Стратегия DoD Zero Trust для автоматизации и оркестрации.

Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

6 Автоматизация и оркестрация

В этом разделе содержатся руководство и рекомендации Microsoft по активностям Zero Trust в опоре на автоматизацию и оркестрацию. Дополнительные сведения см. в статье о видимости, автоматизации и оркестрации с помощью Zero Trust.

6.1 Точка принятия решений политики (PDP) и оркестрация политик

Microsoft Sentinel включает в себя оркестрацию безопасности, автоматизацию и реагирование (SOAR) с использованием облачных ресурсов. Автоматизация обнаружения и реагирования на кибератаки. Sentinel интегрируется с Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure и платформ, отличных от Майкрософт. Эти расширяемые интеграции позволяют Sentinel координировать действия по обнаружению и реагированию на кибербезопасность на разных платформах, повышая эффективность и эффективность операций безопасности.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 6.1.1 Инвентаризация политик и разработка
Компания DoD работает с организациями для каталогизации и инвентаризации существующих политик и стандартов кибербезопасности. Политики обновляются и создаются в межплатформенных действиях по мере необходимости для удовлетворения критически важного уровня функциональности ZT Target.

Результаты:
- Политики были собраны по ссылке на применимое соответствие и риск (например, RMF, NIST)
- Политики были проверены на наличие отсутствующих столпов и возможностей в соответствии с ZTRA
- Отсутствующие области политик обновлены для обеспечения соответствия возможностям ZTRA
Microsoft Purview Compliance Manager
Используйте Microsoft Purview Compliance Manager для оценки и управления соответствием требованиям в многоблочной среде.
- Compliance Manager
- Azure, Dynamics 365, Microsoft Purview
- Поддержка многоблочных сред

Microsoft Defender for Cloud
Используйте функции нормативного соответствия Defender for Cloud для просмотра и улучшения соответствия инициативам Azure Policy в многоблочной среде.
- Улучшение соответствия нормативным требованиям
- Соответствие требованиям FedRAMP High
- Соответствие требованиям NIST SP 800-53 ред. 5
- Соответствие требованиям CMMC

Microsoft Sentinel
Концентратор содержимого Sentinel предлагает решения для визуализации и измерения прогресса с учетом требований безопасности для конкретных доменов.
- Каталог содержимого концентратора Sentinel
- Рабочая книга DoD ZT Sentinel
- Решение NIST SP 800-53

Target6.1.2 Профиль доступа организации
Организации DoD разрабатывают базовые профили доступа для доступа к миссионным/задачным и не миссионным/задачным системам DAAS, используя данные из основных компонентов: пользователя, данных, сети и устройств. DoD Enterprise работает с организациями для разработки профиля корпоративной безопасности с помощью существующих профилей безопасности организации для создания общего подхода к DAAS. Поэтапный подход можно использовать в организациях, чтобы ограничить риск при критически важном доступе к DAAS для миссии/задачи после создания профиля(-ей) безопасности.

Результаты:
Создаются профили организации для определения доступа к DAAS, используя возможности пользователей, данных, сети и устройств.
Разработан начальный стандарт корпоративного доступа к DAAS.
Когда возможно, профили организации используют доступные корпоративные службы в столпах "Пользователь", "Данные", "Сеть" и "Устройства."

Условный доступ
Определите стандартные наборы политик DoD с условным доступом. Включите уровень проверки подлинности, соответствие устройств, а также элементы управления пользователями и рисками входа.
- Условный доступ
Target 6.1.3 Корпоративный профиль безопасности Pt1
Профиль безопасности предприятия изначально охватывает основные аспекты безопасности пользователей, данных, сети и устройств. Существующие организационные профили безопасности интегрируются для доступа к DAAS, не являющиеся критически важными для выполнения миссий/задач.

Результаты:
- Корпоративные профили создаются для доступа к DAAS, используя возможности из областей пользователя, данных, сети и устройств
- Профили организации, не являющиеся критически важными для выполнения миссий/задач, интегрируются с корпоративными профилями с использованием стандартизованного подхода.
Выполните задание 6.1.2.

Microsoft Graph API
Используйте Microsoft Graph API для управления политиками условного доступа, параметрами доступа между клиентами и другими параметрами конфигурации Microsoft Entra. Программный доступAPI настроек доступа между клиентамиФункции и службы Graph API
Advanced 6.1.4 Корпоративный профиль безопасности Pt2
Минимальное количество корпоративных профилей безопасности существует, предоставляющих доступ к самому широкому диапазону DAAS в рамках столпов в организациях DoD. Профили организации миссий и задач интегрируются с профилями безопасности предприятия, и исключения управляются в методическом подходе на основе рисков.

Результаты:
- Профили предприятия были упрощены и оптимизированы для обеспечения максимального доступа к DAAS
. При необходимости критически важные профили задач были интегрированы, а поддерживаемые организационные профили являются исключением.
Условный доступ
Используйте рабочую книгу "Аналитика и отчеты по условному доступу", чтобы узнать, как политики условного доступа влияют на вашу организацию. При возможности объедините политики. Упрощенный набор политик проще управлять, устранять неполадки и пилотировать новые функции условного доступа. Шаблоны условного доступа можно использовать для упрощения политик.
- Аналитика и отчеты
- Шаблоны

Используйте средство "Что если" и режим только для отчетов для устранения неполадок и оценки новых политик.
- Устранение неполадок условного доступа
- Режим

Уменьшите зависимость вашей организации от надежных сетевых расположений. Используйте местоположения страны или региона, определенные координатами GPS или IP-адресом, чтобы упростить условия расположения в политиках условного доступа.
- Условия расположения

Настраиваемые атрибуты безопасности
Используйте настраиваемые атрибуты безопасности и фильтры приложений в политиках условного доступа для определения области действия авторизации атрибутов безопасности для объектов приложений, таких как чувствительность.
- Настраиваемые атрибуты безопасности
- Фильтрация приложений

6.2 Критическая автоматизация процессов

Microsoft Sentinel автоматизация выполняет задачи, обычно выполняемые аналитиками безопасности уровня 1. Правила автоматизации используют Azure Logic Apps для разработки подробных автоматизированных рабочих процессов, которые повышают безопасность. Например, обогащение инцидентов: подключение к внешним источникам данных для обнаружения вредоносной активности.

Описание и результат действия DoD Рекомендации и советы Майкрософт
TargetАнализ
Организации DoD определяют и перечисляют все действия задач, которые можно выполнять как вручную, так и автоматически. Действия задач организованы по автоматическим и ручным категориям. Ручные действия анализируются для возможного прекращения.

Результаты:
- Автоматизируемые задачи определены
- Задачи перечислены
- Инвентаризация и разработка политик
Выполнить задание 6.1.1.

Azure Resource Manager
Используйте шаблоны ARM и Azure Blueprints для автоматизации развертываний с использованием инфраструктуры как кода (IaC).
- ARM шаблоны
- Azure Blueprints

Azure Policy
Организуйте назначения Azure Policy с использованием определений инициатив.
- Azure Policy
-

Microsoft Defender for Cloud
Разверните нормативные стандарты и эталоны Defender for Cloud.
- Назначение стандартов безопасности

Microsoft Entra ID Governance
Определите каталоги пакетов доступа для установления стандартов назначения и проверки пакетов доступа. Разработка рабочих процессов жизненного цикла идентичности с помощью Azure Logic Apps для автоматизации включения, перемещения, увольнения и других автоматизируемых задач.
- Ресурсы управления правами
- Доступ внешних пользователей
- Развертывание обзора доступа
- Создание рабочих процессов жизненного цикла

Target 6.2.2 Корпоративная интеграция и подготовка рабочих процессов Pt1
Предприятие DoD устанавливает базовые интеграции в решении оркестрации безопасности, автоматизации и ответа (SOAR), необходимого для включения функциональных возможностей ZTA на целевом уровне. Организации DoD определяют точки интеграции и расставляют приоритеты для ключевых из них на основе базовой линии предприятия DoD. Критически важные интеграции происходят, обеспечивая ключевые сервисы, которые включают возможности восстановления и защиты.

Результаты.
Реализация полной корпоративной интеграции
. Определение ключевых интеграции
— определение требований к восстановлению и защите
Microsoft Sentinel
Подключите соответствующие источники данных к Sentinel для активации аналитических правил. Включите соединители для Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, события безопасности с агентом Azure Monitor (AMA) и другими источниками данных API, Syslog или Common Event Format (CEF).
- Соединители данных Sentinel
- UEBA в Sentinel

Microsoft Defender XDR
Настройте интеграции развернутых компонентов Microsoft Defender XDR и подключите Microsoft Defender XDR к Sentinel.
- Подключите данные из Defender XDR к Sentinel

См. Руководство Microsoft 2.7.2 в Устройстве.

Используйте Defender XDR для охоты, анализа, оповещения и реагирования на угрозы
- Автоматическое исследование и реагирование

Advanced 6.2.3 Корпоративная интеграция и подготовка рабочих процессов Pt2
DoD Organizations интегрируют оставшиеся службы в соответствии с базовыми требованиями и расширенными требованиями к функциональным возможностям ZTA в соответствии с соответствующей средой. Подготовка служб интегрирована и автоматизирована в рабочие процессы, где это необходимо для достижения целевых функций ZTA.

Результаты:
— Идентифицированные услуги
— Реализовано предоставление услуг

Microsoft Defender XDR
Microsoft Defender XDR защищает идентификаторы, устройства, данные и приложения. Используйте XDR Defender для настройки интеграции компонентов - настройка XDR инструментов - исправления Defender XDR. Microsoft Sentinel. Подключите новые источники данных к Sentinel и включите стандартные и пользовательские правила аналитики. SOAR в Sentinel.

6.3 Машинное обучение

Microsoft Defender XDR и Microsoft Sentinel использовать искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Используйте интеграции Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection и условного доступа, чтобы использовать сигналы риска для применения политик адаптивного доступа.

Узнайте о стеке безопасности Майкрософт и машинном обучении, Подготовка к Security Copilot в облаке правительства США.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 6.3.1 Реализация инструментов машинного обучения для тегирования и классификации данных
Организации МО США используют существующие стандарты и требования к классификации данных для приобретения решений машинного обучения по мере необходимости. Machine Learning решения реализованы в организациях, а существующие репозитории помеченных и классифицированных данных используются для создания базовых показателей. Решения машинного обучения применяют теги данных в защищенном подходе к постоянному улучшению анализа.

Результат.
Реализованные средства тегов и классификации данных интегрированы с инструментами машинного обучения

Microsoft Purview
Настройка автоматической маркировки в Microsoft Purview для серверной части (Microsoft 365) и клиентской части (приложения Microsoft Office) и в Microsoft Purview Data Map.
- Метки конфиденциальности данных в Data Map

Смотрите руководство Microsoft 4.3.4 и 4.3.5 в разделе Data.

6.4 Искусственный интеллект

Microsoft Defender XDR и Microsoft Sentinel использовать искусственный интеллект (ИИ), машинное обучение (ML) и аналитику угроз для обнаружения и реагирования на сложные угрозы. Интеграция между Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection и условным доступом помогает использовать сигналы риска для применения политик адаптивного доступа.

Узнайте о стеке безопасности Майкрософт и ИИ, Подготовка к использованию Security Copilot в облаках для правительственных учреждений США.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Advanced 6.4.1 Реализация средств
автоматизации ИИОрганизации DoD определяют области улучшения на основе существующих методов машинного обучения для искусственного интеллекта. Решения искусственного интеллекта идентифицируются, закупаются и реализуются в определенных областях в качестве требований.

Результаты.
Разработка требований
к инструменту ИИ— приобретение и реализация средств ИИ
Fusion в Microsoft Sentinel
Fusion — это расширенное правило аналитики обнаружения многоэтапных атак в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки или расширенные постоянные угрозы (APTs). Он выявляет аномальное поведение и подозрительную активность, которые в противном случае трудно обнаружить. Инциденты характеризуются низкой частотой, высокой достоверностью и высокой серьезностью.
- Современное обнаружение многоэтапных атак
- Настраиваемые аномалии
- Правила аналитики обнаружения аномалий

Microsoft Entra ID Protection
Защита удостоверений использует алгоритмы машинного обучения для обнаружения и устранения рисков на основе удостоверений. Включите Microsoft Entra ID Protection для создания политик условного доступа для пользователей и входа в систему.
- Microsoft Entra ID Protection
- Настройте и включите политики риска

Azure Защита от атак DDoS
Azure DDoS Protection использует интеллектуальное профилирование трафика для изучения трафика приложения и настройки профиля по мере изменения трафика.
- Azure Защита от атак DDoS

6.4.2 ИИ, управляемый аналитикой, определяет изменения A&OОрганизации Министерства обороны США, использующие существующие функции машинного обучения, реализуют и применяют технологии искусственного интеллекта, такие как нейронные сети, для принятия решений в области автоматизации и оркестрации. Принятие решений переносится на ИИ как можно больше, освобождая сотрудников для других усилий. Используя исторические шаблоны, ИИ будет вносить ожидаемые изменения в окружающей среде, чтобы уменьшить риск.

Результат:
— ИИ может вносить изменения в автоматизированные действия рабочего процесса.

Microsoft Sentinel
Включите аналитические правила для обнаружения сложных многоступенчатых атак с использованием Fusion и аномалий UEBA в Microsoft Sentinel. Разработка правил автоматизации и сборников схем для реагирования на безопасность.

Ознакомьтесь с рекомендациями Майкрософт в версии 6.2.3 и 6.4.1.

6.5 Оркестрация безопасности, автоматизация и ответ (SOAR)

Microsoft Defender XDR имеет возможности обнаружения и реагирования с помощью стандартных и настраиваемых обнаружений. Расширьте возможности, используя правила аналитики Microsoft Sentinel для запуска действий SOAR (оркестрации безопасности, автоматизации и реагирования) с помощью Azure Logic Apps.

Описание и результат действия DoD Рекомендации и советы Майкрософт
TargetАнализ
Организации DoD определяют и перечисляют все действия ответа, выполняемые вручную и автоматически. Действия реагирования организованы по автоматическим и ручным категориям. Ручные действия анализируются для возможного прекращения.

Результат:
— определяются
автоматизированные действия реагирования. Действия ответа перечисляются.

Microsoft Defender XDR
Microsoft Defender XDR имеет автоматические и вручные действия реагирования на инциденты с файлами и устройствами.
- Инциденты в Defender XDR
Target 6.5.2 Реализация инструментов SOAR
Предприятие Министерства обороны (DoD), работающее в сотрудничестве с организациями, разрабатывает стандартный набор требований для инструментов оркестрации безопасности, автоматизации и реагирования (SOAR), чтобы обеспечить реализацию функций ZTA на целевом уровне. Организации DoD используют утвержденные требования для приобретения и реализации решения SOAR. Выполняется базовая интеграция инфраструктуры для будущих функций SOAR.

Результаты.
Разработка требований к инструменту SOAR— приобретение инструмента
SOAR
Microsoft Defender XDR
Используйте стандартные возможности ответа Microsoft Defender XDR.

См. руководство Microsoft 6.5.1.

Microsoft Sentinel
Sentinel использует Azure Logic Apps для функций SOAR. Используйте Logic Apps для создания и запуска автоматизированных рабочих процессов без кода. Используйте Logic Apps для подключения к ресурсам вне Microsoft Sentinel и взаимодействия с ними.
- Сборники схем с правилами
- автоматизацииАвтоматизация реагирования на угрозы с помощью сборников схем

Advanced 6.5.3 Реализация плейбуков
Организации DoD просматривают все существующие плейбуки, чтобы определить, какие из них следует использовать для будущей автоматизации. Существующие ручные и автоматизированные процессы, для которых отсутствовали плейбуки, получили разработанные плейбуки. Руководства действий приоритизируются для интеграции автоматизации с деятельностью автоматизированных рабочих процессов, охватывающих критически важные процессы. Ручные процессы без плейбуков разрешены, используя методический подход на основе оценки рисков.

Результаты:- По возможности автоматизируйте плейбуки на базе возможностей автоматизации рабочих процессов
- Ручные плейбуки разрабатываются и внедряются

Microsoft Sentinel
Посмотрите текущие процессы безопасности и используйте лучшие практики в Microsoft Cloud Adoption Framework (CAF). Чтобы расширить возможности SOAR, создайте и настройте плейбуки. Начните с шаблонов плейбуков Sentinel.
- Операции безопасности
- Каркас процессов SOC
- Плейбуки из шаблонов

Стандартизация API 6.6

Microsoft Graph API имеет стандартный интерфейс для взаимодействия с облачными службами Майкрософт. Azure API Management может защитить API, размещенные в вашей организации.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 6.6.1 Анализ соответствия инструментов
Средства автоматизации и оркестрации, а также решения анализируются на соответствие требованиям и возможностям на основе стандарта и требований программного интерфейса DoD Enterprise. Все больше инструментов или решений определяются для поддержки стандартов и требований программного интерфейса.

Результаты.
Состояние API определяется соответствием или несоответствием стандартам
API. Используемые инструменты определяются
Microsoft Graph security API
Microsoft Defender, Microsoft Sentinel и Microsoft Entra имеют документированные API.
- Интерфейс безопасности API
- Работа с Microsoft Graph
- API защиты идентификации

Следуйте рекомендациям для API, разработанных вашей организацией.
- Интерфейс программирования приложений
- Дизайн RESTful веб-API

Target 6.6.2 Стандартизированные вызовы API и схемы Pt1
Компания DoD работает с организациями для создания программного интерфейса (например, API) стандарта и требований, необходимых для включения целевых функций ZTA. Организации Министерства обороны США обновляют программные интерфейсы до нового стандарта и требуют, чтобы новые приобретенные или разработанные инструменты соответствовали новому стандарту. Инструменты, не соответствующие стандарту, могут быть разрешены в виде исключения с использованием систематического подхода на основе оценки рисков.

Результаты: -
и схемы реализованы
. Несоответствующие инструменты заменяются
действие Выполните 6.6.1.

Azure API Management
Используйте Azure API Management в качестве шлюза API для взаимодействия с API и создания согласованной схемы доступа для различных API.
- Azure API Management

Инструменты автоматизации Azure
Оркеструйте действия Zero Trust с помощью инструментов автоматизации Azure.
- Интеграция и автоматизация в Azure

Target 6.6.3 Стандартизированные вызовы API и схемы Pt2
Организации DoD завершают миграцию в новый программный стандарт. Средства, помеченные для вывода из эксплуатации в предыдущем действии, удаляются, а функции переносятся на модернизированные средства. Утвержденные схемы принимаются на основе стандарта и требований DoD Enterprise.

Результат.
Все вызовы и схемы реализуются

Microsoft Sentinel
Используйте Sentinel в качестве движка оркестровки для активации и выполнения действий в средствах автоматизации, приведенных в этом документе.
- Автоматизируйте ответ на угрозы с помощью сценариев

6.7 Центр управления безопасностью (SOC) и реагирование на инциденты (IR)

Microsoft Sentinel — это решение для управления делами для расследования инцидентов безопасности и управления ими. Чтобы автоматизировать действия по реагированию на угрозы, подключите решения аналитики угроз, разверните решения Sentinel, включите аналитику поведения сущностей пользователей (UEBAs) и создайте сборники схем с Azure Logic Apps.

Узнайте, как повысить зрелость SOC, см. статью "Расследование инцидентов Sentinel" и управление делами.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 6.7.1 Обогащение рабочего процесса Pt1
DoD enterprise работает с организациями для создания стандарта реагирования на инциденты кибербезопасности с использованием отраслевых рекомендаций, таких как NIST. Организации DoD используют корпоративный стандарт для определения рабочих процессов реагирования на инциденты. Внешние источники обогащения определяются для будущей интеграции.

Результаты.
События угроз определены
. Рабочие процессы для событий угроз разрабатываются
соединители данных Microsoft Sentinel
Обогатите рабочие процессы Sentinel, подключая Аналитику угроз Microsoft Defender к Sentinel.
- Коннектор данных для Аналитики угроз Defender

Решения Microsoft Sentinel
Используйте решения Sentinel для изучения лучших отраслевых практик.
- Решение по NIST 800-53
- Решение CMMS 2.0
- Рабочие тетради DoD ZT Sentinel
- Контент и решения Sentinel

Target 6.7.2 Обогащение рабочих процессов Pt2
Организации DoD определяют и устанавливают расширенные рабочие процессы для дополнительных типов реагирования на инциденты. Исходные источники данных обогащения используются для существующих рабочих процессов. Дополнительные источники обогащения определяются для будущих интеграции.

Результаты.
Рабочие процессы для событий расширенной угрозы разрабатываются
. События расширенной угрозы определяются
Microsoft Sentinel
Используйте расширенное обнаружение многоэтапных атак в Fusion и правила аналитики обнаружения аномалий UEBA в Microsoft Sentinel для активации автоматизированных сценариев реагирования на инциденты безопасности.

Смотрите руководство Microsoft 6.2.3 и 6.4.1 в этом разделе.

Для обогащения рабочих процессов Sentinel подключите Microsoft Defender Threat Intelligence и другие платформы анализа угроз к Microsoft Sentinel.
- Подключение платформ анализа угроз к Sentinel
- Подключение Sentinel к каналам аналитики угроз STIX/TAXII

Смотрите руководство Майкрософт 6.7.1.

Advanced 6.7.3 Обогащение рабочего процесса Pt3
Организации DoD используют окончательные источники данных обогащения для базовых и расширенных рабочих процессов реагирования на угрозы.

Результаты.
Данные обогащения определены
: данные обогащения интегрированы в рабочие процессы.

Microsoft SentinelДобавьте сущности для улучшения аналитики угроз в Sentinel.Задачи для управления инцидентами в SentinelОбогатите сущности геолокационными даннымиОбогатите рабочие процессы расследования и управляйте инцидентами в Sentinel.Задачи для управления инцидентами в SentinelОбогатите сущности геолокационными данными
Advanced Автоматизированный рабочий процесс
6.7.4Организации DoD сосредоточены на автоматизации функций оркестрации безопасности, автоматизации и реагирования (SOAR) и сборников схем. Ручные процессы в операциях безопасности идентифицируются и автоматизируются по мере возможности. Остальные процессы вручную удаляются, если это возможно или помечается для исключения с помощью подхода на основе рисков.

Результаты.
- Процессы полностью автоматизированы
. Процессы вручную определены
. Оставшиеся процессы помечены как исключения и документированы

Плейбуки Microsoft Sentinel
Плейбуки Sentinel основаны на Logic Apps, облачной службе, которая планирует, автоматизирует и оркестрирует задачи и рабочие процессы в корпоративных системах. Создайте сборники схем ответов с помощью шаблонов, разверните решения из концентратора содержимого Sentinel. Создание пользовательских правил аналитики и действий ответа с помощью Azure Logic Apps.
- Плейбуки Sentinel из шаблонов
- Автоматизируйте ответ на угрозы с помощью плейбуков
- Каталог контентного хаба Sentinel
- Azure Logic Apps

Следующие шаги

Настройте облачные службы Майкрософт для стратегии doD Zero Trust: