DoD Zero Trust Strategie für die Automatisierungs- und Orchestrierungssäule

Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

6 Automatisierung und Orchestrierung

Dieser Abschnitt enthält Richtlinien und Empfehlungen für DoD-Zero-Trust-Maßnahmen im Automatisierungs- und Orchestrierungspfeiler. Weitere Informationen finden Sie unter Visibility, Automation und Orchestrierung mit Zero Trust.

6.1 Entscheidungspunkte für Richtlinien (Policy Decision Point, PDP) und Richtlinienorchestrierung

Microsoft Sentinel bietet Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) durch cloudbasierte Ressourcen. Automatisieren Sie die Erkennung und Reaktion auf Cyberangriffe. Sentinel ist in Microsoft Entra ID-, Microsoft Defender XDR-, Microsoft 365-, Azure- und Nicht-Microsoft-Plattformen integriert. Diese erweiterbaren Integrationen ermöglichen Sentinel, Maßnahmen zur Cybersicherheitserkennung und -reaktion plattformübergreifend zu koordinieren und die Effektivität und Effizienz von Sicherheitsvorgängen zu erhöhen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.1.1 Policy Inventory & Development Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um vorhandene Cybersicherheitsrichtlinien und -standards zu katalogisieren und zu inventarisieren. Richtlinien werden bei Bedarf als säulenübergreifende Aktivitäten aktualisiert und erstellt, um wichtige Zero Trust-Zielfunktionen zu erfüllen. Ergebnisse: - Richtlinien wurden in Bezug auf geltende Compliance und Risiken gesammelt (z. B. RMF, NIST) - Richtlinien wurden auf fehlende Säulen und Funktionen pro ZTRA überprüft- Fehlende Richtlinienbereiche werden aktualisiert, um die Funktionen pro ZTRA zu erfüllen.	Microsoft Purview Compliance ManagerVerwenden Sie den Microsoft Purview Compliance Manager, um die Einhaltung von Vorschriften in einer Multicloud-Umgebung zu bewerten und zu verwalten.Compliance ManagerAzure, Dynamics 365, Microsoft PurviewMulticloud-UnterstützungMicrosoft Defender for CloudVerwenden Sie die Funktionen zur Einhaltung gesetzlicher Vorschriften von Defender for Cloud, um die Einhaltung der Azure-Policy-Initiativen in einer Multicloud-Umgebung anzuzeigen und zu verbessern.Verbesserung der Einhaltung gesetzlicher VorschriftenFedRAMP High Einhaltung gesetzlicher VorschriftenNIST SP 800-53 Rev. 5 Einhaltung gesetzlicher VorschriftenCMMC Einhaltung gesetzlicher VorschriftenMicrosoft SentinelDer Sentinel-Inhaltshub verfügt über Lösungen zum Visualisieren und Messen des Fortschritts mit domänenspezifischen Sicherheitsanforderungen.Sentinel Content Hub-KatalogDoD ZT Sentinel-ArbeitsmappeNIST SP 800-53 Lösung
`Target` 6.1.2 Organisationszugriffsprofil DoD-Organisationen entwickeln grundlegende Zugriffsprofile für Mission/Aufgabe und Nicht-Mission/Aufgabe DAAS-Zugriff mithilfe der Daten aus den Säulen "Benutzer", "Daten", "Netzwerk" und "Geräte". Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um ein Unternehmenssicherheitsprofil mithilfe der vorhandenen Organisationssicherheitsprofile zu entwickeln, um einen gemeinsamen Ansatz für den DAAS-Zugriff zu erstellen. Ein stufenweiser Ansatz kann in Organisationen verwendet werden, um das Risiko auf den missions-/aufgabenkritischen DAAS-Zugriff zu beschränken, sobald die Sicherheitsprofile erstellt wurden. Ergebnisse: - Organisationsweite Profile(n) werden erstellt, um den Zugriff auf DAAS mithilfe von Funktionen aus den Säulen "Benutzer", "Daten", "Netzwerk" und "Gerät" zu ermitteln. Der anfängliche Enterprise-Profilzugriffsstandard wird für den Zugriff auf DAAS entwickelt– Wenn möglich nutzt das Organisationsprofil(n) die verfügbaren Unternehmensdienste in den Säulen "Benutzer", "Daten", "Netzwerk" und "Gerät"	Bedingter Zugriff Definieren Sie standardisierte DoD-Richtliniensätze mit bedingtem Zugriff. Schließen Sie Authentifizierungsstärke, Gerätecompliance sowie Benutzer- und Anmelderisikosteuerungen ein. - Bedingter Zugriff
`Target` 6.1.3 Enterprise Security Profile Pt1 Das Unternehmenssicherheitsprofil deckt zunächst die Säulen "Benutzer", "Daten", "Netzwerk" und "Geräte" ab. Vorhandene Sicherheitsprofile der Organisation sind für nicht-missions-/aufgabenbezogenen DAAS-Zugriff integriert. Ergebnisse: - Unternehmensprofil(e) werden erstellt, um mit den Funktionen der Säulen Benutzer, Daten, Netzwerk und Gerät auf DAAS zuzugreifen. - Nicht missions-/aufgabenkritische Organisationsprofile werden mit einem standardisierten Ansatz in die Unternehmensprofile integriert.	Führen Sie Aufgabe 6.1.2 aus. Microsoft Graph API Verwenden Sie die Microsoft Graph-API, um Richtlinien für bedingten Zugriff, mandantenübergreifende Zugriffseinstellungen und andere Microsoft Entra-Konfigurationseinstellungen zu verwalten und bereitzustellen. - Programmgesteuerter Zugriff - Mandantenübergreifende Zugriffseinstellungen-API - Graph-Features und -Dienste
`Advanced` 6.1.4 Enterprise Security Profile Pt2 Die Mindestanzahl an Unternehmenssicherheitsprofilen existiert, um Zugang zur breitesten Palette von DAAS innerhalb der DoD-Organisationen zu gewähren. Missions-/aufgabenbasierte Organisationsprofile sind in die Unternehmenssicherheitsprofile integriert, und für die Ausnahmenverwaltung werden risikobasierte methodische Ansätze genutzt. Ergebnisse: - Enterprise-Profile(n) wurden reduziert und vereinfacht, um eine breite Palette von Zugriff auf DAAS zu unterstützen– Wenn geeignete Mission/Task Critical Profile(n) integriert wurden und unterstützte Organisationsprofile als Ausnahme betrachtet werden	Bedingter Zugriff Verwenden Sie die Insights für bedingten Zugriff und die Berichtsarbeitsmappe, um zu sehen, wie sich Richtlinien für bedingten Zugriff auf Ihre Organisation auswirken. Kombinieren Sie Richtlinien soweit möglich. Ein vereinfachter Richtliniensatz erleichtert die Verwaltung, die Problembehandlung und das Testen neuer Funktionen für den bedingten Zugriff. Sie können Vorlagen für bedingten Zugriff verwenden, um einfachere Richtlinien zu erstellen. - Einblicke und Berichte - Vorlagen Verwenden Sie das What If-Tool und den Modus "Nur Bericht", um neue Richtlinien zu behandeln und auszuwerten. - Problembehandlung für bedingten Zugriff - Modus "Nur Bericht" Verringern Sie die Abhängigkeit Ihrer Organisation von vertrauenswürdigen Netzwerkstandorten. Verwenden Sie Länder-/Regionenstandorte, die durch GPS-Koordinaten oder IP-Adressen bestimmt werden, um Standortbedingungen in Richtlinien für bedingten Zugriff zu vereinfachen. - Standortbedingungen Benutzerdefinierte Sicherheitsattribute Verwenden Sie benutzerdefinierte Sicherheitsattribute und Anwendungsfilter in Richtlinien für bedingten Zugriff, um die Sicherheitsatributautorisierung zu beschränken, die Anwendungsobjekten wie Vertraulichkeit zugewiesen ist. - Benutzerdefinierte Sicherheitsattribute - Nach Apps filtern

6.2 Automatisierung kritischer Prozesse

Microsoft Sentinel Automatisierung führt Aufgaben aus, die normalerweise von Sicherheitsanalysten der Stufe 1 erledigt werden. Automatisierungsregeln verwenden Azure Logic Apps, um detaillierte, automatisierte Workflows zu entwickeln, die Sicherheitsvorgänge verbessern. Beispiel: Anreicherung von Vorfällen: Verknüpfen mit externen Datenquellen, um schädliche Aktivitäten zu erkennen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.2.1 Aufgabenautomatisierungsanalyse DoD-Organisationen identifizieren und enumerieren alle Aufgabenaktivitäten, die sowohl manuell als auch automatisiert ausgeführt werden können. Aufgabenaktivitäten sind in automatisierte und manuelle Kategorien unterteilt. Manuelle Aktivitäten werden im Hinblick auf mögliche Stilllegung untersucht. Ergebnisse: - Automatisierte Vorgänge werden identifiziert - Aufgaben werden aufgezählt - Richtlinieninventar und -entwicklung	Complete activity 6.1.1. Azure Resource Manager Use ARM templates and Azure Blueprints, um Bereitstellungen mit Infrastructure-as-Code (IaC) zu automatisieren. - ARM templates - Azure Blueprints Azure Policy Organisieren Sie Azure-Policy-Zuweisungen mithilfe ihrer Initiativdefinitionen. - Azure Policy - Initiative definition Microsoft Defender for Cloud Einsatz von Verteidigungsstandards und Benchmark für Cloud. - Sicherheitsstandards zuweisen Microsoft Entra ID Governance Definieren Sie Kataloge für Zugriffspakete, um Standards für die Zuweisung und Überprüfung von Zugriffspaketen festzulegen. Entwickeln von Identitätslebenszyklus-Workflows mithilfe von Azure Logic Apps zum Automatisieren von Eintritts-, Wechsel- und Austrittsprozessen sowie anderen automatisierbaren Aufgaben. - Ressourcen für Berechtigungsverwaltung - Externer Benutzerzugriff - Bereitstellung von Zugriffsüberprüfungen - Erstellen von Lebenszyklus-Workflows
`Target` 6.2.2 Enterprise Integration & Workflow Provisioning Pt1 Das DoD-Unternehmen richtet grundlegende Integrationen innerhalb der Security Orchestration, Automation and Response Solution (SOAR) ein, die erforderlich ist, um die ZTA-Funktionalität auf Zielebene zu aktivieren. DoD-Organisationen identifizieren Integrationspunkte und priorisieren wichtige Punkte entsprechend der DoD-Unternehmensbaseline. Kritische Integrationen finden zusammen mit wichtigen Diensten statt, die Wiederherstellungs- und Schutzfunktionen ermöglichen. Ergebnisse: - Implementieren vollständiger Unternehmensintegrationen – Identifizieren wichtiger Integrationen – Identifizieren von Wiederherstellungs- und Schutzanforderungen	Microsoft Sentinel Verbinden Sie relevante Datenquellen mit Sentinel, um Analyseregeln zu aktivieren. Einschließen von Connectors für Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, Sicherheitsereignisse mit Azure Monitor Agent (AMA) und anderen API-, Syslog- oder Common Event Format (CEF)-Datenquellen. - Sentinel-Datenconnectors - UEBA in Sentinel Microsoft Defender XDR Konfigurieren Sie Integrationen bereitgestellter Microsoft Defender XDR-Komponenten und verbinden Sie Microsoft Defender XDR mit Sentinel. - Daten von Defender XDR mit Sentinel verbinden Siehe Microsoft-Leitfaden 2.7.2 in Device. Verwenden Sie Defender XDR, um nach Bedrohungen zu suchen, diese zu untersuchen, zu warnen und darauf zu reagieren - Automatisierte Untersuchung und Reaktion
`Advanced` 6.2.3 Enterprise-Integration und Workflowbereitstellung Pt2 DoD-Organisationen integrieren verbleibende Dienste, um grundlegende Anforderungen und erweiterte ZTA-Funktionalitätsanforderungen entsprechend der Jeweiligen Umgebung zu erfüllen. Die Dienstbereitstellung wird in Workflows integriert und automatisiert, wo dies zur Erfüllung der ZTA-Zielfunktionen erforderlich ist. Ergebnisse: - Identifizierte Dienste – Dienstbereitstellung wird implementiert	Microsoft Defender XDR Microsoft Defender XDR schützt Identitäten, Geräte, Daten und Anwendungen. Verwenden Sie Defender XDR zum Konfigurieren von Komponentenintegrationen - XDR-Toolsetup - Defender XDR-Korrekturen Microsoft Sentinel Verbinden neuer Datenquellen mit Sentinel und Aktivieren von Standard- und benutzerdefinierten Analyseregeln. - SOAR in Sentinel

6.3 Maschinelles Lernen

Microsoft Defender XDR und Microsoft Sentinel verwenden künstliche Intelligenz (AI), maschinelles Lernen (ML) und Bedrohungsintelligenz, um erweiterte Bedrohungen zu erkennen und darauf zu reagieren. Verwenden Sie Integrationen von Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection und bedingtem Zugriff, um Risikosignale zu verwenden, um adaptive Zugriffsrichtlinien zu erzwingen.

Erfahren Sie mehr über den Microsoft-Sicherheitsstapel und maschinelles Lernen, Vorbereitung auf den Security Copilot in US-Regierungs-Clouds.

DoD-Aktivitätsbeschreibung und Ergebnis Informationen und Empfehlungen von Microsoft

Target 6.3.1 Implementieren von Tools für maschinelles Lernen zur Datenkennzeichnung und Klassifizierung
DoD-Organisationen nutzen vorhandene Standards und Anforderungen für Datentagging und Klassifizierung, um Lösungen für maschinelles Lernen nach Bedarf zu erwerben. Machine-Learning-Lösung(en) werden in Organisationen implementiert und vorhandene kategorisierte und klassifizierte Daten-Repositories werden verwendet, um Basiswerte zu etablieren. Bei Lösungen für maschinelles Lernen werden Datentags mit Überwachung angewendet, um die Analyse kontinuierlich zu verbessern.

Ergebnis:
- Implementierte Datentagging- und Klassifizierungstools sind in ML-Tools integriert Microsoft Purview
Konfigurieren Sie die automatisierte Kennzeichnung in Microsoft Purview für die Dienstseite (Microsoft 365), die Clientseite (Microsoft Office-Apps) und in der Microsoft Purview Datenkarte.
- Empfindlichkeitsdatenetiketten in der Datenkarte

Siehe Microsoft-Anleitung 4.3.4 und 4.3.5 in Daten.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.3.1 Implementieren von Tools für maschinelles Lernen zur Datenkennzeichnung und Klassifizierung DoD-Organisationen nutzen vorhandene Standards und Anforderungen für Datentagging und Klassifizierung, um Lösungen für maschinelles Lernen nach Bedarf zu erwerben. Machine-Learning-Lösung(en) werden in Organisationen implementiert und vorhandene kategorisierte und klassifizierte Daten-Repositories werden verwendet, um Basiswerte zu etablieren. Bei Lösungen für maschinelles Lernen werden Datentags mit Überwachung angewendet, um die Analyse kontinuierlich zu verbessern. Ergebnis: - Implementierte Datentagging- und Klassifizierungstools sind in ML-Tools integriert	Microsoft Purview Konfigurieren Sie die automatisierte Kennzeichnung in Microsoft Purview für die Dienstseite (Microsoft 365), die Clientseite (Microsoft Office-Apps) und in der Microsoft Purview Datenkarte. - Empfindlichkeitsdatenetiketten in der Datenkarte Siehe Microsoft-Anleitung 4.3.4 und 4.3.5 in Daten.

6.4 Künstliche Intelligenz

Microsoft Defender XDR und Microsoft Sentinel verwenden künstliche Intelligenz (AI), maschinelles Lernen (ML) und Bedrohungsintelligenz, um erweiterte Bedrohungen zu erkennen und darauf zu reagieren. Integrationen zwischen Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection und bedingtem Zugriff helfen Ihnen bei der Verwendung von Risikosignalen zum Erzwingen adaptiver Zugriffsrichtlinien.

Erfahren Sie mehr über den Microsoft-Sicherheitsstapel und KI, Vorbereitung auf den Security Copilot in US-Regierungs-Clouds.

DoD-Aktivitätsbeschreibung und Ergebnis Informationen und Empfehlungen von Microsoft

Advanced 6.4.1 Implementieren von KI-Automatisierungstools
DoD-Organisationen identifizieren Verbesserungsbereiche basierend auf vorhandenen maschinellen Lerntechniken für künstliche Intelligenz. KI-Lösungen werden anhand der identifizierten Bereiche als Anforderungen identifiziert, beschafft und implementiert.

Ergebnisse:
- Entwicklung von KI-Toolanforderungen
– Beschaffen und Implementieren von KI-Tools Fusion in Microsoft Sentinel
Fusion ist eine erweiterte Multistage-Angriffserkennungsregel in Sentinel. Fusion ist ein ML-trainiertes Korrelationsmodul, das mehrstufige Angriffe oder komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Es identifiziert anomales Verhalten und verdächtige Aktivitäten, die andernfalls schwer zu erfassen wären. Vorfälle sind Low-Volume, High-Fidelity, und hochschwere.
- Erweiterte mehrstufige Angriffserkennung
- Anpassbare Anomalien
- Analyseregeln zur Anomalieerkennung

Microsoft Entra ID Protection
Identity Protection verwendet ML-Algorithmen (Machine Learning), um identitätsbasierte Risiken zu erkennen und zu beheben. Aktivieren Sie Microsoft Entra ID Protection, um Richtlinien für bedingten Zugriff im Hinblick auf Benutzer- und Anmelderisiko zu erstellen.
- Microsoft Entra ID Protection
- Konfigurieren und Aktivieren von Risikorichtlinien

Azure DDoS Protection
Azure DDoS Protection verwendet intelligente Datenverkehrsprofilierung, um den Anwendungsdatenverkehr besser zu verstehen und das Profil anzupassen, sobald sich der Datenverkehr ändert.
- Azure DDoS Protection

Advanced 6.4.2 AI Driven by Analytics entscheidet über A&O-Änderungen
DoD-Organisationen, die vorhandene maschinelle Lernfunktionen nutzen, implementieren und verwenden KI-Technologien wie neuronale Netzwerke, um Automatisierungs- und Orchestrierungsentscheidungen voranzutreiben. Die Entscheidungsfindung wird so weit wie möglich von der KI übernommen, sodass Mitarbeitende mehr Kapazitäten für andere Tätigkeiten haben. Anhand von Verlaufsmustern nimmt die KI antizipative Änderungen in der Umgebung vor, um das Risiko effektiver zu mindern.

Ergebnis:
- KI kann Änderungen an automatisierten Workflowaktivitäten vornehmen Microsoft Sentinel
Aktivieren Sie Analyse-Regeln, um fortgeschrittene mehrstufige Angriffe mit Fusion und UEBA-Anomalien in Microsoft Sentinel zu erkennen. Entwerfen Sie Automatisierungsregeln und Playbooks für die Sicherheitsantwort.

Siehe Microsoft-Anleitungen in 6.2.3 und 6.4.1.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Advanced` 6.4.1 Implementieren von KI-Automatisierungstools DoD-Organisationen identifizieren Verbesserungsbereiche basierend auf vorhandenen maschinellen Lerntechniken für künstliche Intelligenz. KI-Lösungen werden anhand der identifizierten Bereiche als Anforderungen identifiziert, beschafft und implementiert. Ergebnisse: - Entwicklung von KI-Toolanforderungen – Beschaffen und Implementieren von KI-Tools	Fusion in Microsoft Sentinel Fusion ist eine erweiterte Multistage-Angriffserkennungsregel in Sentinel. Fusion ist ein ML-trainiertes Korrelationsmodul, das mehrstufige Angriffe oder komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Es identifiziert anomales Verhalten und verdächtige Aktivitäten, die andernfalls schwer zu erfassen wären. Vorfälle sind Low-Volume, High-Fidelity, und hochschwere. - Erweiterte mehrstufige Angriffserkennung - Anpassbare Anomalien - Analyseregeln zur Anomalieerkennung Microsoft Entra ID Protection Identity Protection verwendet ML-Algorithmen (Machine Learning), um identitätsbasierte Risiken zu erkennen und zu beheben. Aktivieren Sie Microsoft Entra ID Protection, um Richtlinien für bedingten Zugriff im Hinblick auf Benutzer- und Anmelderisiko zu erstellen. - Microsoft Entra ID Protection - Konfigurieren und Aktivieren von Risikorichtlinien Azure DDoS Protection Azure DDoS Protection verwendet intelligente Datenverkehrsprofilierung, um den Anwendungsdatenverkehr besser zu verstehen und das Profil anzupassen, sobald sich der Datenverkehr ändert. - Azure DDoS Protection
`Advanced` 6.4.2 AI Driven by Analytics entscheidet über A&O-Änderungen DoD-Organisationen, die vorhandene maschinelle Lernfunktionen nutzen, implementieren und verwenden KI-Technologien wie neuronale Netzwerke, um Automatisierungs- und Orchestrierungsentscheidungen voranzutreiben. Die Entscheidungsfindung wird so weit wie möglich von der KI übernommen, sodass Mitarbeitende mehr Kapazitäten für andere Tätigkeiten haben. Anhand von Verlaufsmustern nimmt die KI antizipative Änderungen in der Umgebung vor, um das Risiko effektiver zu mindern. Ergebnis: - KI kann Änderungen an automatisierten Workflowaktivitäten vornehmen	Microsoft Sentinel Aktivieren Sie Analyse-Regeln, um fortgeschrittene mehrstufige Angriffe mit Fusion und UEBA-Anomalien in Microsoft Sentinel zu erkennen. Entwerfen Sie Automatisierungsregeln und Playbooks für die Sicherheitsantwort. Siehe Microsoft-Anleitungen in 6.2.3 und 6.4.1.

6.5 Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)

Microsoft Defender XDR verfügt über Erkennungs- und Reaktionsfunktionen mit standardmäßigen und anpassbaren Erkennungen. Erweitern Sie die Funktion, indem Sie Microsoft Sentinel Analyseregeln verwenden, um Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktionsaktionen (SOAR) mit Azure Logic Apps auszulösen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.5.1 Analyse der Reaktionsautomatisierung DoD-Organisationen identifizieren und aufzählen alle Reaktionsaktivitäten, die sowohl manuell als auch automatisiert ausgeführt werden. Reaktionsaktivitäten sind in automatisierte und manuelle Kategorien unterteilt. Manuelle Aktivitäten werden im Hinblick auf mögliche Stilllegung untersucht. Ergebnis: - Automatierbare Reaktionsaktivitäten werden identifiziert - Reaktionsaktivitäten werden aufgezählt	Microsoft Defender XDR Microsoft Defender XDR verfügt über automatische und manuelle Reaktionsaktionen für Datei- und Gerätevorfälle. - Incidents in Defender XDR
`Target` 6.5.2 Implementieren von SOAR-Tools DoD-Unternehmen, das mit Organisationen arbeitet, entwickelt einen Standardsatz an Anforderungen für die Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR)-Tools, um ZTA-Funktionen auf Zielebene zu ermöglichen. DoD-Organisationen verwenden genehmigte Anforderungen zum Beschaffen und Implementieren der SOAR-Lösung. Grundlegende Infrastrukturintegrationen für zukünftige SOAR-Funktionen werden abgeschlossen. Ergebnisse: - Entwickeln von Anforderungen für SOAR-Tool - Beschaffen des SOAR-Tools	Microsoft Defender XDR Verwenden Sie die Standardreaktionsmöglichkeiten von Microsoft Defender XDR. Siehe Microsoft-Richtlinie 6.5.1. Microsoft Sentinel Sentinel verwendet Azure Logic Apps für SOAR-Funktionalität. Erstellen Sie mit Logic Apps automatisierte Workflows mit wenig bis zu keinem Code, und führen Sie sie aus. Verwenden Sie Logic Apps, um eine Verbindung mit Ressourcen außerhalb Microsoft Sentinel herzustellen und damit zu interagieren. - Playbooks mit Automatisierungsregeln - Bedrohungsreaktionen mit Playbooks automatisieren
`Advanced` 6.5.3 Implementieren von Playbooks DoD-Organisationen überprüfen alle vorhandenen Playbooks, um geeignete für die zukünftige Automatisierung zu identifizieren. Noch fehlende Playbooks für vorhandene manuelle und automatisierte Prozesse werden entwickelt. Playbooks werden priorisiert für die Integration der Automatisierung in automatisierte Workflows, die kritische Prozesse abdecken. Manuelle Prozesse ohne Playbooks werden mit einem risikobasierten methodischen Ansatz autorisiert. Ergebnisse: - Wenn möglich, Playbooks basierend auf den Fähigkeiten automatisierter Workflows automatisieren. - Manuelle Playbooks werden entwickelt und implementiert.	Überprüfen Sie die aktuellen Sicherheitsprozesse und verwenden Sie bewährte Verfahren im Microsoft Cloud Adoption Framework (CAF). Erstellen und passen Sie Playbooks an, um SOAR-Funktionen zu erweitern. Beginnen Sie mit Sentinel playbook templates. - Security operations - SOC Process Framework - Playbooks aus Vorlagen

6.6 API-Standardisierung

Microsoft Graph API verfügt über eine Standardschnittstelle für die Interaktion mit Microsoft-Clouddiensten. Azure API Management können APIs schützen, die von Ihrer Organisation gehostet werden.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.6.1 Analyse der Compliance-Tools Automatisierungs- und Orchestrierungstools und -lösungen werden basierend auf dem programmgesteuerten Schnittstellenstandard und den Anforderungen von DoD Enterprise auf Compliance und Funktionen analysiert. Weitere Tools oder Lösungen werden identifiziert, um die programmgesteuerten Schnittstellenstandards und -anforderungen zu unterstützen. Ergebnisse: - Der API-Status wird ermittelt, ob er den API-Standards entspricht oder nicht entspricht - Zu verwendende Werkzeuge werden identifiziert	Microsoft Graph Security-API Microsoft Defender, Microsoft Sentinel und Microsoft Entra haben dokumentierte APIs. - Sicherheits-API - Arbeiten mit Microsoft Graph - Identitätsschutz-APIs Befolgen Sie die besten Praktiken für APIs, die von Ihrer Organisation entwickelt wurden. - Anwendungsprogrammierschnittstelle - RESTful-Web-API-Design
`Target` 6.6.2 Standardisierte API-Aufrufe und Schemas Pt1 Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um bei Bedarf eine programmgesteuerte Schnittstelle (z. B. API) und Anforderungen einzurichten, um Ziel-ZTA-Funktionen zu ermöglichen. DoD-Organisationen aktualisieren programmgesteuerte Schnittstellen auf den neuen Standard und beauftragen neu erworbene/entwickelte Tools, um den neuen Standard zu erfüllen. Tools, die den Standard nicht erfüllen können, werden durch Ausnahmen im Rahmen eines risikobasierten methodischen Ansatzes zugelassen. Ergebnisse: - Anfängliche Aufrufe und Schemas werden implementiert – Nicht kompatible Tools werden ersetzt.	Complete-Aktivität 6.6.1. Azure API Management Verwenden Sie Azure API Management als ein API-Gateway, um mit APIs zu kommunizieren und ein konsistentes Zugriffsschema für verschiedene APIs zu erstellen. - Azure API Management Azure Automatisierungswerkzeuge Orchestrieren Sie Zero Trust Aktionen mit Azure Automatisierungswerkzeugen. - Integration und Automatisierung in Azure
`Target` 6.6.3 Standardisierte API-Aufrufe und Schemas Pt2 DoD-Organisationen schließen die Migration zum neuen programmgesteuerten Schnittstellenstandard ab. Tools, die in der vorherigen Aktivität für die Außerbetriebnahme gekennzeichnet wurden, werden eingestellt, und Funktionen werden zu modernisierten Tools migriert. Genehmigte Schemas werden basierend auf Standards/Anforderungen des DoD-Unternehmens übernommen. Ergebnis: - Alle Aufrufe und Schemas werden implementiert	Microsoft Sentinel Verwenden Sie Sentinel als Orchestrierungsmodul, um Aktionen in den in diesem Dokument zitierten Automatisierungstools auszulösen und auszuführen. - Automatisieren Sie die Bedrohungsreaktion mit Playbooks

6.7 Security Operations Center (SOC) und Reaktion auf Vorfälle (Incident Response, IR)

Microsoft Sentinel ist eine Fallverwaltungslösung zum Untersuchen und Verwalten von Sicherheitsvorfällen. Um Sicherheitsreaktionsaktionen zu automatisieren, verbinden Sie Bedrohungserkennungslösungen, stellen Sentinel-Lösungen bereit, ermöglichen UEBAs (User Entity Behavior Analytics) und erstellen Playbooks mit Azure Logic Apps.

Erfahren Sie, wie Sie die SOC-Reife erhöhen, siehe Sentinel-Vorfalluntersuchung und Fallverwaltung.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target` 6.7.1 Workflowanreicherung Pt1 DoD Enterprise arbeitet mit Organisationen zusammen, um einen Standard für die Reaktion auf Cybersicherheitsvorfälle mithilfe bewährter Methoden wie NIST einzurichten. DoD-Organisationen verwenden den Unternehmensstandard, um Workflows zur Reaktion auf Vorfälle zu bestimmen. Externe Quellen für die Anreicherung, die künftig integriert werden sollen, werden identifiziert. Ergebnisse: – Bedrohungsereignisse werden identifiziert – Workflows für Bedrohungsereignisse werden entwickelt	Microsoft Sentinel-Datenconnectors Bereichern Sie Sentinel-Workflows, indem Sie Microsoft Defender Threat Intelligence mit Sentinel verbinden. - Datenconnector für Defender Threat Intelligence Microsoft Sentinel-Lösungen Verwenden Sie Sentinel-Lösungen, um die bewährten Verfahren der Branche zu überprüfen. - NIST 800-53-Lösung - Lösung CMMS 2.0 - DoD ZT Sentinel-Arbeitsmappen - Sentinel-Inhalte und -Lösungen
`Target` 6.7.2 Workflowanreicherung Pt2 DoD-Organisationen identifizieren und richten erweiterte Workflows für zusätzliche Vorfallreaktionstypen ein. Datenquellen für die erste Anreicherung werden für bestehende Workflows verwendet. Zusätzliche Quellen für die Anreicherung, die künftig integriert werden sollen, werden identifiziert. Ergebnisse: - Workflows für Advanced Threat-Ereignisse werden entwickelt – Advanced Threat-Ereignisse werden identifiziert	Microsoft Sentinel Verwenden Sie die erweiterte mehrstufige Angriffserkennung in Fusion und UEBA-Anomalie-Erkennungs-Analyse-Regeln in Microsoft Sentinel, um automatisierte Sicherheitsreaktions-Playbooks auszulösen. Siehe Microsoft Leitfaden 6.2.3 und 6.4.1 in diesem Abschnitt. Um Sentinel-Workflows zu bereichern, verbinden Sie Microsoft Defender Threat Intelligence und andere Bedrohungsintelligenz-Plattformlösungen mit Microsoft Sentinel. - Verbinden von Bedrohungsintelligenzplattformen mit Sentinel - Verbinden Sie Sentinel mit STIX-/TAXII-Bedrohungsinformationsfeeds Siehe Microsoft Leitfaden 6.7.1.
`Advanced` 6.7.3 Workflowanreicherung Pt3 DoD-Organisationen verwenden endgültige Anreicherungsdatenquellen für grundlegende und erweiterte Workflows zur Bedrohungsreaktion. Ergebnisse: - Anreicherungsdaten wurden identifiziert - Anreicherungsdaten werden in Workflows integriert	Microsoft Sentinel Entitäten hinzufügen, um die Ergebnisse der Bedrohungserkennung in Sentinel zu verbessern. - Aufgaben zum Verwalten von Vorfällen in Sentinel - Entitäten mit Geolokalisierungsdaten anreichern Untersuchungsworkflows anreichern und Vorfälle in Sentinel verwalten. - Aufgaben zum Verwalten von Vorfällen in Sentinel - Entitäten mit Geolokalisierungsdaten anreichern
`Advanced` 6.7.4 Automatisierter Workflow DoD-Organisationen konzentrieren sich auf die Automatisierung von Security Orchestration, Automation und Response (SOAR)-Funktionen und Playbooks. Manuelle Prozesse innerhalb von Security Operations werden nach Möglichkeit identifiziert und vollständig automatisiert. Verbleibende manuelle Prozesse werden nach Möglichkeit außer Betrieb genommen oder mit einem risikobasierten Ansatz als Ausnahme gekennzeichnet. Ergebnisse: - Workflowprozesse sind vollständig automatisiert - Manuelle Prozesse wurden identifiziert - Verbleibende Prozesse werden als Ausnahmen markiert und dokumentiert.	Microsoft Sentinel Playbooks Sentinel Playbooks basieren auf Logic Apps, einem Clouddienst, der Aufgaben und Workflows in Unternehmenssystemen plant, automatisiert und koordiniert. Erstellen Sie Playbooks für die Reaktion anhand von Vorlagen, und stellen Sie Lösungen aus dem Sentinel Content Hub bereit. Erstellen Sie benutzerdefinierte Analyseregeln und Antwortaktionen mit Azure Logic Apps. - Sentinel-Playbooks aus Vorlagen - Automatisieren Sie die Bedrohungsreaktion mit Playbooks - Sentinel-Inhaltshub-Katalog - Azure Logic Apps

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie:

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-26