Стратегия нулевого доверия DoD для основы автоматизации и оркестрации

Статья
2024-04-13

Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

6 Автоматизация и оркестрация

В этом разделе содержатся рекомендации и рекомендации майкрософт по действиям DoD Zero Trust в рамках основы автоматизации и оркестрации. Дополнительные сведения см. в статье о видимости, автоматизации и оркестрации с помощью нулевого доверия.

6.1 Точка принятия решений политики (PDP) и оркестрация политик

Microsoft Sentinel имеет оркестрацию безопасности, автоматизацию и ответ (SOAR) через облачные ресурсы. Автоматизация обнаружения и реагирования на кибератаки. Sentinel интегрируется с идентификатором Microsoft Entra, XDR Microsoft Defender, Microsoft 365, Azure и платформами, отличными от Майкрософт. Эти расширяемые интеграции позволяют Sentinel координировать действия по обнаружению и реагированию на кибербезопасность на разных платформах, повышая эффективность и эффективность операций безопасности.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`6.1.1 Инвентаризация политик и разработка Компания DoD работает с организациями для каталогизации и инвентаризации существующих политик и стандартов кибербезопасности. Политики обновляются и создаются в перекрестных действиях по мере необходимости для удовлетворения критически важных функциональных возможностей ZT Target. Результаты. Политики были собраны в ссылке на применимое соответствие и риск (например, RMF, NIST) - Политики были проверены для отсутствующих компонентов и возможностей на основе ZTRA - Отсутствующих областей политик обновляются для удовлетворения возможностей на ZTRA	Microsoft Purview Compliance Manager использует Microsoft Purview Compliance Managerдля оценки соответствия требованиям и управления ими в многооблачной среде. - Диспетчер - соответствия требованиям Azure, Dynamics 365, поддержка Microsoft Purview- Multicloud Microsoft Defender для облака Использовать Defender для облака функции соответствия нормативным требованиям для просмотра и улучшения соответствия требованиям Политика Azure инициативы в многооблачной среде. - Повышение соответствия нормативным - требованиям FedRAMP с высоким соответствием нормативным- требованиям NIST SP 800-53 ред. 5 соответствие нормативным требованиям CMMC соответствия- требованиям Microsoft Sentinel Для концентратора содержимого Sentinel есть решения для визуализации и измерения прогресса в соответствии с требованиями безопасности для конкретного домена. - Решение NIST SP 800-53 для каталога - центра содержимого Sentinel - DoD ZT
`Target`Профиль доступа организации 6.1.2Организации DoD разрабатывают базовые профили доступа для миссии, задачи и задачи DAAS, используя данные из основных компонентов пользователя, данных, сети и устройств. DoD Enterprise работает с организациями для разработки профиля корпоративной безопасности с помощью существующих профилей безопасности организации для создания общего подхода к DAAS. Поэтапный подход можно использовать в организациях, чтобы ограничить риск критически важным доступом DAAS к задачам и задачам после создания профилей безопасности. Результаты. Для определения доступа к DAAS создается профиль организации с помощью возможностей пользователей, данных, сети и устройств. Стандартный стандартный корпоративный профиль для доступа к DAAS . Когда возможно, профиль организации использует корпоративные доступные службы в компонентах "Пользователь", "Данные", "Сеть" и "Устройства"	Условный доступ определяет стандартные наборы политик DoD с условным доступом. Включите уровень проверки подлинности, соответствие устройств, а также элементы управления рисками входа. - Условный доступ
`Target`6.1.3 Корпоративный профиль безопасности Pt1 Профиль безопасности предприятия изначально охватывает основные аспекты безопасности пользователей, данных, сети и устройств. Существующие профили безопасности организации интегрированы для доступа к DAAS без миссии или задачи. Результаты: - Корпоративные профили создаются для доступа к DAAS с помощью возможностей пользователей, данных, сети и устройств. Критически важные профильы организации не миссии и задачи интегрированы с корпоративными профилями с помощью стандартизованного подхода.	Завершение действия 6.1.2. API Microsoft Graph использует API Microsoft Graph для управления политиками условного доступа, параметрами доступа между клиентами и другими параметрами конфигурации Microsoft Entra. - Программный доступ - к параметрам доступа между клиентами api - Graph функций и служб
`Advanced`6.1.4 Корпоративный профиль безопасности Pt2 Минимальное количество профилей безопасности предприятия существует, предоставляющее доступ к самому широкому диапазону DAAS в рамках основных компонентов в организациях DoD. Профили организации миссий и задач интегрируются с профилями безопасности предприятия, и исключения управляются в методическом подходе на основе рисков. Результаты: - Профили предприятия были сокращены и упрощены для поддержки самых широких массивов доступа к DAAS . Если соответствующие профили критически важных задач были интегрированы и поддерживаемые профили организации считаются исключением.	Условный доступ использует аналитику условного доступа и книгу отчетов, чтобы узнать, как политики условного доступа влияют на вашу организацию. При возможности объедините политики. Упрощенный набор политик проще управлять, устранять неполадки и пилотировать новые функции условного доступа. Шаблоны условного доступа можно использовать для упрощения политик. - Аналитические сведения и шаблоны отчетов- используют инструмент "Что если" и режим "Только отчет" для устранения неполадок и оценки новых политик. - Устранение неполадок в режиме "Только для отчета условного доступа" - уменьшает зависимость вашей организации от надежных сетевых расположений. Используйте расположения стран, определенные координатами GPS или IP-адресом, чтобы упростить условия расположения в политиках условного доступа. - Условия расположения Настраиваемые атрибуты безопасности используют настраиваемые атрибуты безопасности и фильтры приложений в политиках условного доступа для области авторизации атрибутов безопасности, назначенных объектам приложений, таким как конфиденциальность. - Фильтр настраиваемых атрибутов - безопасности для приложений

6.2 Критическая автоматизация процессов

Автоматизация Microsoft Sentinel обычно выполняет задачи, выполняемые аналитиками безопасности уровня 1. Правила автоматизации используют Azure Logic Apps для разработки подробных автоматизированных рабочих процессов, повышающих безопасность. Например, обогащение инцидентов: связывание с внешними источниками данных для обнаружения вредоносных действий.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`Анализ автоматизации задач 6.2.1Организации DoD определяют и перечисляют все действия задач, которые можно выполнять как вручную, так и автоматически. Действия задач организованы по автоматическим и ручным категориям. Действия вручную анализируются для возможного выхода на пенсию. Результаты. Автоматизация задач определяется : задачи перечисляются : инвентаризация политик и разработка политик	Завершите действие 6.1.1. Azure Resource Managerиспользует шаблоны ARM и Azure Blueprints для автоматизации развертываний с помощью инфраструктуры как кода (IaC). - Шаблоны- ARM Azure Blueprints Политика Azure Organize Политика Azure назначения с помощью определений инициативы. - Политика Azure Initiative definition Microsoft Defender для облака Deploy Defender для облака нормативные стандарты и тесты. - - Назначьте стандарты безопасности Управление идентификацией Microsoft Entra Define access-package каталоги, чтобы установить стандарты для назначений и проверок пакетов доступа. Разработка рабочих процессов жизненного цикла удостоверений с помощью Azure Logic Apps для автоматизации объединения, перемещения, выхода и других автоматизированных задач. - Ресурсы - управления правами внешний доступ пользователей - просмотрите рабочие процессы жизненного цикла развертывания -
`Target`6.2.2 Корпоративная интеграция и подготовка рабочих процессов Pt1 Предприятие DoD устанавливает базовые интеграции в решении оркестрации безопасности, автоматизации и ответа (SOAR), необходимого для включения функциональных возможностей ZTA на целевом уровне. Организации DoD определяют точки интеграции и приоритеты ключевых для базовых показателей DoD для предприятий. Критически важные интеграции происходят в службах ключей собраний, включающие возможности восстановления и защиты. Результаты. Реализация полной корпоративной интеграции . Определение ключевых интеграции — определение требований к восстановлению и защите	Microsoft Sentinel Connect соответствующие источники данных в Sentinel для включения правил аналитики. Включение соединителей для Microsoft 365, Microsoft Defender XDR, идентификатора Microsoft Entra, Защита идентификации Microsoft Entra, Microsoft Defender для облака, Брандмауэр Azure, Azure Resource Manager, события безопасности с агентом Azure Monitor (AMA,) и другими источниками данных API, системного журнала или общего формата событий (CEF). - Соединители данных Sentinel в - UEBA в Sentinel XDR настраивают интеграции развернутых компонентов XDR в Microsoft Defender и подключают XDR в Microsoft Defender к Sentinel. - Подключение данных из Defender XDR к Sentinel см. в руководстве Майкрософт 2.7.2 на устройстве. Использование XDR Defender для поиска, исследования, оповещения и реагирования на угрозы автоматизированного исследования и реагирования на них -
`Advanced`6.2.3 Корпоративная интеграция и подготовка рабочих процессов Pt2 DoD Organizations интегрируют оставшиеся службы в соответствии с базовыми требованиями и расширенными требованиями к функциональным возможностям ZTA в соответствии с соответствующей средой. Подготовка служб интегрирована и автоматизирована в рабочие процессы, в которых необходимы целевые функции ZTA для собраний. Результаты: — службы, идентифицированные — подготовка служб реализуется	XDR в Microsoft Defender XDR защищает удостоверения, устройства, данные и приложения. Используйте XDR Defender для настройки интеграции компонентов XDR средства настройки - XDR Defender XDR исправлений - Microsoft Sentinel Connect новых источников данных в Sentinel и включения стандартных и настраиваемых правил аналитики. - SOAR в Sentinel

6.3 Машинное обучение

Microsoft Defender XDR и Microsoft Sentinel используют искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Интеграция XDR в Microsoft Defender, Microsoft Intune, Защита идентификации Microsoft Entra и условном доступе позволяет использовать сигналы риска для применения политик адаптивного доступа.

Сведения о стеке безопасности Майкрософт и машинном обучении, подготовке к безопасности Copilot в облаках для государственных организаций США.

Описание и результат действия DoD Рекомендации и рекомендации Майкрософт

Target6.3.1 Реализация тегов данных и средств
машинного обучения классификацииОрганизации DoD используют существующие стандарты и требования к классификации данных для приобретения решений Машинное обучение по мере необходимости. Машинное обучение решения реализованы в организациях, а существующие репозитории помеченных и классифицированных данных используются для создания базовых показателей. Решения машинного обучения применяют теги данных в защищенном подходе к постоянному улучшению анализа.

Результат.
Реализованные средства тегов и классификации данных интегрированы с инструментами машинного обучения Microsoft Purview Настройте автоматическую маркировку в Microsoft Purview
для службы (Microsoft 365) и стороне клиента (Microsoft Приложение Office) и в Схема данных Microsoft Purview.
- Метки конфиденциальности данных на карте

данных см. в руководстве Майкрософт 4.3.4 и 4.3.5 в данных.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`6.3.1 Реализация тегов данных и средств машинного обучения классификацииОрганизации DoD используют существующие стандарты и требования к классификации данных для приобретения решений Машинное обучение по мере необходимости. Машинное обучение решения реализованы в организациях, а существующие репозитории помеченных и классифицированных данных используются для создания базовых показателей. Решения машинного обучения применяют теги данных в защищенном подходе к постоянному улучшению анализа. Результат. Реализованные средства тегов и классификации данных интегрированы с инструментами машинного обучения	Microsoft Purview Настройте автоматическую маркировку в Microsoft Purview для службы (Microsoft 365) и стороне клиента (Microsoft Приложение Office) и в Схема данных Microsoft Purview. - Метки конфиденциальности данных на карте данных см. в руководстве Майкрософт 4.3.4 и 4.3.5 в данных.

6.4 Искусственный интеллект

Microsoft Defender XDR и Microsoft Sentinel используют искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Интеграция между Microsoft Defender XDR, Microsoft Intune, Защита идентификации Microsoft Entra и условным доступом помогает использовать сигналы риска для применения политик адаптивного доступа.

Сведения о стеке безопасности Майкрософт и ИИ, подготовке к обеспечению безопасности в облаках для государственных организаций США.

Описание и результат действия DoD Рекомендации и рекомендации Майкрософт

Advanced6.4.1 Реализация средств
автоматизации ИИОрганизации DoD определяют области улучшения на основе существующих методов машинного обучения для искусственного интеллекта. Решения искусственного интеллекта определяются, закупаются и реализуются с помощью определенных областей в качестве требований.

Результаты.
Разработка требований
к инструменту ИИ— приобретение и реализация средств ИИ Fusion в Microsoft Sentinel
Fusion — это расширенное правило аналитики обнаружения многоэтапных атак в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки или расширенные постоянные угрозы (APTs). Он определяет аномальное поведение и подозрительные действия в противном случае трудно поймать. Инциденты представляют собой низкоуровневые, высокоуровневые и высокоуровневые инциденты.
- Расширенные правила

аналитики обнаружения аномалий-
с многоэтапным обнаружением
- аномалий Защита идентификации Microsoft Entra
Identity защита использует алгоритмы машинного обучения для обнаружения и устранения рисков на основе удостоверений. Включите Защита идентификации Microsoft Entra для создания политик условного доступа для пользователя и риска входа.
- Защита идентификации Microsoft Entra Configure и включить политики

риска Azure DDoS Protection
Azure DDoS Protection использует интеллектуальный профилирование трафика для изучения трафика приложения и настройки профиля в качестве изменений трафика.
-
- Защита от атак DDoS Azure

Advanced6.4.2 ИИ, управляемый аналитикой, решает изменения
A&OОрганизации DoD, использующие существующие функции машинного обучения, реализуют и используют технологии искусственного интеллекта, такие как нейронные сети для управления автоматизацией и оркестрацией решений. Принятие решений переносится на ИИ как можно больше, освобождая сотрудников для других усилий. Использование исторических шаблонов, ИИ будет вносить ожидаемые изменения в среде, чтобы повысить риск.

Результат:
— ИИ может вносить изменения в автоматизированные действия рабочего процесса. Microsoft Sentinel
Enable analytic rules to detect advanced multistage attacks with Fusion and UEBA anomalies in Microsoft Sentinel. Разработка правил автоматизации и сборников схем для реагирования на безопасность.

Ознакомьтесь с рекомендациями Майкрософт в версии 6.2.3 и 6.4.1.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Advanced`6.4.1 Реализация средств автоматизации ИИОрганизации DoD определяют области улучшения на основе существующих методов машинного обучения для искусственного интеллекта. Решения искусственного интеллекта определяются, закупаются и реализуются с помощью определенных областей в качестве требований. Результаты. Разработка требований к инструменту ИИ— приобретение и реализация средств ИИ	Fusion в Microsoft Sentinel Fusion — это расширенное правило аналитики обнаружения многоэтапных атак в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки или расширенные постоянные угрозы (APTs). Он определяет аномальное поведение и подозрительные действия в противном случае трудно поймать. Инциденты представляют собой низкоуровневые, высокоуровневые и высокоуровневые инциденты. - Расширенные правила аналитики обнаружения аномалий- с многоэтапным обнаружением - аномалий Защита идентификации Microsoft Entra Identity защита использует алгоритмы машинного обучения для обнаружения и устранения рисков на основе удостоверений. Включите Защита идентификации Microsoft Entra для создания политик условного доступа для пользователя и риска входа. - Защита идентификации Microsoft Entra Configure и включить политики риска Azure DDoS Protection Azure DDoS Protection использует интеллектуальный профилирование трафика для изучения трафика приложения и настройки профиля в качестве изменений трафика. - - Защита от атак DDoS Azure
`Advanced`6.4.2 ИИ, управляемый аналитикой, решает изменения A&OОрганизации DoD, использующие существующие функции машинного обучения, реализуют и используют технологии искусственного интеллекта, такие как нейронные сети для управления автоматизацией и оркестрацией решений. Принятие решений переносится на ИИ как можно больше, освобождая сотрудников для других усилий. Использование исторических шаблонов, ИИ будет вносить ожидаемые изменения в среде, чтобы повысить риск. Результат: — ИИ может вносить изменения в автоматизированные действия рабочего процесса.	Microsoft Sentinel Enable analytic rules to detect advanced multistage attacks with Fusion and UEBA anomalies in Microsoft Sentinel. Разработка правил автоматизации и сборников схем для реагирования на безопасность. Ознакомьтесь с рекомендациями Майкрософт в версии 6.2.3 и 6.4.1.

6.5 Оркестрация безопасности, автоматизация и ответ (SOAR)

XDR в Microsoft Defender имеет возможности обнаружения и реагирования со стандартными и настраиваемыми обнаружениями. Расширьте возможности с помощью правил аналитики Microsoft Sentinel для активации действий оркестрации безопасности, автоматизации и ответа (SOAR) с помощью Azure Logic Apps.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`Анализ автоматизации ответов 6.5.1Организации DoD определяют и перечисляют все действия ответа, выполняемые вручную и автоматически. Действия реагирования организованы по автоматическим и ручным категориям. Действия вручную анализируются для возможного выхода на пенсию. Результат: — определяются автоматизированные действия реагирования. Действия ответа перечисляются.	XDR XDR В Microsoft Defender в Microsoft Defender есть автоматические и ручное реагирование на инциденты файлов и устройств. - Инциденты в XDR Defender
`Target`6.5.2 Реализация средств SOARDoD enterprise, работающая с организациями, разрабатывает стандартный набор требований для оркестрации безопасности, автоматизации и реагирования (SOAR) для включения функций ZTA целевого уровня. Организации DoD используют утвержденные требования для приобретения и реализации решения SOAR. Выполняется базовая интеграция инфраструктуры для будущих функций SOAR. Результаты. Разработка требований к инструменту SOAR— приобретение инструмента SOAR	XDR в Microsoft Defender использует стандартные возможности ответа Microsoft Defender XDR . См. руководство Майкрософт 6.5.1. Microsoft Sentinel Sentinel использует Azure Logic Apps для функций SOAR. Используйте Logic Apps для создания и запуска автоматизированных рабочих процессов без кода. Используйте Logic Apps для подключения к ресурсам за пределами Microsoft Sentinel и взаимодействия с ними. - Сборники схем с правилами - автоматизации автоматизируйте ответ на угрозы с помощью сборников схем
`Advanced`6.5.3 Реализация сборников схемОрганизации DoD просматривают все существующие сборники схем, чтобы определить для будущего автоматизации. Существующие вручную и автоматизированные процессы, отсутствующие сборники схем, разработали сборники схем. Сборники схем определяются приоритетом для интеграции автоматизации с действиями автоматизированных рабочих процессов, охватывающими критические процессы. Вручную процессы без сборников схем авторизованы с помощью метода на основе рисков. Результаты: - По возможности автоматизируйте сборники схем на основе возможностей автоматизированных рабочих процессов. Сборники схем вручную разрабатываются и реализуются	Microsoft Sentinel просмотрите текущие процессы безопасности и используйте рекомендации в Microsoft Cloud Adoption Framework (CAF). Чтобы расширить возможности SOAR, создайте и настройте сборники схем. Начните с шаблонов сборников схем Sentinel. - Сборники схем soC Process Framework - для операций - безопасности из шаблонов

Стандартизация API 6.6

API Microsoft Graph имеет стандартный интерфейс для взаимодействия с облачными службами Майкрософт. Azure Управление API может защитить API, размещенные в вашей организации.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`Анализ соответствия инструментов 6.6.1Средства автоматизации и оркестрации и решения анализируются для соответствия требованиям и возможностям на основе стандарта и требований программного интерфейса DoD Enterprise. Все больше инструментов или решений определяются для поддержки стандартов и требований программного интерфейса. Результаты. Состояние API определяется соответствием или несоответствием стандартам API. Используемые инструменты определяются	APIбезопасности Microsoft Graph, Microsoft Sentinel и Microsoft Entra задокументировали API. - API безопасности Work с API защиты удостоверений Microsoft Graph- Следуйте рекомендациям по API, разработанным вашей организацией. - - Проектирование веб-API интерфейса программирования - приложений RESTful
`Target`6.6.2 Стандартизированные вызовы API и схемы Pt1 Компания DoD работает с организациями для создания программного интерфейса (например, API) стандарта и требований, необходимых для включения целевых функций ZTA. DoD Organizations обновляет программные интерфейсы до нового стандарта и требует новых приобретенных и разработанных средств для соответствия новому стандарту. Средства, которые не могут соответствовать стандарту, разрешены исключениями с помощью метода на основе рисков. Результаты: — начальные вызовы и схемы реализованы . Несоответствующие средства заменяются	Завершение действия 6.6.1. Azure Управление API Использовать Azure Управление API в качестве шлюза API для взаимодействия с API и создания согласованной схемы доступа для различных API. - СредстваAzure Управление API служба автоматизации Azure orchestrate Zero Trust Actions с помощью средств служба автоматизации Azure. - Интеграция и автоматизация в Azure
`Target`6.6.3 Стандартизированные вызовы API и схемы Pt2 Организации DoD завершают миграцию в новый программный стандарт. Средства, помеченные для вывода из эксплуатации в предыдущем действии, удаляются, а функции переносятся на модернизированные средства. Утвержденные схемы принимаются на основе стандарта и требований DoD Enterprise. Результат. Все вызовы и схемы реализуются	Microsoft Sentinel использует Sentinel в качестве обработчика оркестрации для активации и выполнения действий в средствах автоматизации, приведенных в этом документе. - Автоматизация реагирования на угрозы с помощью сборников схем

6.7 Центр управления безопасностью (SOC) и реагирование на инциденты (IR)

Microsoft Sentinel — это решение по управлению делами для расследования инцидентов безопасности и управления ими. Чтобы автоматизировать действия по реагированию на угрозы, подключите решения аналитики угроз, разверните решения Sentinel, включите аналитику поведения сущностей пользователей (UEBAs) и создайте сборники схем с помощью Azure Logic Apps.

Узнайте, как повысить зрелость SOC, см . статью "Расследование инцидентов Sentinel" и управление делами.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`6.7.1 Обогащение рабочего процесса Pt1 DoD enterprise работает с организациями для создания стандарта реагирования на инциденты кибербезопасности с использованием отраслевых рекомендаций, таких как NIST. Организации DoD используют корпоративный стандарт для определения рабочих процессов реагирования на инциденты. Внешние источники обогащения определяются для будущей интеграции. Результаты. События угроз определены . Рабочие процессы для событий угроз разрабатываются	Соединители данных Microsoft Sentinel расширяют рабочие процессы Sentinel путем подключения Аналитика угроз Microsoft Defender к Sentinel. - Соединитель данных для решений Microsoft Sentinel для Аналитики угроз Defender используйте решения Sentinel для просмотра отраслевых рекомендаций. - Решение CMMS 2.0 для решения - NIST 800-53 doD - ZT Sentinel для - книг и решений Sentinel
`Target`6.7.2 Обогащение рабочих процессов Pt2 Организации DoD определяют и устанавливают расширенные рабочие процессы для дополнительных типов реагирования на инциденты. Исходные источники данных обогащения используются для существующих рабочих процессов. Дополнительные источники обогащения определяются для будущих интеграции. Результаты. Рабочие процессы для событий расширенной угрозы разрабатываются . События расширенной угрозы определяются	Microsoft Sentinel использует расширенное многоэтапное обнаружение атак в Fusion и правила аналитики аномалий UEBA в Microsoft Sentinel для активации сборников схем автоматического реагирования на безопасность. См. рекомендации Майкрософт 6.2.3 и 6.4.1 в этом разделе. Чтобы дополнить рабочие процессы Sentinel, подключите Аналитика угроз Microsoft Defender и другие решения платформ аналитики угроз к Microsoft Sentinel. - Подключение платформ аналитики угроз к веб-каналам аналитики угроз Sentinel Connect Sentinel - и STIX/TAXII threat intelligence см. в руководстве Майкрософт 6.7.1.
`Advanced`6.7.3 Обогащение рабочего процесса Pt3 Организации DoD используют окончательные источники данных обогащения для базовых и расширенных рабочих процессов реагирования на угрозы. Результаты. Данные обогащения определены : данные обогащения интегрированы в рабочие процессы.	Microsoft Sentinel Add сущности для улучшения аналитики угроз в Sentinel. - Задачи по управлению инцидентами в сущностях Sentinel - Обогащение данных с помощью рабочих процессов анализа геолокации и управления инцидентами в Sentinel. - Задачи для управления инцидентами в Sentinel - Обогащение сущностей с помощью данных геолокации
`Advanced`Автоматизированный рабочий процесс 6.7.4Организации DoD сосредоточены на автоматизации функций оркестрации безопасности, автоматизации и реагирования (SOAR) и сборников схем. Вручную процессы в операциях безопасности определяются и полностью автоматизированы. Остальные процессы вручную удаляются, если это возможно или помечается для исключения с помощью подхода на основе рисков. Результаты. - Процессы полностью автоматизированы . Процессы вручную определены . Оставшиеся процессы помечены как исключения и документированы	Сборники схем Microsoft Sentinel основаны на logic Apps, облачной службе, которая планирует, автоматизирует и управляет задачами и рабочими процессами в корпоративных системах. Создайте сборники схем ответов с помощью шаблонов, разверните решения из концентратора содержимого Sentinel. Создание пользовательских правил аналитики и действий реагирования с помощью Azure Logic Apps. - Сборники схем Sentinel из шаблонов - Автоматизации реагирования на угрозы с помощью сборников - схем Центра содержимого Sentinel в Azure - Logic Apps

Следующие шаги

Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD: