Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика
7 Видимость и аналитика
В этом разделе содержатся указания и рекомендации Майкрософт по действиям Министерства обороны США (DoD) в области видимости и аналитики в рамках концепции Zero Trust. Дополнительные сведения см. в статье Зримость, автоматизация и оркестрация с помощью Zero Trust.
7.1 Журнал всего трафика
Microsoft Sentinel — это масштабируемая система управления событиями информационной безопасности в облаке (SIEM). Кроме того, Sentinel — это решение для оркестрации безопасности, автоматизации и реагирования (SOAR) для обработки больших объемов данных из различных источников. Соединители данных Sentinel собирают данные от пользователей, устройств, приложений и инфраструктуры, на локальных и мультиоблачных платформах.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
TargetРекомендации по Организации DoD проводят анализ для определения текущих и будущих потребностей масштабирования. Масштабирование анализируется в соответствии с общепринятыми методами лучших практик в отрасли и основами ZT Pillars. Команда работает с существующими группами планирования непрерывности бизнес-процессов (BCP) и группами планирования аварийного восстановления (НДР), чтобы определить потребности распределенной среды в чрезвычайных ситуациях и по мере роста организаций. Результаты. - Достаточная инфраструктура на месте — распределенная среда установлена — достаточная пропускная способность для сетевого трафика |
Microsoft Sentinel Sentinel использует рабочую область Log Analytics для хранения данных журнала безопасности для анализа. Log Analytics — это платформа как услуга (PaaS) в Azure. Нет инфраструктуры для управления или сборки. - Архитектура рабочего пространства - Лучшие практики архитектуры рабочего пространства - Сократить расходы на Sentinel Агент Azure Monitor Передача журналов с использованием агента Azure Monitor для виртуальных машин (VM), а также сетевых устройств на месте и в других облаках. - События безопасности Windows с AMA - Передача журналов в формате CEF и Syslog - Сбор данных - Тест производительности агента Azure Monitor - Масштабируемое поступление Сетевая инфраструктура Удостоверьтесь, что сетевая инфраструктура соответствует требованиям к пропускной способности для мониторинга Microsoft 365 и облачной безопасности для локальных серверов. - Сетевое подключение Microsoft 365 - Планирование сети и настройка производительности - Azure ExpressRoute - Сетевые требования агента подключенной машины Управление непрерывностью бизнеса в Azure Azure имеет зрелые программы управления непрерывностью бизнес-процессов для нескольких отраслей. Просмотрите управление непрерывностью бизнес-процессов и разделение обязанностей. - Управление - Руководство по надежности |
Target
7.1.2 Синтаксический анализ журналовОрганизации DoD определяют и устанавливают приоритеты для источников журналов и потоков (например, брандмауэры, системы обнаружения и реагирования на угрозы конечных точек, Active Directory, коммутаторы, маршрутизаторы и т. д.) и разрабатывают план для сбора журналов с высоким приоритетом в первую очередь, а затем с низким приоритетом. Открытый формат журнала отраслевых стандартов согласован на уровне DoD Enterprise с организациями и реализован в будущих требованиях к закупкам. Существующие решения и технологии переносятся в формат постоянно. Результаты: - Стандартные форматы журналов — правила, разработанные для каждого формата журнала |
соединители данных Microsoft Sentinel Подключите соответствующие источники данных к Sentinel. Включение и настройка правил аналитики. Соединители данных используют стандартные форматы журналов. - Отслеживание архитектур безопасности Zero Trust - Создание настраиваемых соединителей Sentinel - API для интеграции журналов в Azure Monitor Смотрите руководство Microsoft 6.2.2 в разделе Автоматизация и оркестрация. Стандартизируйте журналы с помощью Common Event Format (CEF), отраслевого стандарта, используемого поставщиками безопасности для обеспечения взаимодействия событий между платформами. Используйте Syslog для систем, которые не поддерживают журналы в формате CEF. - CEF с соединителем Azure Monitor для Sentinel - Получайте Syslog и CEF-сообщения в Sentinel с помощью Azure Monitor Используйте расширенную модель безопасности (ASIM) (общедоступная предварительная версия) для сбора и просмотра данных из нескольких источников с нормализованной схемой. - ASIM для нормализации данных |
Target
Анализ журналов 7.1.3Действия пользователей и устройств определяются и расставляются по приоритетам на основе риска. Аналитика, основанная на различных источниках данных, таких как логи, создается для действий, которые считаются наиболее простыми и рискованными. Тенденции и шаблоны разрабатываются на основе аналитики, собираемой для просмотра действий в течение более длительных периодов времени. Результаты: - Разработка аналитики для каждого действия — определение действий для анализа |
Выполните задание 7.1.2. Microsoft Defender XDR Microsoft Defender XDR — это единый набор защиты для корпоративной сети, который координирует обнаружение, предотвращение, исследование и реагирование в собственном коде до и после нарушения безопасности для конечных точек, удостоверений, электронной почты и приложений. Используйте XDR Defender для защиты от сложных атак. - Расследуйте оповещения - Zero Trust с Defender XDR - Defender XDR для правительства США Microsoft Sentinel Разработайте настраиваемые аналитические запросы и визуализируйте собранные данные с помощью рабочих книг. - Настраиваемые правила аналитики для обнаружения угроз - Визуализация собранных данных |
7.2. Сведения о безопасности и управление событиями
Microsoft Defender XDR и Microsoft Sentinel совместно работают над обнаружением, оповещением и реагированием на угрозы безопасности. Microsoft Defender XDR обнаруживает угрозы в Microsoft 365, учетных данных, устройствах, приложениях и инфраструктуре. Защитник XR создает оповещения на портале Microsoft Defender. Подключение оповещений и необработанных данных из Microsoft Defender XDR в Sentinel и использование правил расширенной аналитики для сопоставления событий и создания инцидентов для оповещений с высокой точностью.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
7.2.1 Предупреждение об угрозах Pt1Организации DoD используют существующее решение для управления сведениями и событиями безопасности (SIEM) для разработки основных правил и оповещений для распространенных событий угроз (вредоносных программ, фишинга и т. д.). Оповещения и (или) срабатывания правил передаются в параллельное действие "Идентификатор ресурса и корреляция оповещений" для автоматизации ответов. Результат: - Правила, разработанные для корреляции угроз |
Microsoft Defender XDR Microsoft Defender XDR содержит оповещения об угрозах, обнаруженных в конечных точках с несколькими платформами, удостоверениях, электронной почте, средствах совместной работы, приложениях и облачной инфраструктуре. Платформа автоматически объединяет связанные оповещения в инциденты для упрощения проверки безопасности. - Исследование оповещений правила аналитики Microsoft Sentinel Включите стандартные правила аналитики для подключенных источников данных и создайте настраиваемые правила аналитики для обнаружения угроз в Sentinel. См. Руководство Microsoft в разделе 7.1.3. |
Target
7.2.2. Предупреждение об угрозах Pt2Организации DoD расширяют оповещение об угрозах в решении "Информация о безопасности и управление событиями" (SIEM), чтобы включить веб-каналы данных службы "Аналитика кибер угроз" (CTI). Правила отклонения и аномалий разрабатываются в SIEM для обнаружения расширенных угроз. Результат: - Разработка аналитики для обнаружения отклонений |
Microsoft Sentinel разведка угроз Подключите каналы киберугроз (CTI) к Sentinel. - Разведка угроз Смотрите руководство Microsoft 6.7.1 и 6.7.2 в автоматизации и оркестрации. Решения Microsoft Sentinel Используйте правила аналитики и рабочие книги в контент-хабе Microsoft Sentinel. - Контент и решения Sentinel Правила аналитики Microsoft Sentinel Создавайте запланированные правила аналитики для обнаружения отклонений, создания инцидентов и активации действий оркестрации безопасности, автоматизации и реагирования (SOAR). - Пользовательские правила аналитики для обнаружения угроз |
Advanced
7.2.3 Предупреждение об угрозах Pt3Оповещение об угрозах расширяется, чтобы включать в себя расширенные источники данных, такие как расширенное обнаружение и ответ (XDR), аналитика поведения пользователей и сущностей (UEBA) и мониторинг активности пользователей (UAM). Эти расширенные источники данных используются для разработки улучшенного обнаружения аномальной и шаблонной активности. Результаты: - Идентификация аномальных событий - Реализация политики активации |
соединители данных |
Target
7.2.4 Идентификатор ресурса и корреляция оповещенийОрганизации DoD разрабатывают базовые правила корреляции с помощью данных активов и оповещений. Реагирование на распространенные события угроз (например, вредоносные программы, фишинг и т. д.) автоматически выполняются в решении "Управление сведениями и событиями безопасности" (SIEM). Результат: - Правила, разработанные для ответов на основе идентификаторов активов |
Microsoft Defender XDR Microsoft Defender XDR сопоставляет сигналы между многоплатформенными конечными точками, удостоверениями, электронной почтой, средствами совместной работы, приложениями и облачной инфраструктурой. Настройте самостоятельное восстановление с помощью возможностей автоматизированного исследования и реагирования Microsoft Defender. - Microsoft Defender XDR - Автоматизированное исследование и ответ Сущности Microsoft Sentinel Оповещения, отправляемые или создаваемые Sentinel, содержат элементы данных, которые становятся сущностями: учетные записи пользователей, узлы, файлы, процессы, IP-адреса, URL-адреса. Используйте страницы сущностей для просмотра сведений о сущностях, анализа поведения и улучшения исследований. - Классификация и анализ данных с помощью сущностей - Изучение страниц сущностей |
Target
7.2.5 Базовые показатели пользователей и устройствОрганизации DoD разрабатывают подходы к базовым показателям пользователей и устройств на основе корпоративных стандартов DoD для соответствующего столпа. Атрибуты, используемые в базовой линии, извлекаются из корпоративных стандартов на уровне всей организации, разработанных в межударственных мероприятиях. Результат. — Определение базовых показателей пользователей и устройств |
Microsoft Sentinel коннекторы данных Установите базовый уровень приема данных для Sentinel. Как минимум, подключите Microsoft Entra ID и соединители Microsoft Defender XDR, настройте стандартные правила аналитики и включите аналитику поведения сущностей пользователя (UEBA). - Подключите Defender XDR к Sentinel - Включите UEBA Azure Lighthouse Настройте Azure Lighthouse для управления рабочими областями Sentinel у нескольких арендаторов. - Расширьте использование Sentinel в разных рабочих областях и арендаторах - Мультиарендные операции для оборонных организаций |
7.3 Общий анализ безопасности и рисков
Microsoft Defender XDR имеет стандартные обнаружения угроз, аналитику и оповещения. Используйте Microsoft Sentinel настраиваемые правила аналитики почти в режиме реального времени для сопоставления, обнаружения и создания оповещений для аномалий в подключенных источниках данных.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
7.3.1 Реализация средств аналитики, ориентированных на кибербезопасностьОрганизации DoD приобретают и реализуют базовые средства аналитики, ориентированные на кибербезопасность. Приоритезация разработки аналитики осуществляется на основе рисков и сложности, сначала уделяя внимание простой аналитике, дающей значительный эффект. Продолжение разработки аналитики сосредоточено на требованиях к столпям, чтобы лучше соответствовать потребностям отчетности. Результаты:- Разработка требований к аналитической среде — приобретение и реализация средств |
Microsoft Defender XDR и Microsoft Sentinel Настройте интеграцию Microsoft Defender XDR и Sentinel. - Microsoft Defender XDR - Sentinel и Defender XDR для Zero Trust |
Target
7.3.2. Определение базового поведения пользователейС использованием аналитики, разработанной для пользователей и устройств в параллельной деятельности, в техническом решении устанавливаются базовые характеристики. Эти базовые показатели применяются к определенному набору пользователей на основе риска первоначально, а затем расширяются до более крупной базы пользователей DoD Organization. Используемое техническое решение интегрировано с функциями машинного обучения, чтобы начать автоматизацию. Результаты:- Определение пользователей для базовых показателей— создание показателей на основе машинного обучения |
Microsoft Defender XDR Microsoft Defender XDR интегрированное автоматическое обнаружение и реагирование является фронтом обороны. Руководство в столпах пользователей и устройств устанавливает базовое поведение и применяет политики с сигналами Microsoft Defender XDR в Microsoft Intune (соответствие устройств) и условный доступ (соответствие устройства и риск удостоверения). См. руководство Microsoft в User и Device. аналитические правила Microsoft Sentinel Используйте Microsoft Sentinel для сопоставления событий, обнаружения угроз и активации действий реагирования. Подключите соответствующие источники данных к Sentinel и создайте правила аналитики почти в реальном времени для обнаружения угроз во время приема данных. - Обнаружение угроз См. руководство Microsoft в разделе 7.2.5. записные книжки Microsoft Sentinel Создайте настраиваемые модели машинного обучения для анализа данных Sentinel с использованием записных книжек Jupyter и платформы вашего машинного обучения (BYO-ML). - BYO-ML для Sentinel - записные книжки Jupyter и MSTICPy |
7.4 Аналитика поведения пользователей и сущностей
Microsoft Defender XDR и Microsoft Sentinel обнаруживают аномалии с помощью аналитики поведенческих характеристик пользователей (UEBA). Обнаружение аномалий в Sentinel с помощью правил аналитики Fusion, UEBA и машинного обучения (ML). Кроме того, Sentinel интегрируется с Azure Notebooks (Jupyter Notebook) для использования и возможности внесения собственных компонентов машинного обучения (BYO-ML) и функций визуализации.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
7.4.1 Базовый уровень и профилирование Pt1С использованием аналитики, разработанной для пользователей и устройств, в параллельной активности создаются общие профили для типичных типов пользователей и устройств. Аналитика, полученная из базовой линии, обновляется для анализа крупномасштабных контейнеров, профилей. Результаты: - Разработка аналитики для обнаружения изменяющихся условий угроз. Определение профилей угроз пользователей и устройств |
Посетите портал Microsoft Defender для единого представления инцидентов, оповещений, отчетов и аналитики угроз. Используйте Microsoft Secure Score для оценки и улучшения состояния безопасности. Создать настраиваемые обнаружения для мониторинга и реагирования на события безопасности в Microsoft Defender XDR. - на портале Microsoft Defender - Оценка состояния безопасности с помощью Secure Score - Пользовательские обнаружения Microsoft Sentinel Использовать рабочие тетради для визуализации и мониторинга данных. Создайте пользовательские правила аналитики и включите обнаружение аномалий для выявления и оповещения об изменении условий угроз. - Визуализация и мониторинг данных - Пользовательская аналитика для обнаружения угроз - Настройка аномалий для обнаружения угроз |
Advanced
7.4.2 Базовый план и профилирование Pt2Организации DoD расширяют базовые показатели и профили, чтобы включать неуправляемые и нестандартные типы устройств, включая Интернет вещей (IoT) и операционные технологии (OT) с помощью мониторинга выходных данных. Эти устройства снова профилируются на основе стандартных атрибутов и вариантов использования. Аналитика обновляется, чтобы рассмотреть новые базовые показатели и профили соответственно, обеспечивая дальнейшее обнаружение и реагирование. Конкретные рискованные пользователи и устройства автоматически определяются для повышения уровня мониторинга на основе риска. Обнаружение и реагирование интегрированы с межстраниальными функциями. Результаты. Добавление профилей угроз для устройств Интернета вещей и OT. Разработка и расширение аналитики — расширение профилей угроз отдельным пользователям и устройствам |
Microsoft Defender XDR Обнаруживайте и защищайте неуправляемые устройства с помощью Microsoft Defender для Endpoint. - Обнаружение устройств - Привязка арендатора для поддержки политик безопасности конечных точек из Intune - Защита управляемых и неуправляемых устройств - Сканирование аутентифицированных сетевых устройств - Аутентифицированное сканирование неуправляемых устройств Windows Microsoft Defender для Интернета вещей (IoT) Развертывание сенсоров Defender для IoT в сетях операционных технологий (OT). Defender для Интернета вещей поддерживает мониторинг устройств без агента для облачных, локальных и гибридных сетей OT. Включите режим обучения для базового уровня вашей среды и подключите Defender для Интернета вещей к Microsoft Sentinel. - Defender для организаций - Мониторинг OT - Изученный базовый уровень оповещений OT - Подключите Defender для IoT к Sentinel - Исследуйте сущности с помощью страниц сущностей |
Advanced
7.4.3 базовая поддержка UEBA Часть 1Аналитика поведения пользователей и объектов (UEBA) в организациях Министерства обороны США расширяет мониторинг за счет использования передовой аналитики, такой как машинное обучение (ML). Эти результаты в свою очередь проверяются и передаются обратно в алгоритмы машинного обучения для улучшения обнаружения и реагирования. Результат. — Реализация аналитики на основе машинного обучения для обнаружения аномалий |
Выполните задание 7.3.2. Правила аналитики Microsoft Sentinel Sentinel использует две модели для создания базовых показателей и обнаружения аномалий: UEBA и машинное обучение. - Обнаруженные аномалии Аномалии UEBA UEBA обнаруживает аномалии на основе динамических базовых линий сущностей. - Включение UEBA - Аномалии UEBA Аномалии машинного обучения Аномалии ML обнаруживают необычное поведение с использованием стандартных шаблонов правил аналитики. - Аномалии машинного обучения |
Advanced
7.4.4 базовая поддержка UEBA Pt2Аналитика поведения пользователей и сущностей (UEBA) в организациях DoD завершает свое расширение, используя традиционные и основанные на машинном обучении (МО) результаты, которые будут интегрированы в алгоритмы искусственного интеллекта (ИИ). Изначально обнаружения на основе искусственного интеллекта контролируются, но в конечном итоге, благодаря использованию таких продвинутых методов, как нейронные сети, операторы UEBA не участвуют в процессе обучения. Результат. — Реализация аналитики на основе машинного обучения для обнаружения аномалий (супервизируемых обнаружений ИИ) |
Fusion в Microsoft Sentinel Использовать расширенное многофакторное обнаружение атак в правиле Аналитики Fusion в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки и расширенные постоянные угрозы (APTs). Он определяет сочетания аномального поведения и подозрительных действий, которые иначе трудно выявлять. - Продвинутое многоэтапное обнаружение атак Блокноты Microsoft Sentinel Создайте свои собственные модели машинного обучения для анализа данных Microsoft Sentinel с помощью блокнотов Jupyter и платформы BYO-ML (Bring-Your-Own-Machine-Learning). - BYO-ML в Sentinel - Блокноты Jupyter и MSTICPy |
Интеграция аналитики угроз 7.5
Microsoft Defender Threat Intelligence упрощает приоритизацию, реагирование на инциденты, поиск угроз, управление уязвимостями и киберразведку (CTI) от специалистов по угрозам Microsoft и других источников. Microsoft Sentinel подключается к Microsoft Defender Threat Intelligence и сторонним источникам CTI.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
7.5.1 Программа аналитической программы киберугроз Pt1DoD Enterprise работает с организациями для разработки политики программы аналитической программы киберугроз (CTI), стандартов и процессов. Организации используют эту документацию для разработки команд CTI (разведки угроз кибербезопасности) с ключевыми заинтересованными лицами по миссиям и задачам. CTI Teams интегрируют общие потоки данных с системой управления событиями и информацией о безопасности (SIEM) для улучшения оповещений и реагирования. Интеграции с точками принудительного применения для устройств и сети (например, брандмауэрами, наборами безопасности конечных точек и т. д.) создаются для проведения базового мониторинга данных, управляемых CTI. Результаты: — Команда по анализу киберугроз создана и взаимодействует с критически важными заинтересованными сторонами — Публичные и базовые потоки данных CTI используются SIEM для создания оповещений — Основные точки интеграции существуют с точками применения устройств и сети (например, NGAV, NGFW, NG-IPS) |
Microsoft Defender Аналитика угроз Подключите Defender Threat Intelligence и другие потоки аналитики угроз к Sentinel. - Defender Threat Intelligence - Включите соединитель данных для Defender Threat Intelligence - Подключите платформы аналитики угроз к Sentinel Azure сети Интегрируйте сетевые ресурсы с Microsoft Sentinel. - Sentinel с межсетевым экраном для веб-приложений Azure - Azure Firewall с Sentinel |
Target
7.5.2 Программа разведки киберугроз Pt2Организации DoD расширяют свои команды аналитики киберугроз (CTI), чтобы включить новых заинтересованных лиц в соответствии с соответствующим требованиям. Аутентифицированные, приватные и контролируемые потоки данных CTI интегрируются в системы управления сведениями и событиями безопасности (SIEM) и контрольные точки из основных элементов устройства, пользователя, сети и данных. Результаты: - Группа по аналитике киберугроз находится в составе с участием расширенного круга заинтересованных сторон, если это уместно . Контролируемый и закрытый канал используются SIEM и другими соответствующими средствами аналитики для оповещений и мониторинга . Интеграция настроена для расширенных точек применения среди устройств, пользователей, сети и данных (UEBA, UAM) |
соединители данных Microsoft Sentinel Управляйте сетевыми ресурсами в Azure с помощью REST API. Создание базовой интеграции с точками контроля сети с помощью плейбуков Sentinel и Logic Apps. - Virtual network REST operations - Ответ на угрозы с плейбуками Sentinel Найдите плейбуки для других точек контроля сети в репозитории плейбуков Sentinel. - Плейбуки Sentinel на GitHub |
7.6 Автоматические динамические политики
Стек безопасности Майкрософт использует машинное обучение (ML) и искусственный интеллект (ИИ) для защиты удостоверений, устройств, приложений, данных и инфраструктуры. При использовании Microsoft Defender XDR и Условного Доступа, обнаружения машинного обучения (МО) устанавливают совокупные уровни риска для пользователей и устройств.
Используйте риск, связанный с устройством, чтобы пометить устройство как несоответствующее. Уровень риска идентификации позволяет организациям требовать методы проверки подлинности, устойчивые к фишингу, соответствующие устройства, увеличение частоты входа и многое другое. Используйте условия риска и элементы управления условным доступом для применения автоматических политик динамического доступа.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Advanced
7.6.1 Сетевой доступ с поддержкой ИИОрганизации DoD используют инфраструктуру SDN и профили корпоративной безопасности, для обеспечения управляемого ИИ/МО доступа к сети. Аналитика из предыдущих действий используется для обучения алгоритмов искусственного интеллекта и машинного обучения для улучшения принятия решений. Результат: - Сетевой доступ основан на использовании искусственного интеллекта на основе аналитики среды |
Microsoft Defender XDR Автоматическое нарушение атаки в Microsoft Defender XDR ограничивает латеральное движение. Это действие снижает воздействие атаки программы-вымогателя. Исследователи по безопасности Майкрософт используют модели искусственного интеллекта для противодействия сложным атакам с помощью XDR Defender. Решение коррелирует сигналы с высокодостоверными инцидентами для обнаружения и сдерживания атак в режиме реального времени. - Прерывания атак Возможности сетевой защиты в Microsoft Defender SmartScreen и веб-защиты расширяются до операционной системы для блокировки атак командного управления (C2). - Защитите свою сеть - ИИ для нарушения работы программ-вымогателей) Microsoft Sentinel Используйте Azure Firewall для визуализации активности брандмауэра, обнаружения угроз с возможностями исследования ИИ, корреляции действий и автоматизации ответных действий. - Azure Firewall с Sentinel |
Advanced
7.6.2 Динамическое управление доступом с поддержкой ИИОрганизации Министерства обороны США используют управление доступом на основе правил для обучения алгоритмов искусственного интеллекта (ИИ)/машинного обучения (МО) с целью принятия решений о доступе к различным ресурсам. Алгоритмы деятельности с поддержкой ИИ для доступа к сети обновляются, чтобы обеспечить более широкое принятие решений для всех DAAS. Результат: - JIT/JEA интегрированы с ИИ |
Conditional Access Требовать уровень риска устройства с Microsoft Defender для Endpoint в политике соответствия в Microsoft Intune. Используйте условия соответствия устройств и уровень риска в Microsoft Entra ID Protection в политиках условного доступа. - Политики доступа на основе уровня риска - Политики соответствия для установки правил на управляемых через Intune устройствах Управление привилегированными идентификациями Используйте уровень риска в политике защиты идентификации и сигналы соответствия устройств для задания контекста проверки подлинности при привилегированном доступе. Требовать контекст проверки подлинности для запросов PIM для принудительного применения политик для JIT-доступа. См. руководство Майкрософт 7.6.1 в этом разделе и 1.4.4 в user. |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии doD Zero Trust:
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика