Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика
7 Видимость и аналитика
В этом разделе содержатся рекомендации и рекомендации майкрософт по действиям DoD Zero Trust в области видимости и аналитики. Дополнительные сведения см. в разделе "Видимость", "Автоматизация" и "Оркестрация с нулевой доверием".
7.1 Журнал всего трафика
Microsoft Sentinel — это масштабируемая система управления событиями информационной безопасности (SIEM). Кроме того, Sentinel — это решение для оркестрации безопасности, автоматизации и реагирования (SOAR) для обработки больших объемов данных из различных источников. Соединители данных Sentinel передают данные между пользователями, устройствами, приложениями и инфраструктурой, локальными и в нескольких облаках.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
TargetРекомендациипо масштабированию 7.1.1Организации DoD проводят анализ для определения текущих и будущих потребностей масштабирования. Масштабирование анализируется после распространенных методов отраслевых рекомендаций и ZT Pillars. Команда работает с существующими группами планирования непрерывности бизнес-процессов (BCP) и группами планирования аварийного восстановления (НДР), чтобы определить потребности распределенной среды в чрезвычайных ситуациях и по мере роста организаций. Результаты. - Достаточная инфраструктура на месте — распределенная среда установлена — достаточная пропускная способность для сетевого трафика |
Microsoft Sentinel Sentinel использует рабочую область Log Analytics для хранения данных журнала безопасности для анализа. Log Analytics — это платформа как услуга (PaaS) в Azure. Инфраструктура для управления или сборки отсутствует. - Рекомендации- по архитектуре рабочей области для архитектуры - рабочей области с помощью агента Sentinel Azure Monitor Stream с помощью агента Azure Monitor для виртуальных машин также используют сетевые устройства в локальной среде и в других облаках. - события Безопасность Windows с помощью AMA - Потоковая передача журналов в CEF и syslog format- Data collection- Azure Monitor Agent Performance Benchmark - Scalable Ingestion Networking infrastructure гарантирует, что сетевая инфраструктура соответствует требованиям к пропускной способности microsoft 365 и облачному мониторингу безопасности для локальных серверов. - Сетевое планирование и настройка производительности сетевого планирования- и настройки- сетевого подключения Microsoft 365 для Azure ExpressRoute - Connected Machine Agent, управление непрерывностью бизнес-процессов в Azure имеет зрелые программы управления непрерывностью бизнес-процессов для нескольких отраслей. Просмотрите управление непрерывностью бизнес-процессов и разделение обязанностей. - Руководство по обеспечению надежности управления - непрерывностью бизнес-процессов |
TargetСинтаксический анализ журналов7.1.2Организации DoD определяют и приоритеты источников журналов и потоков (например, брандмауэры, обнаружение конечных точек и ответ, Active Directory, коммутаторы, маршрутизаторы и т. д.) и разрабатывают план для сбора журналов с высоким приоритетом, а затем низкий приоритет. Открытый формат журнала отраслевых стандартов согласован на уровне DoD Enterprise с организациями и реализован в будущих требованиях к закупкам. Существующие решения и технологии переносятся в формат постоянно. Результаты: - Стандартные форматы журналов — правила, разработанные для каждого формата журнала |
Соединители данных Microsoft Sentinel подключают соответствующие источники данных к Sentinel. Включение и настройка правил аналитики. Соединители данных используют стандартизированные форматы журналов. - Мониторинг архитектур- безопасности нулевого доверия для создания пользовательских соединителей Sentinel журналов - API приема в Azure Monitor см. в руководстве Майкрософт 6.2.2 в службе автоматизации и оркестрации. Стандартизация ведения журнала с использованием общего формата событий (CEF), отраслевого стандарта, используемого поставщиками безопасности для взаимодействия между платформами. Используйте системный журнал для систем, которые не поддерживают журналы в CEF. - CEF с соединителем Azure Monitor для приема сообщений Системного журнала Sentinel - и CEF в Sentinel с помощью Azure Monitor используйте расширенную модель безопасности (ASIM) (общедоступная предварительная версия) для сбора и просмотра данных из нескольких источников с нормализованной схемой. - ASIM для нормализации данных |
TargetАнализжурналов 7.1.3Общие действия пользователей и устройств определяются и определяются приоритетами на основе риска. Действия, которые считаются наиболее простыми и рискованными, создают аналитику с помощью различных источников данных, таких как журналы. Тенденции и шаблоны разрабатываются на основе аналитики, собираемой для просмотра действий в течение более длительных периодов времени. Результаты: - Разработка аналитики для каждого действия — определение действий для анализа |
Завершение действия 7.1.2. Microsoft Defender XDR Microsoft Defender XDR — это единый набор предварительной и после брейт-защиты предприятия, который координирует обнаружение, предотвращение, исследование и реагирование в собственном коде между конечными точками, удостоверениями, электронной почтой и приложениями. Используйте XDR Defender для защиты от сложных атак и реагирования на них. - Изучение оповещений Zero Trust с помощью XDR Defender XDR- Defender для государственных организаций США Microsoft Sentinel разрабатывает пользовательские аналитические запросы и визуализирует собранные данные с помощью книг. - - Пользовательские правила аналитики для обнаружения угроз - визуализации собранных данных |
7.2. Сведения о безопасности и управление событиями
XDR в Microsoft Defender и Microsoft Sentinel работают вместе для обнаружения, оповещения и реагирования на угрозы безопасности. XDR в Microsoft Defender обнаруживает угрозы в Microsoft 365, удостоверениях, устройствах, приложениях и инфраструктуре. Защитник XR создает оповещения на портале Microsoft Defender. Подключите оповещения и необработанные данные из XDR в Microsoft Defender в Sentinel и используйте правила расширенной аналитики для сопоставления событий и создания инцидентов для оповещений с высокой точностью.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target7.2.1 Предупреждение об угрозах Pt1Организации DoD используют существующее решение для управления сведениями и событиями безопасности (SIEM) для разработки основных правил и оповещений для распространенных событий угроз (вредоносных программ, фишинга и т. д.). Оповещения и (или) срабатывания правил передаются в параллельное действие "Идентификатор ресурса и корреляция оповещений" для автоматизации ответов. Результат: - Правила, разработанные для корреляции угроз |
XDR В Microsoft Defender XDR есть оповещения об угрозах, обнаруженных в конечных точках с несколькими платформами, удостоверениях, электронной почте, средствах совместной работы, приложениях и облачной инфраструктуре. Платформа автоматически объединяет связанные оповещения в инциденты, чтобы упростить проверку безопасности. - Изучение правил аналитики Microsoft Sentinel включает стандартные правила аналитики для подключенных источников данных и создание пользовательских правил аналитики для обнаружения угроз в Sentinel. См. руководство майкрософт по версии 7.1.3. |
Target7.2.2. Предупреждение об угрозах Pt2Организации DoD расширяют оповещение об угрозах в решении "Информация о безопасности и управление событиями" (SIEM), чтобы включить веб-каналы данных службы "Аналитика кибер угроз" (CTI). Правила отклонения и аномалий разрабатываются в SIEM для обнаружения расширенных угроз. Результат: - Разработка аналитики для обнаружения отклонений |
Microsoft Sentinel threat intelligence Connect cyber threat intelligence(CTI) веб-каналы Sentinel. - Аналитика угроз см. в руководстве Майкрософт 6.7.1 и 6.7.2 в службе автоматизации и оркестрации. РешенияMicrosoft Sentinel используют правила аналитики и книги в центре содержимого Microsoft Sentinel. - Правила анализа содержимого и решений Sentinel Microsoft Sentinel создают запланированные правила аналитики для обнаружения отклонений, создания инцидентов и активации оркестрации безопасности, автоматизации и реагирования (SOAR). - Пользовательские правила аналитики для обнаружения угроз |
Advanced7.2.3 Предупреждение об угрозах Pt3Оповещение об угрозах расширяется, чтобы включать в себя расширенные источники данных, такие как расширенное обнаружение и ответ (XDR), аналитика поведения пользователей и сущностей (UEBA) и мониторинг активности пользователей (UAM). Эти расширенные источники данных используются для разработки улучшенных аномальных и обнаружения действий шаблонов. Результаты: - Определение аномальных событий . Реализация политики активации |
Соединители данных Microsoft Sentinel подключают XDR Microsoft Defender к Sentinel для агрегирования оповещений, инцидентов и необработанных данных. - Подключение XDR Defender к Sentinel Microsoft Sentinel настраиваемых аномалий с помощью настраиваемых шаблонов аномалий Microsoft Sentinel для снижения шума с помощью правил- обнаружения аномалий настраиваемых аномалий для обнаружения угроз Fusion в Microsoft Sentinel Подсистема Fusion сопоставляет оповещения для расширенных многоэтапных атак. - Обнаружение подсистемы Fusion см. в руководстве Майкрософт 6.4.1 в службе автоматизации и оркестрации. |
Target7.2.4 Идентификатор ресурса и корреляция оповещенийОрганизации DoD разрабатывают базовые правила корреляции с помощью данных активов и оповещений. Реагирование на распространенные события угроз (например, вредоносные программы, фишинг и т. д.) автоматически выполняются в решении "Управление сведениями и событиями безопасности" (SIEM). Результат: - Правила, разработанные для ответов на основе идентификаторов активов |
XDR Microsoft Defender XDR Microsoft Defender XDR сопоставляет сигналы между несколькими платформами конечных точек, удостоверений, электронной почты, средств совместной работы, приложений и облачной инфраструктуры. Настройте самовосстановление с помощью автоматизированного исследования и реагирования в Microsoft Defender. - Автоматические исследования и ответы на оповещения Microsoft Sentinel, - созданные Sentinel или созданные Sentinel, содержат классифицируемые элементы данных Sentinel в сущности: учетные записи пользователей, узлы, файлы, процессы, IP-адреса, URL-адреса. Используйте страницы сущностей для просмотра сведений о сущностях, анализа поведения и улучшения исследований. - Классификация и анализ данных с помощью сущностей Анализ страниц сущностей - |
Target7.2.5 Базовые показателипользователей и устройствОрганизации DoD разрабатывают подходы к базовым планам пользователей и устройств на основе корпоративных стандартов DoD для соответствующей основы. Атрибуты, используемые в базовой подкладке, извлекаются из корпоративных широких стандартов, разработанных в перекрестной деятельности. Результат. — Определение базовых показателей пользователей и устройств |
Соединители данных Microsoft Sentinel устанавливают базовый план приема данных для Sentinel. Как минимум, включите идентификатор Microsoft Entra и соединители XDR в Microsoft Defender, настройте стандартные правила аналитики и включите аналитику поведения сущностей пользователей (UEBA). - Подключение XDR Defender к Sentinel- Enable UEBA Azure Lighthouse Configure Azure Lighthouse для управления рабочими областями Sentinel в нескольких клиентах. - Расширение Sentinel в рабочих областях и мультитенантных операциях - клиентов для организаций обороны |
7.3 Common security and risk analytics
XDR в Microsoft Defender имеет стандартные обнаружения угроз, аналитику и оповещения. Используйте настраиваемые правила аналитики microsoft Sentinel практически в режиме реального времени для сопоставления, обнаружения и создания оповещений для аномалий в подключенных источниках данных.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target7.3.1 Реализация средстваналитикиОрганизации DoD приобретают и реализуют базовые средства аналитики, ориентированные на кибербезопасность. Разработка аналитики определяется приоритетом на основе рисков и сложности, которые сначала ищут простое влияние на аналитику. Продолжение разработки аналитики сосредоточено на требованиях к столпям, чтобы лучше соответствовать потребностям отчетности. Результаты: - Разработка требований к аналитической среде — приобретение и реализация аналитических средств |
XDR в Microsoft Defender и Microsoft Sentinel Настройте интеграцию XDR и Sentinel в Microsoft Defender. - Microsoft Defender XDR Sentinel и XDR - Defender для нулевого доверия |
Target7.3.2. Установка поведения базовых показателей пользователейИспользование аналитики, разработанной для пользователей и устройств в параллельном действии, базовые показатели устанавливаются в техническом решении. Эти базовые показатели применяются к определенному набору пользователей на основе риска первоначально, а затем расширяются до более крупной базы пользователей DoD Organization. Используемое техническое решение интегрировано с функциями машинного обучения, чтобы начать автоматизацию. Результаты: - Определение пользователей для базовых показателей— создание базовых показателей на основе машинного обучения |
Встроенное автоматическое обнаружение и реагирование на XDR в Microsoft Defender XDR в Microsoft Defender является фронтом обороны. Руководство в основных компонентах пользователей и устройств устанавливает базовое поведение и применяет политики с сигналами XDR Microsoft Defender в Microsoft Intune (соответствие устройств) и условному доступу (риска для устройств и удостоверений). Дополнительные сведения см. в руководстве Майкрософт по использованию пользователей и устройств. Правила аналитики Microsoft Sentinel используют Sentinel для сопоставления событий, обнаружения угроз и активации действий реагирования. Подключите соответствующие источники данных к Sentinel и создайте правила аналитики почти в режиме реального времени для обнаружения угроз во время приема данных. - Обнаружение угроз см. в руководстве Майкрософт по версии 7.2.5. Записные книжки Microsoft Sentinel создают настраиваемые модели машинного обучения для анализа данных Sentinel с помощью записных книжек Jupyter и платформы byO-ML. - BYO-ML в записные книжки Sentinel - Jupyter и MSTICPy |
7.4 Аналитика поведения пользователей и сущностей
XDR в Microsoft Defender и Microsoft Sentinel обнаруживают аномалии с помощью аналитики поведения сущностей пользователей (UEBA). Обнаружение аномалий в Sentinel с помощью правил аналитики Fusion, UEBA и машинного обучения (ML). Кроме того, Sentinel интегрируется с записными книжками Azure (Jupyter Notebook) для создания собственного машинного обучения (BYO-ML) и функций визуализации.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target7.4.1 Базовый план и профилирование Pt1Использование аналитики, разработанной для пользователей и устройств в параллельном действии, создаются общие профили для типичных типов пользователей и устройств. Аналитика, полученная из базовой настройки, обновляется для просмотра больших контейнеров, профилей. Результаты: - Разработка аналитики для обнаружения изменяющихся условий угроз. Определение профилей угроз пользователей и устройств |
XDR в Microsoft Defender посетите портал Microsoft Defender для единого представления инцидентов, оповещений, отчетов и аналитики угроз. Используйте оценку безопасности Майкрософт для оценки и улучшения состояния безопасности. Создайте пользовательские обнаружения для мониторинга и реагирования на события безопасности в XDR в Microsoft Defender. - Портал - Microsoft Defender оценивает состояние безопасности с помощью пользовательских обнаружений оценки безопасности- Microsoft Sentinel с помощью книг для визуализации и мониторинга данных. Создайте пользовательские правила аналитики и включите обнаружение аномалий для выявления и оповещения об изменении условий угроз. - Визуализация и мониторинг пользовательской аналитики данных- для обнаружения аномалий - для обнаружения угроз |
Advanced7.4.2 Базовый план и профилирование Pt2Организации DoD расширяют базовые показатели и профили, чтобы включать неуправляемые и нестандартные типы устройств, включая Интернет вещей (IoT) и операционные технологии (OT) с помощью мониторинга выходных данных. Эти устройства снова профилируются на основе стандартных атрибутов и вариантов использования. Аналитика обновляется, чтобы рассмотреть новые базовые показатели и профили соответственно, обеспечивая дальнейшее обнаружение и реагирование. Конкретные рискованные пользователи и устройства автоматически определяются для повышения уровня мониторинга на основе риска. Обнаружение и реагирование интегрированы с межстраниальными функциями. Результаты. Добавление профилей угроз для устройств Интернета вещей и OT. Разработка и расширение аналитики — расширение профилей угроз отдельным пользователям и устройствам |
Обнаружение и защита неуправляемых устройств в Microsoft Defender XDR с помощью Microsoft Defender для конечной точки. - Клиент обнаружения - устройств подключается к поддержке политик безопасности конечных точек из - управляемых и неуправляемых устройств- , прошедших проверку подлинности сетевого устройства - , неуправляемого устройства Windows, прошедших проверку подлинности в Microsoft Defender для Развертывания Defender для Интернета вещей в операционных технологиях (OT). Defender для Интернета вещей поддерживает мониторинг устройств без агента для облачных, локальных и гибридных сетей OT. Включите режим обучения для базовой среды и подключите Defender для Интернета вещей к Microsoft Sentinel. - Defender для Интернета вещей для организаций - , которые отслеживают базовые показатели мониторинга OT оповещений - - Connect Defender для Интернета вещей с помощью Sentinel - Изучить сущности с помощью страниц сущностей |
Advanced7.4.3 Базовая поддержка UEBA Pt1Аналитика поведения пользователей и сущностей (UEBA) в Организациях DoD расширяет мониторинг для расширенной аналитики, например Машинное обучение (ML). Эти результаты в свою очередь проверяются и передаются обратно в алгоритмы машинного обучения для улучшения обнаружения и реагирования. Результат. — Реализация аналитики на основе машинного обучения для обнаружения аномалий |
Завершите действие 7.3.2. Правилааналитики Microsoft Sentinel используют две модели для создания базовых показателей и обнаружения аномалий, UEBA и машинного обучения. - Обнаруженные аномалии UEBA аномалий UEBA обнаруживают аномалии на основе динамических базовых показателей сущностей. - Включите аномалии машинного обучения UEBA UEBA - аномалии машинного обучения , определяющие необычное поведение с помощью стандартных шаблонов правил аналитики. - Аномалии машинного обучения |
Advanced7.4.4 базовая поддержка UEBA Pt2Аналитика поведения пользователей и сущностей (UEBA) в Организациях DoD завершает свое расширение с помощью традиционных и машинного обучения результатов, которые будут использоваться в алгоритмах искусственного интеллекта (ИИ). Первоначально обнаружения на основе искусственного интеллекта контролируются, но в конечном счете используются расширенные методы, такие как нейронные сети, операторы UEBA не являются частью процесса обучения. Результат. — Реализация аналитики на основе машинного обучения для обнаружения аномалий (защищенных обнаружения ИИ) |
Fusion в Microsoft Sentinel Использует расширенное многоэтапное обнаружение атак в правиле Аналитики Fusion в Sentinel. Fusion — это обученный машинным обучением механизм корреляции, который обнаруживает многоэтапные атаки и расширенные постоянные угрозы (APTs). Он определяет сочетания аномального поведения и подозрительных действий, в противном случае трудно поймать. - Расширенные многофакторные атаки обнаружения записных книжек Microsoft Sentinel создают собственные настраиваемые модели машинного обучения для анализа данных Microsoft Sentinel с помощью записных книжек Jupyter и платформы byO-ML. - BYO-ML в записные книжки Sentinel - Jupyter и MSTICPy |
Интеграция аналитики угроз 7.5
Аналитика угроз Microsoft Defender оптимизирует триз, реагирование на инциденты, охоту на угрозы, управление уязвимостями и аналитику кибер-угроз (CTI) от экспертов по угрозам Майкрософт и других источников. Microsoft Sentinel подключается к Аналитика угроз Microsoft Defender и сторонним источникам CTI.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target7.5.1 Программа аналитики кибер угроз Pt1DoD Enterprise работает с организациями для разработки и политики программы аналитики киберугрышных угроз (CTI), стандартной и обработки. Организации используют эту документацию для разработки групп CTI организации с ключевыми заинтересованными лицами и заинтересованными лицами по задачам. CTI Teams интегрируют общие веб-каналы данных с безопасностью и управлением событиями (SIEM) для улучшения оповещений и реагирования. Интеграции с точками принудительного применения устройств и сети (например, брандмауэрами, наборами безопасности конечных точек и т. д.) создаются для проведения базового мониторинга управляемых данными CTI. Результаты: - Группа по аналитике киберугроз на месте с критически важными заинтересованными лицами — общедоступными и базовыми веб-каналами CTI используются SIEM для оповещения . Основные точки интеграции существуют с точками применения устройств и сети (например, NGAV, NGFW, NGFW, NG-IPS) |
Аналитика угроз Microsoft Defender Connect Defender Threat Intelligence и другие каналы аналитики угроз в Sentinel. - Defender Threat Intelligence включает соединитель данных для платформ аналитики угроз Defender Threat Intelligence- - Connect для сетевых ресурсов Azure Sentinel с Microsoft Sentinel. - Sentinel с брандмауэром - веб-приложения Azure Брандмауэр Azure с Sentinel |
Target7.5.2 Программа аналитики кибер угроз Pt2Организации DoD расширяют свои команды по аналитике киберугрышных угроз (CTI), чтобы включить новых заинтересованных лиц в соответствии с соответствующими требованиям. Веб-каналы данных CTI, прошедшие проверку подлинности, закрытые и контролируемые, интегрируются в системы управления сведениями и событиями безопасности (SIEM) и применяются из основных элементов управления устройствами, пользователями, сетями и данными. Результаты: - Группа по аналитике киберугроз на месте с расширенными заинтересованными лицами в соответствии с соответствующих требованиям. Контролируемый и частный веб-канал используются SIEM и другими соответствующими средствами аналитики для оповещения и мониторинга . Интеграция выполняется для расширенных точек применения в устройствах, пользователях, сети и данных (UEBA, UAM) |
Соединители данных Microsoft Sentinel управляют сетевыми ресурсами в Azure с помощью REST API. Создайте базовую интеграцию с точками применения сети с помощью сборников схем Sentinel и Logic Apps. - Ответ на угрозы операций - REST виртуальной сети с сборниками схем Sentinel найти сборники схем для других точек применения сети в репозитории сборников схем Sentinel. - Сборники схем Sentinel в GitHub |
7.6 Автоматические динамические политики
Стек безопасности Майкрософт использует машинное обучение (ML) и искусственный интеллект (ИИ) для защиты удостоверений, устройств, приложений, данных и инфраструктуры. При использовании XDR и условного доступа в Microsoft Defender обнаружение машинного обучения устанавливает совокупные уровни риска для пользователей и устройств.
Используйте риск устройства, чтобы пометить устройство как несоответствующее. Уровень риска идентификации позволяет организациям требовать методы проверки подлинности, устойчивые к фишингу, соответствующие устройства, увеличение частоты входа и многое другое. Используйте условия риска и элементы управления условным доступом для применения автоматических политик динамического доступа.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
AdvancedСетевой доступс поддержкой ИИ 7.6.1Организации DoD используют профили инфраструктуры SDN и корпоративной безопасности, чтобы включить управляемый искусственным интеллектом (ИИ)/Машинное обучение (ML). Аналитика из предыдущих действий используется для обучения алгоритмов искусственного интеллекта и машинного обучения для улучшения принятия решений. Результат: - Сетевой доступ основан на использовании искусственного интеллекта на основе аналитики среды |
Автоматическое нарушение атак XDR в Microsoft Defender XDR ограничивает боковое перемещение. Это действие снижает влияние атаки программы-шантажистов. Исследователи по безопасности Майкрософт используют модели искусственного интеллекта для противодействия сложным атакам с помощью XDR Defender. Решение сопоставляет сигналы с инцидентами высокой достоверности для выявления и хранения атак в режиме реального времени. - Нарушения защиты сети в фильтр SmartScreen в Microsoft Defender и веб-защите расширяются в операционной системе для блокировки атак и управления (C2).- Защитите сетевой- искусственный интеллект, чтобы нарушить работу программ-шантажистов с помощью Microsoft Sentinel использовать Брандмауэр Azure для визуализации действий брандмауэра, обнаружения угроз с помощью возможностей исследования ИИ, сопоставления действий и автоматизации действий реагирования. - Брандмауэр Azure с Sentinel |
Advanced7.6.2. Динамические контроль доступаDoD организации используют динамический доступ на основе предыдущего правила для обучения алгоритмов искусственного интеллекта (ИИ)/Машинное обучение (ML) для принятия решения о доступе к различным ресурсам. Алгоритмы действий с поддержкой искусственного интеллекта обновляются, чтобы обеспечить более широкое принятие решений для всех DAAS. Результат: - JIT/JEA интегрированы с ИИ |
Условный доступ требует Microsoft Defender для конечной точки уровня риска компьютера в политике соответствия Microsoft Intune. Используйте условия соответствия устройств и Защита идентификации Microsoft Entra риска в политиках условного доступа. - Политики соответствия политик - доступа на основе рисков для задания правил для управляемых устройств Intune управление привилегированными пользователями Использовать уровень риска защиты идентификации и сигналы соответствия устройств для определения контекста проверки подлинности для привилегированного доступа. Требовать контекст проверки подлинности для запросов PIM для принудительного применения политик для JIT-доступа. См. руководство Майкрософт 7.6.1 в этом разделе и 1.4.4 в user. |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD:
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика