и требования к классификации данных для приобретения решений машинного обучения по мере необходимости. Machine Learning решения реализованы в организациях, а существующие репозитории помеченных и классифицированных данных используются для создания базовых показателей. Решения машинного обучения применяют теги данных в защищенном подходе к постоянному улучшению анализа. Результат. Реализованные средства тегов и классификации данных интегрированы с инструментами машинного обучения |
Microsoft Purview Настройка автоматической маркировки в Microsoft Purview для серверной части (Microsoft 365) и клиентской части (приложения Microsoft Office) и в Microsoft Purview Data Map. - Метки конфиденциальности данных в Data Map Смотрите руководство Microsoft 4.3.4 и 4.3.5 в разделе Data. |
6.4 Искусственный интеллект
Microsoft Defender XDR и Microsoft Sentinel использовать искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Интеграция между Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection и условным доступом помогает использовать сигналы риска для применения политик адаптивного доступа.
Узнайте о стеке безопасности Майкрософт и ИИ, Подготовка к использованию Security Copilot в облаках для правительственных учреждений США.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Advanced
6.4.1 Реализация средствавтоматизации ИИОрганизации DoD определяют области улучшения на основе существующих методов машинного обучения для искусственного интеллекта. Решения искусственного интеллекта идентифицируются, закупаются и реализуются в определенных областях в качестве требований. Результаты. Разработка требований к инструменту ИИ— приобретение и реализация средств ИИ |
Fusion в Microsoft Sentinel Fusion — это расширенное правило аналитики обнаружения многоэтапных атак в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки или расширенные постоянные угрозы (APTs). Он выявляет аномальное поведение и подозрительную активность, которые в противном случае трудно обнаружить. Инциденты характеризуются низкой частотой, высокой достоверностью и высокой серьезностью. - Современное обнаружение многоэтапных атак - Настраиваемые аномалии - Правила аналитики обнаружения аномалий Microsoft Entra ID Protection Защита удостоверений использует алгоритмы машинного обучения для обнаружения и устранения рисков на основе удостоверений. Включите Microsoft Entra ID Protection для создания политик условного доступа для пользователей и входа в систему. - Microsoft Entra ID Protection - Настройте и включите политики риска Azure Защита от атак DDoS Azure DDoS Protection использует интеллектуальное профилирование трафика для изучения трафика приложения и настройки профиля по мере изменения трафика. - Azure Защита от атак DDoS |
Результат: — ИИ может вносить изменения в автоматизированные действия рабочего процесса. |
Microsoft Sentinel Включите аналитические правила для обнаружения сложных многоступенчатых атак с использованием Fusion и аномалий UEBA в Microsoft Sentinel. Разработка правил автоматизации и сборников схем для реагирования на безопасность. Ознакомьтесь с рекомендациями Майкрософт в версии 6.2.3 и 6.4.1. |
6.5 Оркестрация безопасности, автоматизация и ответ (SOAR)
Microsoft Defender XDR имеет возможности обнаружения и реагирования с помощью стандартных и настраиваемых обнаружений. Расширьте возможности, используя правила аналитики Microsoft Sentinel для запуска действий SOAR (оркестрации безопасности, автоматизации и реагирования) с помощью Azure Logic Apps.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
TargetАнализ Организации DoD определяют и перечисляют все действия ответа, выполняемые вручную и автоматически. Действия реагирования организованы по автоматическим и ручным категориям. Ручные действия анализируются для возможного прекращения. Результат: — определяются автоматизированные действия реагирования. Действия ответа перечисляются. |
Microsoft Defender XDR Microsoft Defender XDR имеет автоматические и вручные действия реагирования на инциденты с файлами и устройствами. - Инциденты в Defender XDR |
Target
6.5.2 Реализация инструментов SOARПредприятие Министерства обороны (DoD), работающее в сотрудничестве с организациями, разрабатывает стандартный набор требований для инструментов оркестрации безопасности, автоматизации и реагирования (SOAR), чтобы обеспечить реализацию функций ZTA на целевом уровне. Организации DoD используют утвержденные требования для приобретения и реализации решения SOAR. Выполняется базовая интеграция инфраструктуры для будущих функций SOAR. Результаты. Разработка требований к инструменту SOAR— приобретение инструмента SOAR |
Microsoft Defender XDR Используйте стандартные возможности ответа Microsoft Defender XDR. См. руководство Microsoft 6.5.1. Microsoft Sentinel Sentinel использует Azure Logic Apps для функций SOAR. Используйте Logic Apps для создания и запуска автоматизированных рабочих процессов без кода. Используйте Logic Apps для подключения к ресурсам вне Microsoft Sentinel и взаимодействия с ними. - Сборники схем с правилами - автоматизацииАвтоматизация реагирования на угрозы с помощью сборников схем |
Advanced
6.5.3 Реализация плейбуковОрганизации DoD просматривают все существующие плейбуки, чтобы определить, какие из них следует использовать для будущей автоматизации. Существующие ручные и автоматизированные процессы, для которых отсутствовали плейбуки, получили разработанные плейбуки. Руководства действий приоритизируются для интеграции автоматизации с деятельностью автоматизированных рабочих процессов, охватывающих критически важные процессы. Ручные процессы без плейбуков разрешены, используя методический подход на основе оценки рисков. Результаты:- По возможности автоматизируйте плейбуки на базе возможностей автоматизации рабочих процессов - Ручные плейбуки разрабатываются и внедряются |
Microsoft Sentinel Посмотрите текущие процессы безопасности и используйте лучшие практики в Microsoft Cloud Adoption Framework (CAF). Чтобы расширить возможности SOAR, создайте и настройте плейбуки. Начните с шаблонов плейбуков Sentinel. - Операции безопасности - Каркас процессов SOC - Плейбуки из шаблонов |
Стандартизация API 6.6
Microsoft Graph API имеет стандартный интерфейс для взаимодействия с облачными службами Майкрософт. Azure API Management может защитить API, размещенные в вашей организации.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
6.6.1 Анализ соответствия инструментовСредства автоматизации и оркестрации, а также решения анализируются на соответствие требованиям и возможностям на основе стандарта и требований программного интерфейса DoD Enterprise. Все больше инструментов или решений определяются для поддержки стандартов и требований программного интерфейса. Результаты. Состояние API определяется соответствием или несоответствием стандартам API. Используемые инструменты определяются |
Microsoft Graph security API Microsoft Defender, Microsoft Sentinel и Microsoft Entra имеют документированные API. - Интерфейс безопасности API - Работа с Microsoft Graph - API защиты идентификации Следуйте рекомендациям для API, разработанных вашей организацией. - Интерфейс программирования приложений - Дизайн RESTful веб-API |
Target
6.6.2 Стандартизированные вызовы API и схемы Pt1Компания DoD работает с организациями для создания программного интерфейса (например, API) стандарта и требований, необходимых для включения целевых функций ZTA. Организации Министерства обороны США обновляют программные интерфейсы до нового стандарта и требуют, чтобы новые приобретенные или разработанные инструменты соответствовали новому стандарту. Инструменты, не соответствующие стандарту, могут быть разрешены в виде исключения с использованием систематического подхода на основе оценки рисков. Результаты: - и схемы реализованы . Несоответствующие инструменты заменяются |
действие Выполните 6.6.1. Azure API Management Используйте Azure API Management в качестве шлюза API для взаимодействия с API и создания согласованной схемы доступа для различных API. - Azure API Management Инструменты автоматизации Azure Оркеструйте действия Zero Trust с помощью инструментов автоматизации Azure. - Интеграция и автоматизация в Azure |
Target
6.6.3 Стандартизированные вызовы API и схемы Pt2Организации DoD завершают миграцию в новый программный стандарт. Средства, помеченные для вывода из эксплуатации в предыдущем действии, удаляются, а функции переносятся на модернизированные средства. Утвержденные схемы принимаются на основе стандарта и требований DoD Enterprise. Результат. Все вызовы и схемы реализуются |
Microsoft Sentinel Используйте Sentinel в качестве движка оркестровки для активации и выполнения действий в средствах автоматизации, приведенных в этом документе. - Автоматизируйте ответ на угрозы с помощью сценариев |
6.7 Центр управления безопасностью (SOC) и реагирование на инциденты (IR)
Microsoft Sentinel — это решение для управления делами для расследования инцидентов безопасности и управления ими. Чтобы автоматизировать действия по реагированию на угрозы, подключите решения аналитики угроз, разверните решения Sentinel, включите аналитику поведения сущностей пользователей (UEBAs) и создайте сборники схем с Azure Logic Apps.
Узнайте, как повысить зрелость SOC, см. статью "Расследование инцидентов Sentinel" и управление делами.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
6.7.1 Обогащение рабочего процесса Pt1DoD enterprise работает с организациями для создания стандарта реагирования на инциденты кибербезопасности с использованием отраслевых рекомендаций, таких как NIST. Организации DoD используют корпоративный стандарт для определения рабочих процессов реагирования на инциденты. Внешние источники обогащения определяются для будущей интеграции. Результаты. События угроз определены . Рабочие процессы для событий угроз разрабатываются |
соединители данных Microsoft Sentinel Обогатите рабочие процессы Sentinel, подключая Аналитику угроз Microsoft Defender к Sentinel. - Коннектор данных для Аналитики угроз Defender Решения Microsoft Sentinel Используйте решения Sentinel для изучения лучших отраслевых практик. - Решение по NIST 800-53 - Решение CMMS 2.0 - Рабочие тетради DoD ZT Sentinel - Контент и решения Sentinel |
Target
6.7.2 Обогащение рабочих процессов Pt2Организации DoD определяют и устанавливают расширенные рабочие процессы для дополнительных типов реагирования на инциденты. Исходные источники данных обогащения используются для существующих рабочих процессов. Дополнительные источники обогащения определяются для будущих интеграции. Результаты. Рабочие процессы для событий расширенной угрозы разрабатываются . События расширенной угрозы определяются |
Microsoft Sentinel Используйте расширенное обнаружение многоэтапных атак в Fusion и правила аналитики обнаружения аномалий UEBA в Microsoft Sentinel для активации автоматизированных сценариев реагирования на инциденты безопасности. Смотрите руководство Microsoft 6.2.3 и 6.4.1 в этом разделе. Для обогащения рабочих процессов Sentinel подключите Microsoft Defender Threat Intelligence и другие платформы анализа угроз к Microsoft Sentinel. - Подключение платформ анализа угроз к Sentinel - Подключение Sentinel к каналам аналитики угроз STIX/TAXII Смотрите руководство Майкрософт 6.7.1. |
Advanced
6.7.3 Обогащение рабочего процесса Pt3Организации DoD используют окончательные источники данных обогащения для базовых и расширенных рабочих процессов реагирования на угрозы. Результаты. Данные обогащения определены : данные обогащения интегрированы в рабочие процессы. |
|
Advanced
Автоматизированный рабочий процесс6.7.4Организации DoD сосредоточены на автоматизации функций оркестрации безопасности, автоматизации и реагирования (SOAR) и сборников схем. Ручные процессы в операциях безопасности идентифицируются и автоматизируются по мере возможности. Остальные процессы вручную удаляются, если это возможно или помечается для исключения с помощью подхода на основе рисков. Результаты. - Процессы полностью автоматизированы . Процессы вручную определены . Оставшиеся процессы помечены как исключения и документированы |
Плейбуки Microsoft Sentinel Плейбуки Sentinel основаны на Logic Apps, облачной службе, которая планирует, автоматизирует и оркестрирует задачи и рабочие процессы в корпоративных системах. Создайте сборники схем ответов с помощью шаблонов, разверните решения из концентратора содержимого Sentinel. Создание пользовательских правил аналитики и действий ответа с помощью Azure Logic Apps. - Плейбуки Sentinel из шаблонов - Автоматизируйте ответ на угрозы с помощью плейбуков - Каталог контентного хаба Sentinel - Azure Logic Apps |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии doD Zero Trust:
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика