Стратегия Министерства обороны США Zero Trust для столпа видимости и аналитики

Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

7 Видимость и аналитика

В этом разделе содержатся указания и рекомендации Майкрософт по действиям Министерства обороны США (DoD) в области видимости и аналитики в рамках концепции Zero Trust. Дополнительные сведения см. в статье Зримость, автоматизация и оркестрация с помощью Zero Trust.

7.1 Журнал всего трафика

Microsoft Sentinel — это масштабируемая система управления событиями информационной безопасности в облаке (SIEM). Кроме того, Sentinel — это решение для оркестрации безопасности, автоматизации и реагирования (SOAR) для обработки больших объемов данных из различных источников. Соединители данных Sentinel собирают данные от пользователей, устройств, приложений и инфраструктуры, на локальных и мультиоблачных платформах.

Описание и результат действия DoD Рекомендации и советы Майкрософт
TargetРекомендации по
Организации DoD проводят анализ для определения текущих и будущих потребностей масштабирования. Масштабирование анализируется в соответствии с общепринятыми методами лучших практик в отрасли и основами ZT Pillars. Команда работает с существующими группами планирования непрерывности бизнес-процессов (BCP) и группами планирования аварийного восстановления (НДР), чтобы определить потребности распределенной среды в чрезвычайных ситуациях и по мере роста организаций.

Результаты.
- Достаточная инфраструктура на месте
— распределенная среда установлена
— достаточная пропускная способность для сетевого трафика
Microsoft Sentinel
Sentinel использует рабочую область Log Analytics для хранения данных журнала безопасности для анализа. Log Analytics — это платформа как услуга (PaaS) в Azure. Нет инфраструктуры для управления или сборки.
- Архитектура рабочего пространства
- Лучшие практики архитектуры рабочего пространства
- Сократить расходы на Sentinel

Агент Azure Monitor
Передача журналов с использованием агента Azure Monitor для виртуальных машин (VM), а также сетевых устройств на месте и в других облаках.
- События безопасности Windows с AMA
- Передача журналов в формате CEF и Syslog
- Сбор данных
- Тест производительности агента Azure Monitor
- Масштабируемое поступление

Сетевая инфраструктура
Удостоверьтесь, что сетевая инфраструктура соответствует требованиям к пропускной способности для мониторинга Microsoft 365 и облачной безопасности для локальных серверов.
- Сетевое подключение Microsoft 365
- Планирование сети и настройка производительности
- Azure ExpressRoute
- Сетевые требования агента подключенной машины

Управление непрерывностью бизнеса в Azure
Azure имеет зрелые программы управления непрерывностью бизнес-процессов для нескольких отраслей. Просмотрите управление непрерывностью бизнес-процессов и разделение обязанностей.
- Управление
- Руководство по надежности

Target 7.1.2 Синтаксический анализ журналов
Организации DoD определяют и устанавливают приоритеты для источников журналов и потоков (например, брандмауэры, системы обнаружения и реагирования на угрозы конечных точек, Active Directory, коммутаторы, маршрутизаторы и т. д.) и разрабатывают план для сбора журналов с высоким приоритетом в первую очередь, а затем с низким приоритетом. Открытый формат журнала отраслевых стандартов согласован на уровне DoD Enterprise с организациями и реализован в будущих требованиях к закупкам. Существующие решения и технологии переносятся в формат постоянно.

Результаты:
- Стандартные форматы журналов
— правила, разработанные для каждого формата журнала
соединители данных Microsoft Sentinel
Подключите соответствующие источники данных к Sentinel. Включение и настройка правил аналитики. Соединители данных используют стандартные форматы журналов.
- Отслеживание архитектур безопасности Zero Trust
- Создание настраиваемых соединителей Sentinel
- API для интеграции журналов в Azure Monitor

Смотрите руководство Microsoft 6.2.2 в разделе Автоматизация и оркестрация.

Стандартизируйте журналы с помощью Common Event Format (CEF), отраслевого стандарта, используемого поставщиками безопасности для обеспечения взаимодействия событий между платформами. Используйте Syslog для систем, которые не поддерживают журналы в формате CEF.
- CEF с соединителем Azure Monitor для Sentinel
- Получайте Syslog и CEF-сообщения в Sentinel с помощью Azure Monitor

Используйте расширенную модель безопасности (ASIM) (общедоступная предварительная версия) для сбора и просмотра данных из нескольких источников с нормализованной схемой.
- ASIM для нормализации данных

Target Анализ журналов 7.1.3
Действия пользователей и устройств определяются и расставляются по приоритетам на основе риска. Аналитика, основанная на различных источниках данных, таких как логи, создается для действий, которые считаются наиболее простыми и рискованными. Тенденции и шаблоны разрабатываются на основе аналитики, собираемой для просмотра действий в течение более длительных периодов времени.

Результаты:
- Разработка аналитики для каждого действия
— определение действий для анализа
Выполните задание 7.1.2.

Microsoft Defender XDR
Microsoft Defender XDR — это единый набор защиты для корпоративной сети, который координирует обнаружение, предотвращение, исследование и реагирование в собственном коде до и после нарушения безопасности для конечных точек, удостоверений, электронной почты и приложений. Используйте XDR Defender для защиты от сложных атак.
- Расследуйте оповещения
- Zero Trust с Defender XDR
- Defender XDR для правительства США

Microsoft Sentinel
Разработайте настраиваемые аналитические запросы и визуализируйте собранные данные с помощью рабочих книг.
- Настраиваемые правила аналитики для обнаружения угроз
- Визуализация собранных данных

7.2. Сведения о безопасности и управление событиями

Microsoft Defender XDR и Microsoft Sentinel совместно работают над обнаружением, оповещением и реагированием на угрозы безопасности. Microsoft Defender XDR обнаруживает угрозы в Microsoft 365, учетных данных, устройствах, приложениях и инфраструктуре. Защитник XR создает оповещения на портале Microsoft Defender. Подключение оповещений и необработанных данных из Microsoft Defender XDR в Sentinel и использование правил расширенной аналитики для сопоставления событий и создания инцидентов для оповещений с высокой точностью.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 7.2.1 Предупреждение об угрозах Pt1
Организации DoD используют существующее решение для управления сведениями и событиями безопасности (SIEM) для разработки основных правил и оповещений для распространенных событий угроз (вредоносных программ, фишинга и т. д.). Оповещения и (или) срабатывания правил передаются в параллельное действие "Идентификатор ресурса и корреляция оповещений" для автоматизации ответов.

Результат:
- Правила, разработанные для корреляции угроз
Microsoft Defender XDR
Microsoft Defender XDR содержит оповещения об угрозах, обнаруженных в конечных точках с несколькими платформами, удостоверениях, электронной почте, средствах совместной работы, приложениях и облачной инфраструктуре. Платформа автоматически объединяет связанные оповещения в инциденты для упрощения проверки безопасности.
- Исследование оповещений

правила аналитики Microsoft Sentinel
Включите стандартные правила аналитики для подключенных источников данных и создайте настраиваемые правила аналитики для обнаружения угроз в Sentinel.

См. Руководство Microsoft в разделе 7.1.3.

Target 7.2.2. Предупреждение об угрозах Pt2
Организации DoD расширяют оповещение об угрозах в решении "Информация о безопасности и управление событиями" (SIEM), чтобы включить веб-каналы данных службы "Аналитика кибер угроз" (CTI). Правила отклонения и аномалий разрабатываются в SIEM для обнаружения расширенных угроз.

Результат:
- Разработка аналитики для обнаружения отклонений
Microsoft Sentinel разведка угроз
Подключите каналы киберугроз (CTI) к Sentinel.
- Разведка угроз

Смотрите руководство Microsoft 6.7.1 и 6.7.2 в автоматизации и оркестрации.

Решения Microsoft Sentinel
Используйте правила аналитики и рабочие книги в контент-хабе Microsoft Sentinel.
- Контент и решения Sentinel

Правила аналитики Microsoft Sentinel
Создавайте запланированные правила аналитики для обнаружения отклонений, создания инцидентов и активации действий оркестрации безопасности, автоматизации и реагирования (SOAR).
- Пользовательские правила аналитики для обнаружения угроз

Advanced 7.2.3 Предупреждение об угрозах Pt3
Оповещение об угрозах расширяется, чтобы включать в себя расширенные источники данных, такие как расширенное обнаружение и ответ (XDR), аналитика поведения пользователей и сущностей (UEBA) и мониторинг активности пользователей (UAM). Эти расширенные источники данных используются для разработки улучшенного обнаружения аномальной и шаблонной активности.

Результаты:
- Идентификация аномальных событий
- Реализация политики активации
соединители данных Microsoft SentinelПодключите Microsoft Defender XDR к Sentinel для агрегирования оповещений, инцидентов и необработанных данных.Подключите Defender XDR к SentinelНастраиваемые аномалии Microsoft SentinelИспользуйте настраиваемые шаблоны аномалий Microsoft Sentinel для снижения шума с помощью правил обнаружения аномалийНастраиваемые аномалии для обнаружения угрозFusion в Microsoft SentinelДвижок Fusion коррелирует оповещения при многоплановых атаках.Обнаружения движка FusionСмотрите рекомендации Microsoft 6.4.1 в разделе Автоматизация и оркестрация.
Target 7.2.4 Идентификатор ресурса и корреляция оповещений
Организации DoD разрабатывают базовые правила корреляции с помощью данных активов и оповещений. Реагирование на распространенные события угроз (например, вредоносные программы, фишинг и т. д.) автоматически выполняются в решении "Управление сведениями и событиями безопасности" (SIEM).

Результат:
- Правила, разработанные для ответов на основе идентификаторов активов
Microsoft Defender XDR
Microsoft Defender XDR сопоставляет сигналы между многоплатформенными конечными точками, удостоверениями, электронной почтой, средствами совместной работы, приложениями и облачной инфраструктурой. Настройте самостоятельное восстановление с помощью возможностей автоматизированного исследования и реагирования Microsoft Defender.
- Microsoft Defender XDR
- Автоматизированное исследование и ответ

Сущности Microsoft Sentinel
Оповещения, отправляемые или создаваемые Sentinel, содержат элементы данных, которые становятся сущностями: учетные записи пользователей, узлы, файлы, процессы, IP-адреса, URL-адреса. Используйте страницы сущностей для просмотра сведений о сущностях, анализа поведения и улучшения исследований.
- Классификация и анализ данных с помощью сущностей
- Изучение страниц сущностей

Target 7.2.5 Базовые показатели пользователей и устройств
Организации DoD разрабатывают подходы к базовым показателям пользователей и устройств на основе корпоративных стандартов DoD для соответствующего столпа. Атрибуты, используемые в базовой линии, извлекаются из корпоративных стандартов на уровне всей организации, разработанных в межударственных мероприятиях.

Результат.
— Определение базовых показателей пользователей и устройств
Microsoft Sentinel коннекторы данных
Установите базовый уровень приема данных для Sentinel. Как минимум, подключите Microsoft Entra ID и соединители Microsoft Defender XDR, настройте стандартные правила аналитики и включите аналитику поведения сущностей пользователя (UEBA).
- Подключите Defender XDR к Sentinel
- Включите UEBA

Azure Lighthouse
Настройте Azure Lighthouse для управления рабочими областями Sentinel у нескольких арендаторов.
- Расширьте использование Sentinel в разных рабочих областях и арендаторах
- Мультиарендные операции для оборонных организаций

7.3 Общий анализ безопасности и рисков

Microsoft Defender XDR имеет стандартные обнаружения угроз, аналитику и оповещения. Используйте Microsoft Sentinel настраиваемые правила аналитики почти в режиме реального времени для сопоставления, обнаружения и создания оповещений для аномалий в подключенных источниках данных.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 7.3.1 Реализация средств аналитики, ориентированных на кибербезопасность
Организации DoD приобретают и реализуют базовые средства аналитики, ориентированные на кибербезопасность. Приоритезация разработки аналитики осуществляется на основе рисков и сложности, сначала уделяя внимание простой аналитике, дающей значительный эффект. Продолжение разработки аналитики сосредоточено на требованиях к столпям, чтобы лучше соответствовать потребностям отчетности.

Результаты:- Разработка требований к аналитической среде
— приобретение и реализация
средств

Microsoft Defender XDR и Microsoft Sentinel
Настройте интеграцию Microsoft Defender XDR и Sentinel.
- Microsoft Defender XDR
- Sentinel и Defender XDR для Zero Trust
Target 7.3.2. Определение базового поведения пользователей
С использованием аналитики, разработанной для пользователей и устройств в параллельной деятельности, в техническом решении устанавливаются базовые характеристики. Эти базовые показатели применяются к определенному набору пользователей на основе риска первоначально, а затем расширяются до более крупной базы пользователей DoD Organization. Используемое техническое решение интегрировано с функциями машинного обучения, чтобы начать автоматизацию.

Результаты:- Определение пользователей для базовых показателей— создание

показателей на основе машинного обучения
Microsoft Defender XDR
Microsoft Defender XDR интегрированное автоматическое обнаружение и реагирование является фронтом обороны. Руководство в столпах пользователей и устройств устанавливает базовое поведение и применяет политики с сигналами Microsoft Defender XDR в Microsoft Intune (соответствие устройств) и условный доступ (соответствие устройства и риск удостоверения).

См. руководство Microsoft в User и Device.

аналитические правила Microsoft Sentinel
Используйте Microsoft Sentinel для сопоставления событий, обнаружения угроз и активации действий реагирования. Подключите соответствующие источники данных к Sentinel и создайте правила аналитики почти в реальном времени для обнаружения угроз во время приема данных.
- Обнаружение угроз

См. руководство Microsoft в разделе 7.2.5.

записные книжки Microsoft Sentinel
Создайте настраиваемые модели машинного обучения для анализа данных Sentinel с использованием записных книжек Jupyter и платформы вашего машинного обучения (BYO-ML).
- BYO-ML для Sentinel
- записные книжки Jupyter и MSTICPy

7.4 Аналитика поведения пользователей и сущностей

Microsoft Defender XDR и Microsoft Sentinel обнаруживают аномалии с помощью аналитики поведенческих характеристик пользователей (UEBA). Обнаружение аномалий в Sentinel с помощью правил аналитики Fusion, UEBA и машинного обучения (ML). Кроме того, Sentinel интегрируется с Azure Notebooks (Jupyter Notebook) для использования и возможности внесения собственных компонентов машинного обучения (BYO-ML) и функций визуализации.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 7.4.1 Базовый уровень и профилирование Pt1
С использованием аналитики, разработанной для пользователей и устройств, в параллельной активности создаются общие профили для типичных типов пользователей и устройств. Аналитика, полученная из базовой линии, обновляется для анализа крупномасштабных контейнеров, профилей.

Результаты:
- Разработка аналитики для обнаружения изменяющихся условий
угроз. Определение профилей угроз пользователей и устройств
Посетите портал Microsoft Defender для единого представления инцидентов, оповещений, отчетов и аналитики угроз. Используйте Microsoft Secure Score для оценки и улучшения состояния безопасности. Создать настраиваемые обнаружения для мониторинга и реагирования на события безопасности в Microsoft Defender XDR.
- на портале Microsoft Defender
- Оценка состояния безопасности с помощью Secure Score
- Пользовательские обнаружения

Microsoft Sentinel
Использовать рабочие тетради для визуализации и мониторинга данных. Создайте пользовательские правила аналитики и включите обнаружение аномалий для выявления и оповещения об изменении условий угроз.
- Визуализация и мониторинг данных
- Пользовательская аналитика для обнаружения угроз
- Настройка аномалий для обнаружения угроз

Advanced 7.4.2 Базовый план и профилирование Pt2
Организации DoD расширяют базовые показатели и профили, чтобы включать неуправляемые и нестандартные типы устройств, включая Интернет вещей (IoT) и операционные технологии (OT) с помощью мониторинга выходных данных. Эти устройства снова профилируются на основе стандартных атрибутов и вариантов использования. Аналитика обновляется, чтобы рассмотреть новые базовые показатели и профили соответственно, обеспечивая дальнейшее обнаружение и реагирование. Конкретные рискованные пользователи и устройства автоматически определяются для повышения уровня мониторинга на основе риска. Обнаружение и реагирование интегрированы с межстраниальными функциями.

Результаты.
Добавление профилей угроз для устройств
Интернета вещей и OT. Разработка и расширение аналитики
— расширение профилей угроз отдельным пользователям и устройствам
Microsoft Defender XDR
Обнаруживайте и защищайте неуправляемые устройства с помощью Microsoft Defender для Endpoint.
- Обнаружение устройств
- Привязка арендатора для поддержки политик безопасности конечных точек из Intune
- Защита управляемых и неуправляемых устройств
- Сканирование аутентифицированных сетевых устройств
- Аутентифицированное сканирование неуправляемых устройств Windows

Microsoft Defender для Интернета вещей (IoT)
Развертывание сенсоров Defender для IoT в сетях операционных технологий (OT). Defender для Интернета вещей поддерживает мониторинг устройств без агента для облачных, локальных и гибридных сетей OT. Включите режим обучения для базового уровня вашей среды и подключите Defender для Интернета вещей к Microsoft Sentinel.
- Defender для организаций
- Мониторинг OT
- Изученный базовый уровень оповещений OT
- Подключите Defender для IoT к Sentinel
- Исследуйте сущности с помощью страниц сущностей

Advanced 7.4.3 базовая поддержка UEBA Часть 1
Аналитика поведения пользователей и объектов (UEBA) в организациях Министерства обороны США расширяет мониторинг за счет использования передовой аналитики, такой как машинное обучение (ML). Эти результаты в свою очередь проверяются и передаются обратно в алгоритмы машинного обучения для улучшения обнаружения и реагирования.

Результат.
— Реализация аналитики на основе машинного обучения для обнаружения аномалий
Выполните задание 7.3.2.

Правила аналитики Microsoft Sentinel
Sentinel использует две модели для создания базовых показателей и обнаружения аномалий: UEBA и машинное обучение.
- Обнаруженные аномалии

Аномалии UEBA
UEBA обнаруживает аномалии на основе динамических базовых линий сущностей.
- Включение UEBA
- Аномалии UEBA

Аномалии машинного обучения
Аномалии ML обнаруживают необычное поведение с использованием стандартных шаблонов правил аналитики.
- Аномалии машинного обучения

Advanced 7.4.4 базовая поддержка UEBA Pt2
Аналитика поведения пользователей и сущностей (UEBA) в организациях DoD завершает свое расширение, используя традиционные и основанные на машинном обучении (МО) результаты, которые будут интегрированы в алгоритмы искусственного интеллекта (ИИ). Изначально обнаружения на основе искусственного интеллекта контролируются, но в конечном итоге, благодаря использованию таких продвинутых методов, как нейронные сети, операторы UEBA не участвуют в процессе обучения.

Результат.
— Реализация аналитики на основе машинного обучения для обнаружения аномалий (супервизируемых обнаружений ИИ)
Fusion в Microsoft Sentinel
Использовать расширенное многофакторное обнаружение атак в правиле Аналитики Fusion в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки и расширенные постоянные угрозы (APTs). Он определяет сочетания аномального поведения и подозрительных действий, которые иначе трудно выявлять.
- Продвинутое многоэтапное обнаружение атак

Блокноты Microsoft Sentinel
Создайте свои собственные модели машинного обучения для анализа данных Microsoft Sentinel с помощью блокнотов Jupyter и платформы BYO-ML (Bring-Your-Own-Machine-Learning).
- BYO-ML в Sentinel
- Блокноты Jupyter и MSTICPy

Интеграция аналитики угроз 7.5

Microsoft Defender Threat Intelligence упрощает приоритизацию, реагирование на инциденты, поиск угроз, управление уязвимостями и киберразведку (CTI) от специалистов по угрозам Microsoft и других источников. Microsoft Sentinel подключается к Microsoft Defender Threat Intelligence и сторонним источникам CTI.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 7.5.1 Программа аналитической программы киберугроз Pt1
DoD Enterprise работает с организациями для разработки политики программы аналитической программы киберугроз (CTI), стандартов и процессов. Организации используют эту документацию для разработки команд CTI (разведки угроз кибербезопасности) с ключевыми заинтересованными лицами по миссиям и задачам. CTI Teams интегрируют общие потоки данных с системой управления событиями и информацией о безопасности (SIEM) для улучшения оповещений и реагирования. Интеграции с точками принудительного применения для устройств и сети (например, брандмауэрами, наборами безопасности конечных точек и т. д.) создаются для проведения базового мониторинга данных, управляемых CTI.

Результаты:
— Команда по анализу киберугроз создана и взаимодействует с критически важными заинтересованными сторонами
— Публичные и базовые потоки данных CTI используются SIEM для создания оповещений
— Основные точки интеграции существуют с точками применения устройств и сети (например, NGAV, NGFW, NG-IPS)
Microsoft Defender Аналитика угроз
Подключите Defender Threat Intelligence и другие потоки аналитики угроз к Sentinel.
- Defender Threat Intelligence
- Включите соединитель данных для Defender Threat Intelligence
- Подключите платформы аналитики угроз к Sentinel

Azure сети
Интегрируйте сетевые ресурсы с Microsoft Sentinel.
- Sentinel с межсетевым экраном для веб-приложений Azure
- Azure Firewall с Sentinel

Target 7.5.2 Программа разведки киберугроз Pt2
Организации DoD расширяют свои команды аналитики киберугроз (CTI), чтобы включить новых заинтересованных лиц в соответствии с соответствующим требованиям. Аутентифицированные, приватные и контролируемые потоки данных CTI интегрируются в системы управления сведениями и событиями безопасности (SIEM) и контрольные точки из основных элементов устройства, пользователя, сети и данных.

Результаты:
- Группа по аналитике киберугроз находится в составе с участием расширенного круга заинтересованных сторон, если это уместно
. Контролируемый и закрытый канал используются SIEM и другими соответствующими средствами аналитики для оповещений и мониторинга
. Интеграция настроена для расширенных точек применения среди устройств, пользователей, сети и данных (UEBA, UAM)
соединители данных Microsoft Sentinel
Управляйте сетевыми ресурсами в Azure с помощью REST API. Создание базовой интеграции с точками контроля сети с помощью плейбуков Sentinel и Logic Apps.
- Virtual network REST operations
- Ответ на угрозы с плейбуками Sentinel

Найдите плейбуки для других точек контроля сети в репозитории плейбуков Sentinel.
- Плейбуки Sentinel на GitHub

7.6 Автоматические динамические политики

Стек безопасности Майкрософт использует машинное обучение (ML) и искусственный интеллект (ИИ) для защиты удостоверений, устройств, приложений, данных и инфраструктуры. При использовании Microsoft Defender XDR и Условного Доступа, обнаружения машинного обучения (МО) устанавливают совокупные уровни риска для пользователей и устройств.

Используйте риск, связанный с устройством, чтобы пометить устройство как несоответствующее. Уровень риска идентификации позволяет организациям требовать методы проверки подлинности, устойчивые к фишингу, соответствующие устройства, увеличение частоты входа и многое другое. Используйте условия риска и элементы управления условным доступом для применения автоматических политик динамического доступа.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Advanced 7.6.1 Сетевой доступ с поддержкой ИИ
Организации DoD используют инфраструктуру SDN и профили корпоративной безопасности, для обеспечения управляемого ИИ/МО доступа к сети. Аналитика из предыдущих действий используется для обучения алгоритмов искусственного интеллекта и машинного обучения для улучшения принятия решений.

Результат:
- Сетевой доступ основан на использовании искусственного интеллекта на основе аналитики среды
Microsoft Defender XDR
Автоматическое нарушение атаки в Microsoft Defender XDR ограничивает латеральное движение. Это действие снижает воздействие атаки программы-вымогателя. Исследователи по безопасности Майкрософт используют модели искусственного интеллекта для противодействия сложным атакам с помощью XDR Defender. Решение коррелирует сигналы с высокодостоверными инцидентами для обнаружения и сдерживания атак в режиме реального времени.
- Прерывания атак

Возможности сетевой защиты в Microsoft Defender SmartScreen и веб-защиты расширяются до операционной системы для блокировки атак командного управления (C2).
- Защитите свою сеть
- ИИ для нарушения работы программ-вымогателей)

Microsoft Sentinel
Используйте Azure Firewall для визуализации активности брандмауэра, обнаружения угроз с возможностями исследования ИИ, корреляции действий и автоматизации ответных действий.
- Azure Firewall с Sentinel

Advanced 7.6.2 Динамическое управление доступом с поддержкой ИИ
Организации Министерства обороны США используют управление доступом на основе правил для обучения алгоритмов искусственного интеллекта (ИИ)/машинного обучения (МО) с целью принятия решений о доступе к различным ресурсам. Алгоритмы деятельности с поддержкой ИИ для доступа к сети обновляются, чтобы обеспечить более широкое принятие решений для всех DAAS.

Результат:
- JIT/JEA интегрированы с ИИ
Conditional Access
Требовать уровень риска устройства с Microsoft Defender для Endpoint в политике соответствия в Microsoft Intune. Используйте условия соответствия устройств и уровень риска в Microsoft Entra ID Protection в политиках условного доступа.
- Политики доступа на основе уровня риска
- Политики соответствия для установки правил на управляемых через Intune устройствах

Управление привилегированными идентификациями
Используйте уровень риска в политике защиты идентификации и сигналы соответствия устройств для задания контекста проверки подлинности при привилегированном доступе. Требовать контекст проверки подлинности для запросов PIM для принудительного применения политик для JIT-доступа.

См. руководство Майкрософт 7.6.1 в этом разделе и 1.4.4 в user.

Следующие шаги

Настройте облачные службы Майкрософт для стратегии doD Zero Trust: