Freigeben über

DoD-Zero Trust-Strategie für den Sichtbarkeits- und Analysepfeiler

Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

7 Sichtbarkeit und Analysen

Dieser Abschnitt enthält Empfehlungen und Leitlinien für Zero-Trust-Aktivitäten des DoD in der Säule für Sichtbarkeit und Analysen. Weitere Informationen finden Sie unter Visibility, Automation und Orchestrierung mit Zero Trust.

7.1 Protokollieren des gesamten Datenverkehrs

Microsoft Sentinel ist ein skalierbares, cloudeigenes SIEM-System (Security Security Information Event Management). Zudem ist Sentinel eine Lösung für die Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR), um große Datenmengen aus verschiedenen Quellen zu verarbeiten. Sentinel-Datenconnectors erfassen Daten von Benutzern, Geräten, Anwendungen und Infrastrukturen, sowohl lokal als auch in mehreren Clouds.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Target 7.1.1 Skalierungsüberlegungen
DoD-Organisationen führen Analysen durch, um aktuelle und zukünftige Anforderungen der Skalierung zu ermitteln. Die Skalierung wird nach gängigen bewährten Methoden der Branche und ZT-Säulen analysiert. Das Team arbeitet mit vorhandenen Gruppen für die Planung der Geschäftskontinuität (Business Continuity Planning, BCP) und Planung der Notfallwiederherstellung (Disaster Recovery Planning, DPR) zusammen, um die Anforderungen verteilter Umgebungen in Notfällen und im Zuge des Organisationswachstums zu ermitteln.

Ergebnisse:
- Ausreichende Infrastruktur an Ort und Stelle
- Verteilte Umgebung eingerichtet
- Ausreichende Bandbreite für Netzwerkdatenverkehr		 Microsoft Sentinel
Sentinel verwendet einen Log Analytics Arbeitsbereich zum Speichern von Sicherheitsprotokolldaten für die Analyse. Log Analytics ist eine Plattform als Service (PaaS) in Azure. Es gibt keine Infrastruktur, die verwaltet oder erstellt werden muss.
- Workspace-Architektur
- Beste Praktiken für Workspace-Architektur
- Reduzieren Sie die Kosten für Sentinel

Azure Monitor Agent
Streamen Sie Protokolle mithilfe des Azure Monitor Agent für virtuelle Computer (VMs), Netzwerkgeräte vor Ort und in anderen Clouds.
- Windows-Sicherheitsereignisse mit AMA
- Streamen von Protokollen im CEF- und Syslog-Format
- Daten-Sammlung
- Azure Monitor Agent-Leistungsbenchmark
- Skalierbare Erfassung

Netzwerkinfrastruktur
Stellen Sie sicher, dass die Netzwerkinfrastruktur die Bandbreitenanforderungen für Microsoft 365 und die cloudbasierte Sicherheitsüberwachung für lokale Server erfüllt.
- Microsoft 365 Netzwerkkonnektivität
- Netzwerkplanung und Leistungsoptimierung
- Azure ExpressRoute
- Netzwerkanforderungen für den verbundenen Maschinen-Agenten

Business Continuity Management in Azure
Azure verfügt über ausgereifte Programme für das Business Continuity Management in mehreren Branchen. Überprüfen Sie die Geschäftskontinuitätsverwaltung und die Aufteilung der Zuständigkeiten.
- Verwaltung der
- GeschäftskontinuitätZuverlässigkeitsleitfaden
7.1.2 Log ParsingDoD-Organisationen identifizieren und priorisieren Log- und Flussquellen (z. B. Firewalls, Endpoint Detection & Response, Active Directory, Switches, Router usw.) und entwickeln einen Plan, um zuerst Protokolle mit hoher Priorität und dann Protokolle mit niedriger Priorität zu sammeln. Ein offenes Protokollformat nach Branchenstandard wird auf der DoD-Unternehmensebene mit den Organisationen vereinbart und in zukünftigen Beschaffungsanforderungen implementiert. Bestehende Lösungen und Technologien werden kontinuierlich zu diesem Format migriert.

Ergebnisse:
- Standardisierte Protokollformate
- Regeln, die für jedes Protokollformat entwickelt wurden		 Microsoft Sentinel-Datenkonnektoren
Verbinden Sie relevante Datenquellen mit Microsoft Sentinel. Aktivieren und konfigurieren Sie Analyseregeln. Datenconnectors verwenden standardisierte Protokollformate.
- Überwachen Sie Zero Trust Sicherheitsarchitekturen
- Erstellen Sie benutzerdefinierte Sentinel-Connectors
- Logs Ingestion API in Azure Monitor

Siehe Microsoft-Anleitung 6.2.2 in Automation und Orchestration.

Standardisieren Sie das Logging mit dem Common Event Format (CEF), einem Branchenstandard, der von Sicherheitsanbietern für die Ereignisinteroperabilität zwischen Plattformen verwendet wird. Verwenden Sie Syslog für Systeme, die Protokolle im CEF-Format nicht unterstützen.
- CEF mit Azure Monitor Connector für Sentinel
- Syslog- und CEF-Nachrichten mit Azure Monitor an Sentinel senden

Verwenden Sie das Advanced Security Information Model (ASIM) (Öffentliche Vorschau), um Daten aus mehreren Quellen mit einem normierten Schema zu sammeln und anzuzeigen.
- ASIM zum Normalisieren von Daten
Target 7.1.3 Protokollanalyse
Allgemeine Benutzer- und Geräteaktivitäten werden anhand des Risikos identifiziert und priorisiert. Für Aktivitäten, die als am einfachsten und riskantesten eingestuft wurden, werden Analysen mit unterschiedlichen Datenquellen wie Protokollen erstellt. Trends und Muster werden basierend auf den gesammelten Analysen entwickelt, um Aktivitäten über längere Zeiträume hinweg zu überwachen.

Ergebnisse:
- Analyse pro Aktivität
entwickeln- Identifizieren von zu analysierenden Aktivitäten		 Aktivität 7.1.2 abschließen.

Microsoft Defender XDR
Microsoft Defender XDR ist eine einheitliche Unternehmensverteidigungssuite für Vor- und Nach Sicherheitsvorfälle, die Erkennung, Prävention, Untersuchung und Reaktion nativ über Endpunkte, Identitäten, E-Mail und Anwendungen hinweg koordiniert. Verwenden Sie Defender XDR, um vor komplexen Angriffen zu schützen und darauf zu reagieren.
- Untersuchen Sie Warnmeldungen
- Zero Trust mit Defender XDR
- Defender XDR für US-Regierung

Microsoft Sentinel
Entwickeln Sie benutzerdefinierte Analyseabfragen und visualisieren Sie gesammelte Daten mithilfe von Arbeitsmappen.
- Benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen
- Visualisieren Sie gesammelte Daten

7.2 Sicherheitsinformations- und Ereignismanagement

Microsoft Defender XDR und Microsoft Sentinel zusammenarbeiten, um Sicherheitsbedrohungen zu erkennen, zu warnen und darauf zu reagieren. Microsoft Defender XDR erkennt Bedrohungen über Microsoft 365, Identitäten, Geräte, Anwendungen und Infrastruktur hinweg. Defender XR generiert Warnungen im Microsoft Defender-Portal. Verbinden Sie Warnungen und Rohdaten von Microsoft Defender XDR mit Sentinel, und verwenden Sie erweiterte Analyseregeln, um Ereignisse zu korrelieren und Vorfälle für Warnungen mit hoher Genauigkeit zu generieren.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Target 7.2.1 Bedrohungswarnung Pt1
DoD-Organisationen nutzen vorhandene SIEM-Lösung (Security Information and Event Management), um grundlegende Regeln und Warnungen für häufige Bedrohungsereignisse (Schadsoftware, Phishing usw.) zu entwickeln. Warnungen und/oder Regelfeuerungen werden zur Automatisierung von Antworten in die parallele Aktivität "Asset ID & Alert Correlation" eingespeist.

Ergebnis:
- Regeln, die für die Bedrohungskorrelation entwickelt wurden		 Microsoft Defender XDR
Microsoft Defender XDR verfügt über Warnungen für Bedrohungen, die auf mehreren Plattformendpunkten, Identitäten, E-Mails, Tools für die Zusammenarbeit, Anwendungen und Cloudinfrastruktur erkannt wurden. Die Plattform aggregiert verwandte Warnungen automatisch in Vorfälle, um die Sicherheitsüberprüfung zu optimieren.
- Investigate alerts

Microsoft Sentinel Analyseregeln
Enable Standardanalyseregeln für verbundene Datenquellen und erstellen benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen in Sentinel.

See Microsoft guidance in 7.1.3.
Target 7.2.2 Bedrohungswarnung Pt2
DoD-Organisationen erweitern bedrohungswarnungen in der SIEM-Lösung (Security Information and Event Management), um Datenfeeds (Cyber Threat Intelligence, CTI) einzuschließen. Abweichungs- und Anomalieregeln werden in der SIEM-Lösung entwickelt, um komplexe Bedrohungen zu erkennen.

Ergebnis:
- Analyse entwickeln, um Abweichungen zu erkennen		 Microsoft Sentinel Bedrohungsinformationen
Verbinden Sie Cyber-Bedrohungsinformationen (CTI)-Feeds mit Sentinel.
- Bedrohungsinformationen

Siehe Microsoft-Leitfäden 6.7.1 und 6.7.2 in Automatisierung und Orchestrierung.

Microsoft Sentinel-Lösungen
Verwenden Sie Analyseregeln und Arbeitsmappen im Microsoft Sentinel-Inhaltsknoten.
- Sentinel-Inhalte und Lösungen

Microsoft Sentinel Analyseregeln
Erstellen Sie geplante Analyseregeln, um Abweichungen zu erkennen, Vorfälle zu erstellen und Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktionsmaßnahmen (SOAR) auszulösen.
- Benutzerdefinierte Analyseregeln zur Erkennung von Bedrohungen
Advanced 7.2.3 Bedrohungswarnung Pt3
Bedrohungswarnungen werden um erweiterte Datenquellen wie Extended Detection & Response (XDR), User & Entity Behavior Analytics (UEBA) und Benutzeraktivitätsüberwachung (UAM) erweitert. Mithilfe dieser erweiterten Datenquellen werden verbesserte Anomalie- und Mustererkennungen entwickelt.

Ergebnisse:
- Identifizieren des Auslösens von anomalen Ereignissen
– Implementieren einer Auslösenden Richtlinie		 Microsoft Sentinel-Datenconnectors
Verbinden Sie Microsoft Defender XDR mit Sentinel, um Warnungen, Vorfälle und Rohdaten zu aggregieren.
- Defender XDR mit Sentinel verbinden

Microsoft Sentinel anpassbare Anomalien
Verwenden Sie Microsoft Sentinel anpassbare Anomalievorlagen, um Rauschen mit Anomalieerkennungsregeln zu reduzieren
- Anpassbare Anomalien zum Erkennen von Bedrohungen

Fusion in Microsoft Sentinel
Die Fusion-Engine korreliert Warnungen für erweiterte mehrstufige Angriffe.
- Fusion-Modulerkennungen

Siehe Microsoft Leitfaden 6.4.1 in Automatisierung und Orchestrierung.
Target 7.2.4 Bestands-ID und Warnungskorrelation
DoD-Organisationen entwickeln grundlegende Korrelationsregeln mithilfe von Bestands- und Warnungsdaten. Die Reaktion auf häufige Bedrohungsereignisse (z. B. Schadsoftware, Phishing usw.) wird innerhalb der SIEM-Lösung automatisiert.

Ergebnis:
- Regeln, die für Ressourcen-ID-basierte Antworten entwickelt wurden		 Microsoft Defender XDR
Microsoft Defender XDR korreliert Signale über mehrere Plattformendpunkte, Identitäten, E-Mails, Tools für die Zusammenarbeit, Anwendungen und Cloudinfrastruktur hinweg. Konfigurieren von Self-Healing mit den automatisierten Untersuchungs- und Antwortfunktionen von Microsoft Defender.
- Microsoft Defender XDR
- Automatisierte Untersuchung und Reaktion

Microsoft Sentinel-Entitäten
Alarme, die von Sentinel gesendet oder von Sentinel generiert werden, enthalten Datenelemente, die Sentinel in Entitäten klassifiziert: Benutzerkonten, Hosts, Dateien, Prozesse, IP-Adressen, URLs. Verwenden Sie Entitätsseiten, um Entitätsinformationen anzuzeigen, Das Verhalten zu analysieren und Untersuchungen zu verbessern.
- Klassifizieren und Analysieren von Daten mithilfe von Entitäten
- Untersuchen von Entitätsseiten
Target 7.2.5 Benutzer-/Gerätebasispläne
DoD-Organisationen entwickeln Benutzer- und Gerätebasislinienansätze basierend auf DoD-Enterprise-Standards für die entsprechende Säule. Die in der Basislinienerstellung verwendeten Attribute werden aus den unternehmensweiten Standards gezogen, die bei säulenübergreifenden Aktivitäten entwickelt wurden.

Ergebnis:
- Identifizieren von Benutzer- und Gerätebasislinien		 Microsoft Sentinel-Datenconnectors
Richten Sie eine Datenaufnahmegrundlage für Sentinel ein. Schließen Sie mindestens Microsoft Entra ID und Microsoft Defender XDR-Verbindungen ein, konfigurieren Sie Standardanalyseregeln, und aktivieren Sie die Benutzerentitätsverhaltensanalyse (UEBA).
- Defender XDR mit Sentinel verbinden
- UEBA aktivieren

Azure Lighthouse
Konfigurieren Sie Azure Lighthouse zum Verwalten von Sentinel-Arbeitsbereichen über mehrere Mandanten hinweg.
- Sentinel über Arbeitsbereiche und Mandanten hinweg erweitern
- Multimandantenbetrieb für Verteidigungsorganisationen

7.3 Allgemeine Sicherheits- und Risikoanalysen

Microsoft Defender XDR verfügt über standardmäßige Bedrohungserkennungen, Analysen und Warnungen. Verwenden Sie Microsoft Sentinel anpassbare Echtzeitanalyseregeln, um Warnungen für Anomalien in verbundenen Datenquellen zu korrelieren, zu erkennen und zu generieren.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Target 7.3.1 Implementieren von Analysetools
DoD-Organisationen beschaffen und implementieren grundlegende Cyber-fokussierte Analysetools. Die Entwicklung von Analysen wird basierend auf dem Risiko und der Komplexität priorisiert, um zunächst Analysen zu ermitteln, die sowohl einfach als auch wirkungsvoll sind. Die weitere Entwicklung von Analysen konzentriert sich auf die Anforderungen der Säule, um die Anforderungen an die Berichterstellung besser zu erfüllen.

Ergebnisse:
- Entwickeln von Anforderungen für die Analyseumgebung
– Beschaffen und Implementieren von Analysetools

 Microsoft Defender XDR und Microsoft Sentinel
Configure-Integration von Microsoft Defender XDR und Sentinel.
- Microsoft Defender XDR
- Sentinel und Defender XDR für Zero Trust
Target 7.3.2 Benutzerverhaltensgrundlagen einrichten
Um die in einer parallelen Aktivität für Benutzer und Geräte entwickelte Analyse auszunutzen, werden Grundlinien in einer technischen Lösung etabliert. Diese Baselines werden zunächst basierend auf dem Risiko auf eine identifizierte Gruppe von Benutzern angewendet und anschließend auf die größere Benutzerbasis der DoD-Organisation ausgeweitet. Die verwendete technische Lösung ist in die Machine Learning-Funktionalität integriert, um mit der Automatisierung zu beginnen.

Ergebnisse:
- Identifizierung von Benutzern für Grundlinien
- ML-basierte Grundlinien festlegen		 Microsoft Defender XDR
Microsoft Defender XDR integrierte automatisierte Erkennung und Reaktion ist eine Verteidigungslinie. Die Anleitungen in den Säulen "Benutzer" und "Gerät" legen das grundlegende Verhalten fest und erzwingen Richtlinien mit Microsoft Defender XDR Signalen in Microsoft Intune (Gerätecompliance) und bedingtem Zugriff (Gerätecompliance und Identitätsrisiko).

Siehe Microsoft-Anleitungen in Benutzer und Gerät.

Microsoft Sentinel-Analyseregeln
Verwenden Sie Sentinel, um Ereignisse zu korrelieren, Bedrohungen zu erkennen und Reaktionen auszulösen. Verbinden Sie relevante Datenquellen mit Sentinel, und erstellen Sie Nah-Echtzeit-Analyseregeln, um Bedrohungen während der Datenaufnahme zu erkennen.
- Bedrohungen erkennen

Siehe Microsoft-Anleitung in 7.2.5.

Microsoft Sentinel-Notizbücher
Erstellen Sie benutzerdefinierte ML-Modelle, um Sentinel-Daten mithilfe von Jupyter-Notizbüchern und der Bring-Your-Own-Machine-Learning (BYO-ML)-Plattform zu analysieren.
- BYO-ML in Sentinel integrieren
- Jupyter-Notizbücher und MSTICPy

7.4 Analyse des Nutzer- und Entitätsverhaltens (UEBA)

Microsoft Defender XDR und Microsoft Sentinel Anomalien mithilfe von Benutzerentitätsverhaltensanalysen (UEBA) erkennen. Erkennen Sie Anomalien in Sentinel mit Fusion-, UEBA- und Machine Learning (ML)-Analyseregeln. Außerdem integriert sich Sentinel mit Azure Notizbüchern (Jupyter Notebook) für bring-your-own-Machine-Learning (BYO-ML) und Visualisierungsfunktionen.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Target 7.4.1 Baseline and Profiling Pt1
Unter Verwendung der Analysen, die für Benutzer und Geräte in einer parallelen Aktivität entwickelt wurden, werden allgemeine Profile für typische Benutzer- und Gerätetypen erstellt. Bei der Baselineerstellung durchgeführte Analysen werden aktualisiert, um größere Container und Profile zu untersuchen.

Ergebnisse:
- Entwickeln Sie Analysen, um sich ändernde Bedrohungsbedingungen
zu erkennen– Identifizieren von Benutzer- und Gerätebedrohungsprofilen		 Microsoft Defender XDR
Besuchen Sie das Microsoft Defender-Portal für eine einheitliche Ansicht von Vorfällen, Warnungen, Berichten und Bedrohungsanalysen. Verwenden Sie Microsoft Secure Score, um den Sicherheitsstatus zu bewerten und zu verbessern. Erstellen von benutzerdefinierten Erkennungen zum Überwachen und Reagieren auf Sicherheitsereignisse in Microsoft Defender XDR.
- Microsoft Defender Portal
- Assess Sicherheitsstatus mit Sicherheitsbewertung
- Custom-Erkennungen

Microsoft Sentinel
Arbeitsmappen zum Visualisieren und Überwachen von Daten verwenden. Erstellen Sie benutzerdefinierte Analyseregeln, und aktivieren Sie die Anomalieerkennung, um bedrohungsverändernde Bedingungen zu identifizieren und zu benachrichtigen.
- Visualisieren und Überwachen von Daten
- Benutzerdefinierte Analysen zum Erkennen von Bedrohungen
- Anpassen von Anomalien zum Erkennen von Bedrohungen
Advanced 7.4.2 Baseline and Profiling Pt2
DoD-Organisationen erweitern Baselines und Profile, um nicht verwaltete und nicht standardmäßige Gerätetypen einschließlich Internet of Things (IoT) und Operational Technology (OT) durch Datenausgabeüberwachung einzuschließen. Für diese Geräte werden dann basierend auf standardisierten Attributen und Anwendungsfällen erneut Profile erstellt. Analysen werden entsprechend den neuen Baselines und Profilen aktualisiert, wodurch weitere Erkennungen und Reaktionen aktiviert werden. Spezifische riskante Benutzer und Geräte werden basierend auf dem Risiko automatisch für eine verstärkte Überwachung priorisiert. Erkennung und Reaktion werden in säulenübergreifende Funktionen integriert.

Ergebnisse:
- Hinzufügen von Bedrohungsprofilen für IoT- und OT-Geräte
- Entwickeln und Erweitern von Analysen
- Erweitern von Bedrohungsprofilen auf einzelne Benutzer und Geräte		 Microsoft Defender XDR
Entdecken und sichern Sie nicht verwaltete Geräte mit Microsoft Defender for Endpoint.
- Geräteerkennung
- Mandantenanbindung zur Unterstützung von Endpunktsicherheitsrichtlinien über Intune
- Sichere verwaltete und nicht verwaltete Geräte
- Authentifizierte Netzwerkgerätescans
- Authentifizierte Scans für nicht verwaltete Windows-Geräte

Microsoft Defender for IoT
Defender for IoT-Sensoren in Betriebstechnologie (OT)-Netzwerken bereitstellen. Defender for IoT unterstützt die Geräteüberwachung ohne Agents für Cloud-, lokale und hybride OT-Netzwerke. Aktivieren Sie den Lernmodus für eine Basislinie Ihrer Umgebung, und verbinden Sie Defender für IoT mit Microsoft Sentinel.
- Defender für IoT für Organisationen
- OT-Überwachung
- Erlernte Basislinie von OT-Warnungen
- Verbinden Sie Defender für IoT mit Sentinel
- Untersuchen Sie Entitäten mit Entitätsseiten
Advanced 7.4.3 UEBA Baseline Support Pt1
User and Entity Behavior Analytics (UEBA) in DoD-Organisationen erweitert die Überwachung auf erweiterte Analysen wie Machine Learning (ML). Diese Ergebnisse werden wiederum überprüft und in die ML-Algorithmen eingespeist, um die Erkennung und Reaktion zu verbessern.

Ergebnis:
- Implementieren von ML-basierten Analysen zur Erkennung von Anomalien		 Aktivität 7.3.2 abschließen.

Microsoft Sentinel Analyseregeln
Sentinel verwendet zwei Modelle, um Baselines zu erstellen und Anomalien zu erkennen: UEBA und maschinelles Lernen.
- Erkannte Anomalien

UEBA-Anomalien
UEBA erkennt Anomalien basierend auf dynamischen Entitäts-Baselines.
- UEBA aktivieren
- UEBA-Anomalien

Maschinelles Lernen Anomalien
ML-Anomalien identifizieren ungewöhnliches Verhalten mit Standardanalyseregelvorlagen.
- ML-Anomalien
Advanced 7.4.4 UEBA Baseline Support Pt2
User & Entity Behavior Analytics (UEBA) in DoD-Organisationen schließt seine Erweiterung durch die Nutzung von herkömmlichen und ML-basierten Ergebnissen ab, die in KI-Algorithmen (Künstliche Intelligenz) eingespeist werden. Anfänglich werden KI-basierte Erkennungen überwacht, durch die Verwendung fortschrittlicher Techniken wie neuronaler Netzwerke sind UEBA-Operatoren letztendlich jedoch nicht Teil des Lernprozesses.

Ergebnis:
- Implementieren von ML-basierten Analysen zum Erkennen von Anomalien (überwachte KI-Erkennungen)		 Fusion in Microsoft Sentinel
Verwenden Sie die fortschrittliche mehrstufige Angriffserkennung in der Fusion-Analyse-Regel in Sentinel. Fusion ist eine mit ML trainierte Korrelations-Engine, die mehrstufige Angriffe und komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Es identifiziert Kombinationen von anomalem Verhalten und verdächtigen Aktivitäten, die ansonsten schwer zu erkennen sind.
- Erweiterte mehrstufige Angriffserkennung

Microsoft Sentinel-Notebooks
Erstellen Sie Ihre eigenen angepassten ML-Modelle, um Microsoft Sentinel-Daten mit Jupyter-Notizbüchern und der Bring-Your-Own-Machine-Learning (BYO-ML)-Plattform zu analysieren.
- BYO-ML in Sentinel
- Jupyter-Notizbücher und MSTICPy

7.5 Bedrohungsinformationen-Integration

Microsoft Defender Threat Intelligence optimiert die Priorisierung, das Vorfallreaktionsmanagement, die Bedrohungsjagd, die Sicherheitsrisikoverwaltung sowie die Cyber Threat Intelligence (CTI) von Microsoft-Bedrohungsexperten sowie anderen Quellen. Microsoft Sentinel stellt eine Verbindung mit Microsoft Defender Threat Intelligence- und CTI-Quellen von Drittanbietern dar.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Target 7.5.1 Cyber Threat Intelligence Program Pt1
Das DoD Enterprise arbeitet mit den Organisationen zusammen, um Programmrichtlinien, Standard und Prozess für Cyber Threat Intelligence (CTI) zu entwickeln und zu verarbeiten. Organisationen nutzen diese Dokumentation, um innerhalb der Organisation CTI-Teams mit wichtigen Projektbeteiligten für die Mission/Aufgabe zu bilden. CTI-Teams integrieren allgemeine Datenfeeds in die SIEM-Lösung, um die Warnungen und Reaktionen zu verbessern. Integrationen in Geräte- und Netzwerkerzwingungspunkte (z. B. Firewalls, Suites für Endpunktsicherheit usw.) werden erstellt, um eine grundlegende Überwachung von CTI-gesteuerten Daten durchzuführen.

Ergebnisse:
- Das Cyber Threat Intelligence-Team ist in Verbindung mit wichtigen Interessengruppen
vorhanden– Öffentliche und baseline CTI-Feeds werden von SIEM für Warnungen
verwendet– Grundlegende Integrationspunkte sind mit Geräte- und Netzwerkerzwingungspunkten vorhanden (z. B. NGAV, NGFW, NG-IPS)		 Microsoft Defender Threat Intelligence
Verbinden Sie Defender Threat Intelligence und andere Bedrohungsinformations-Feeds mit Sentinel.
- Defender Threat Intelligence
- Aktivieren Sie den Datenanschluss für Defender Threat Intelligence
- Verbinden Sie Bedrohungsinformationsplattformen mit Sentinel

Azure Netzwerk
Integrieren Sie Netzwerkressourcen in Microsoft Sentinel.
- Sentinel mit Azure-Webanwendungs-Firewall
- Azure Firewall mit Sentinel
Target 7.5.2 Cyber Threat Intelligence Program Pt2
DoD-Organisationen erweitern ihre CTI-Teams (Cyber Threat Intelligence), um neue Projektbeteiligte entsprechend einzubeziehen. Authentifizierte, private und kontrollierte CTI-Datenströme werden in SIEM-Systeme sowie Durchsetzungspunkte aus den Säulen "Gerät," "Benutzer," "Netzwerk" und "Daten" integriert.

Ergebnisse:
- Das Cyber Threat Intelligence-Team wurde mit erweiterten Stakeholdern nach Bedarf eingerichtet
- Kontrollierte und private Feeds werden für Warnungen und Überwachung von SIEM und anderen geeigneten Analysetools genutzt
- Die Integration ist für erweiterte Erzwingungspunkte innerhalb der Säulen "Gerät", "Benutzer", "Netzwerk" und "Daten" (UEBA, UAM) vorhanden		 Microsoft Sentinel-Daten-Connectoren
Verwalten Sie Netzwerkressourcen in Azure mit der REST-API. Einrichten einer grundlegenden Integration mit Netzwerkerzwingungspunkten mithilfe von Sentinel-Playbooks und Logic Apps.
- REST-Operationen für virtuelle Netzwerke
- Bedrohungsantwort mit Sentinel-Playbooks

Finden von Playbooks für andere Netzwerkerzwingungspunkte im Sentinel-Playbook-Repository.
- Sentinel-Playbooks in GitHub

7.6 Automatisierte dynamische Richtlinien

Der Microsoft-Sicherheitsstapel verwendet maschinelles Lernen (ML) und künstliche Intelligenz (KI), um Identitäten, Geräte, Anwendungen, Daten und Infrastruktur zu schützen. Mit Microsoft Defender XDR und bedingtem Zugriff legen ML-Erkennungen aggregierte Risikostufen für Benutzer und Geräte fest.

Verwenden Sie das Geräterisiko, um ein Gerät als nicht konform zu kennzeichnen. Die Identitätsrisikostufe ermöglicht es Organisationen, Phishing-beständige Authentifizierungsmethoden, konforme Geräte, eine höhere Anmeldehäufigkeit und mehr zu verlangen. Verwenden Sie Risikobedingungen und Steuerungen für bedingten Zugriff, um automatisierte, dynamische Zugriffsrichtlinien zu erzwingen.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft
Advanced 7.6.1 AI-Enabled Netzwerkzugriff
DoD-Organisationen nutzen die SDN-Infrastruktur und Unternehmenssicherheitsprofile, um durch Künstliche Intelligenz (KI)/Machine Learning (ML) gesteuerten Netzwerkzugriff zu ermöglichen. Analysen aus früheren Aktivitäten werden verwendet, um die KI-/ML-Algorithmen zum Verbessern der Entscheidungsfindung zu trainieren.

Ergebnis:
- Netzwerkzugriff ist KI-gesteuert basierend auf Umgebungsanalysen		 Microsoft Defender XDR
Automatische Angriffsunterbrechungen in Microsoft Defender XDR, die die Lateralbewegung einschränken. Diese Aktion reduziert die Auswirkungen eines Ransomwareangriffs. Microsoft Security-Forscher verwenden KI-Modelle, um komplexen Angriffen mit Defender XDR entgegenzuwirken. Die Lösung korreliert Signale zu Vorfällen mit hoher Vertrauenswürdigkeit, um Angriffe in Echtzeit zu erkennen und einzudämmen.
- Angriffsunterbrechungen

Die Schutzfunktionen in Microsoft Defender SmartScreen und Webschutz erweitern sich auf das Betriebssystem, um Befehls- und Steuerungsangriffe (C2) zu blockieren.
- Schutz für Ihr Netzwerk
- KI zur Unterbrechung von menschlich betriebenem Ransomware)

Microsoft Sentinel
Verwenden Sie Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Reaktionsmaßnahmen.
- Azure Firewall mit Sentinel
Advanced 7.6.2 AI-fähige dynamische Zugriffskontrolle
DoD-Organisationen nutzen den regelbasierten dynamischen Zugriff als Basis, um Algorithmen für Künstliche Intelligenz (AI) und maschinelles Lernen (ML) zu lehren, Zugriffsentscheidungen für verschiedene Ressourcen zu treffen. Die Aktivitätsalgorithmen für den KI-fähigen Netzwerkzugriff werden aktualisiert, um eine umfassendere Entscheidungsfindung für alle DAAS zu ermöglichen.

Ergebnis:
- JIT/JEA sind in KI integriert		 Conditional Access
Erfordern die Computerrisikostufe von Microsoft Defender für Endpunkt in der Microsoft Intune-Konformitätsrichtlinie. Verwenden Sie Gerätekompatibilität und Microsoft Entra ID Protection-Risikobedingungen in Richtlinien für bedingten Zugriff.
- Risikobasierte Zugriffsrichtlinien
- Compliance-Richtlinien zur Festlegung von Regeln für von Intune verwaltete Geräte

Verwaltetes Identitätsmanagement für privilegierte Aktionen
Verwenden Sie das Risikoniveau der Identitätsschutz und Gerätekonformitätssignale, um einen Authentifizierungskontext für privilegierten Zugriff zu definieren. Fordern Sie den Authentifizierungskontext für PIM-Anforderungen an, um Richtlinien für den Just-In-Time-Zugriff (Just-In-Time, JIT) zu erzwingen.

Siehe Microsoft Guidance 7.6.1 in diesem Abschnitt und 1.4.4 in User.

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie:

  • Last updated on