Estrategia de Zero Trust del DoD para la automatización y la orquestación

El DoD Zero Trust Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Zero Trust. Zero Trust elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Zero Trust en el DoD Zero Trust Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Zero Trust doD.

Use los vínculos siguientes para ir a las secciones de la guía.

6 Automatización y orquestación

En esta sección se incluyen orientaciones y recomendaciones de Microsoft para las actividades de Zero Trust del DoD en el pilar de automatización y orquestación. Para más información, consulte visibilidad, automatización y orquestación con Zero Trust.

6.1 Punto de decisión de directiva (PDP) y orquestación de directivas

Microsoft Sentinel tiene orquestación de seguridad, automatización y respuesta (SOAR) a través de recursos basados en la nube. Automatice la detección y las respuestas a los ciberataques. Sentinel se integra con Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure y plataformas que no son de Microsoft. Estas integraciones extensibles permiten a Sentinel coordinar las acciones de detección y respuesta de ciberseguridad en todas las plataformas, lo que aumenta la eficacia de las operaciones de seguridad.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.1.1 Inventario y desarrollo de directivasLa empresa DoD funciona con las organizaciones para catalogar e inventariar las directivas y estándares de ciberseguridad existentes. Las políticas se actualizan y crean en actividades inter-pilares según sea necesario para satisfacer la funcionalidad crítica del objetivo de "Confianza Cero". Resultados: - Las directivas se han recopilado en referencia al cumplimiento y el riesgo aplicables (por ejemplo, RMF, NIST): las directivas se han revisado en busca de pilares y funcionalidades que faltan por las ZTRA : las áreas que faltan de directivas se actualizan para satisfacer las funcionalidades por ZTRA.	Microsoft Purview Compliance ManagerUse Microsoft Purview Compliance Manager para evaluar y administrar el cumplimiento en un entorno multinube.Compliance Manager Azure, Dynamics 365, Microsoft PurviewSoporte multinubeMicrosoft Defender for CloudUsa las funciones de cumplimiento normativo de Defender for Cloud para ver y mejorar el cumplimiento de las iniciativas de Azure Policy en un entorno multinube.Mejorar el cumplimiento normativoFedRAMP High Cumplimiento NormativoCumplimiento Normativo NIST SP 800-53 Rev. 5Cumplimiento CMMCMicrosoft SentinelEl centro de contenido de Sentinel tiene soluciones para visualizar y medir el progreso con requisitos de seguridad específicos del dominio.Catálogo del centro de contenido de SentinelLibro Sentinel DoD ZTSolución NIST SP 800-53
`Target` 6.1.2 Perfil de acceso de la organización Las organizaciones del DoD desarrollan perfiles de acceso básicos para el acceso a DAAS para tareas de misión y no misión utilizando los datos de los pilares de Usuario, Datos, Red y Dispositivo. La empresa del DoD trabaja con las organizaciones para desarrollar un perfil de seguridad empresarial mediante los perfiles de seguridad de la organización existentes para crear un enfoque de acceso común a DAAS. Se puede usar un enfoque por fases en las organizaciones para limitar el riesgo del acceso DAAS crítico para misiones o tareas una vez que se crean los perfiles de seguridad. Resultados: - Los perfiles con ámbito de la organización se crean para determinar el acceso a DAAS mediante funcionalidades de los pilares usuario, datos, red y dispositivo: el estándar de acceso de perfil empresarial inicial se desarrolla para el acceso a DAAS : cuando sea posible, los perfiles de organización usan servicios empresariales disponibles en los pilares Usuario, Datos, Red y Dispositivo	Acceso Condicional Defina conjuntos de políticas DoD estandarizadas con acceso condicional. Incluya la fuerza de autenticación, el cumplimiento de dispositivos, así como los controles de riesgo de usuario e inicio de sesión. - Acceso condicional
`Target` 6.1.3 Perfil de seguridad empresarial Pt1 El perfil de Seguridad empresarial abarca inicialmente los pilares Usuario, Datos, Red y Dispositivo. Los perfiles de seguridad de la organización existentes se integran para el acceso DAAS que no sea de misión/tarea a continuación. Resultados: - Los perfiles de empresa se crean para acceder a DAAS mediante del usuario, los datos, la red y los pilares de dispositivo: los perfiles de organización críticos para tareas y no de misión se integran con los perfiles empresariales mediante un enfoque estandarizado.	Completa la actividad 6.1.2. Microsoft Graph API Utiliza Microsoft Graph API para administrar e implementar directivas de acceso condicional, opciones de acceso entre inquilinos y otras opciones de configuración de Microsoft Entra. - Acceso programático - API de configuración de acceso entre tenantes - Características y servicios de Graph
`Advanced` 6.1.4 Perfil de seguridad empresarial Pt2 Existe el número mínimo de perfiles de seguridad empresarial que conceden acceso a la gama más amplia de DAAS en los pilares de las organizaciones de DoD. Los perfiles de la organización para la misión y la tarea se integran con los perfiles de seguridad empresarial y las excepciones se administran en un enfoque metódico basado en riesgos. Resultados: - Los perfiles de empresa se han reducido y simplificado para admitir una amplia gama de acceso a DAAS. - Donde sea apropiado, los perfiles de misión/tarea crítica se han integrado y admitido; los perfiles de organización se consideran la excepción.	Acceso Condicional Use la información sobre acceso condicional y el libro de informes para ver cómo afectan las directivas de acceso condicional a su organización. Si es posible, combine directivas. Un conjunto de directivas simplificado facilita la administración, la solución de problemas y las pruebas de nuevas características de acceso condicional. Puede usar plantillas de acceso condicional para simplificar las directivas. - Conclusiones e informes - Plantillas Use la herramienta What If y el modo de solo informe para solucionar problemas y evaluar nuevas directivas. - Solución de problemas de acceso condicional - Modo de solo informe . Reduzca la dependencia de la organización en las ubicaciones de red de confianza. Use ubicaciones de país o región determinadas por coordenadas GPS o dirección IP para simplificar las condiciones de ubicación en las directivas de acceso condicional. - Condiciones de ubicaciónAtributos de seguridad personalizados Use atributos de seguridad personalizados y filtros de aplicación en las directivas de acceso condicional para definir el ámbito de la autorización de atributo de seguridad asignada a los objetos de aplicación, como la confidencialidad. - Atributos de seguridad personalizados - Filtrado de aplicaciones

6.2 Automatización de procesos críticos

La automatización de Microsoft Sentinel ejecuta tareas que normalmente son llevadas a cabo por analistas de seguridad de nivel 1. Las reglas de automatización usan Azure Logic Apps, para ayudarle a desarrollar flujos de trabajo detallados y automatizados que mejoran las operaciones de seguridad. Por ejemplo, el enriquecimiento de incidentes: enlazar con fuentes de datos externas para detectar actividad malintencionada.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.2.1 Análisis de automatización de tareas. Las organizaciones DoD identifican y enumeran todas las actividades de tareas que se pueden ejecutar manualmente y de forma automatizada. Las actividades de tareas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultados: - Las tareas automatizables se identifican : las tareas se enumeran : inventario de directivas y desarrollo	Actividad 6.1.1. Azure Resource Manager Use plantillas de ARM y Azure Blueprints para automatizar las implementaciones usando infraestructura como código (IaC). - ARM templates - Azure Blueprints Azure Policy Organizar las asignaciones de Azure Policy mediante sus definiciones de iniciativa. - Azure Policy - Definiciones de iniciativa Microsoft Defender for Cloud Implementar estándares regulatorios y puntos de referencia de Defender for Cloud. - Asignar estándares de seguridad Microsoft Entra ID Governance Definir catálogos de paquetes de acceso para establecer estándares para las asignaciones y revisiones de paquetes de acceso. Desarrollar flujos de trabajo del ciclo de vida de identidades mediante Azure Logic Apps para automatizar el proceso de incorporación de nuevos empleados, traslados, bajas y otras tareas automatizables. - Recursos de administración de derechos - Acceso de usuario externo - Despliegue de revisión de acceso - Crear flujos de trabajo del ciclo de vida
`Target` 6.2.2 Enterprise Integration & Workflow Provisioning Pt1 La empresa DoD establece integraciones de línea base dentro de la solución de orquestación de seguridad, automatización y respuesta (SOAR) necesaria para habilitar la funcionalidad ZTA de nivel de destino. Las organizaciones del DoD identifican los puntos de integración y priorizan los clave según la línea de base empresarial del DoD. Las integraciones críticas se producen al satisfacer los servicios clave, lo que habilita las funcionalidades de recuperación y protección. Resultados: - Implementación de integraciones empresariales completas: identificación de integraciones clave: identificación de los requisitos de recuperación y protección	Microsoft Sentinel Conectar orígenes de datos pertinentes a Sentinel para habilitar reglas de análisis. Incluir conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de seguridad con Azure Monitor Agent (AMA) y otras API, orígenes de datos Syslog o de formato común de eventos (CEF). - Conectores de datos de Sentinel - UEBA en Sentinel Microsoft Defender XDR Configurar integraciones de componentes de Microsoft Defender XDR implementados y conectar Microsoft Defender XDR a Sentinel. - Conectar datos de XDR de Defender a Sentinel Consulte la guía de Microsoft 2.7.2 en Dispositivo. Use XDR de Defender para buscar, investigar, alertar y responder a amenazas - Investigación y respuesta automatizadas
`Advanced` 6.2.3 Enterprise Integration and Workflow Provisioning Pt2 Las organizaciones de DoD integran los servicios restantes para cumplir los requisitos de línea base y los requisitos avanzados de funcionalidad de ZTA según corresponda por entorno. El aprovisionamiento de servicios se integra y se automatiza en flujos de trabajo donde se requieren funcionalidades objetivo de ZTA. Resultados: - Servicios identificados : se implementa el aprovisionamiento de servicios	Microsoft Defender XDR Microsoft Defender XDR protege identidades, dispositivos, datos y aplicaciones. Use XDR de Defender para configurar integraciones de componentes - XDR - remediaciones de Defender XDR Microsoft Sentinel Conectar nuevos orígenes de datos a Sentinel y habilitar reglas de análisis estándar y personalizadas. - SOAR en Sentinel

6.3 Aprendizaje automático

Microsoft Defender XDR y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Use integraciones de Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection y acceso condicional para usar señales de riesgo para aplicar directivas de acceso adaptable.

Obtenga información sobre la pila de seguridad de Microsoft y el aprendizaje automático, Preparándose para Security Copilot en las Nubes del Gobierno de EE. UU..

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 6.3.1 Implementar etiquetado de datos y Classification ML Tools
DoD Organizations usan los estándares y requisitos existentes de clasificación y etiquetado de datos para adquirir soluciones Machine Learning según sea necesario. Machine Learning soluciones se implementan en organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis.

Resultado:
- Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de APRENDIZAJE automático. Microsoft Purview
Configurar el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (aplicaciones de Microsoft Office), y en el Mapa de datos de Microsoft Purview.
- Etiquetas de sensibilidad en el Mapa de datos

Consulte las guías de Microsoft 4.3.4 y 4.3.5 en Datos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.3.1 Implementar etiquetado de datos y Classification ML Tools DoD Organizations usan los estándares y requisitos existentes de clasificación y etiquetado de datos para adquirir soluciones Machine Learning según sea necesario. Machine Learning soluciones se implementan en organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis. Resultado: - Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de APRENDIZAJE automático.	Microsoft Purview Configurar el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (aplicaciones de Microsoft Office), y en el Mapa de datos de Microsoft Purview. - Etiquetas de sensibilidad en el Mapa de datos Consulte las guías de Microsoft 4.3.4 y 4.3.5 en Datos.

6.4 Inteligencia artificial

Microsoft Defender XDR y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Las integraciones entre Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection y acceso condicional le ayudan a usar señales de riesgo para aplicar directivas de acceso adaptable.

Obtenga información sobre la pila de seguridad y la inteligencia artificial de Microsoft, Preparing for Security Copilot in US Government Clouds.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Advanced 6.4.1 Implementación de herramientas de automatización de IA
. Las organizaciones del Departamento de Defensa (DoD) identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la IA. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos.

Resultados:
- Desarrollo de requisitos
de herramientas de INTELIGENCIA ARTIFICIAL: Adquisición e implementación de herramientas de inteligencia artificial Fusion en Microsoft Sentinel
Fusion es una regla avanzada de análisis de detección de ataques de varias fases en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y alta gravedad.
- Avanzada detección de ataques de varias fases
- Anomalías personalizables
- Reglas de análisis de detección de anomalías

Microsoft Entra ID Protection
La protección de identidad utiliza algoritmos de aprendizaje automático (AA) para detectar y corregir riesgos basados en la identidad. Habilite Microsoft Entra ID Protection para crear directivas de acceso condicional para riesgos de usuario e inicio de sesión.
- Microsoft Entra ID Protection
- Configure y habilite directivas de riesgo

Azure DDoS Protection
Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación en cuestión y ajustar el perfil a medida que cambia el tráfico.
- Azure DDoS Protection

Advanced 6.4.2 IA guiada por analítica decide modificaciones de A&O
Las organizaciones del Departamento de Defensa que usan funciones de aprendizaje automático existentes implementan y utilizan tecnología de inteligencia artificial, como redes neuronales, para dirigir las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo.

Resultado: la
inteligencia artificial puede realizar cambios en las actividades automatizadas de flujo de trabajo. Microsoft Sentinel
Habilitar las reglas analíticas para detectar ataques multinivel avanzados con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñar reglas de automatización y cuadernos de estrategias para la respuesta de seguridad.

Consulte las instrucciones de Microsoft en 6.2.3 y 6.4.1.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Advanced` 6.4.1 Implementación de herramientas de automatización de IA . Las organizaciones del Departamento de Defensa (DoD) identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la IA. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos. Resultados: - Desarrollo de requisitos de herramientas de INTELIGENCIA ARTIFICIAL: Adquisición e implementación de herramientas de inteligencia artificial	Fusion en Microsoft Sentinel Fusion es una regla avanzada de análisis de detección de ataques de varias fases en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y alta gravedad. - Avanzada detección de ataques de varias fases - Anomalías personalizables - Reglas de análisis de detección de anomalías Microsoft Entra ID Protection La protección de identidad utiliza algoritmos de aprendizaje automático (AA) para detectar y corregir riesgos basados en la identidad. Habilite Microsoft Entra ID Protection para crear directivas de acceso condicional para riesgos de usuario e inicio de sesión. - Microsoft Entra ID Protection - Configure y habilite directivas de riesgo Azure DDoS Protection Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación en cuestión y ajustar el perfil a medida que cambia el tráfico. - Azure DDoS Protection
`Advanced` 6.4.2 IA guiada por analítica decide modificaciones de A&O Las organizaciones del Departamento de Defensa que usan funciones de aprendizaje automático existentes implementan y utilizan tecnología de inteligencia artificial, como redes neuronales, para dirigir las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo. Resultado: la inteligencia artificial puede realizar cambios en las actividades automatizadas de flujo de trabajo.	Microsoft Sentinel Habilitar las reglas analíticas para detectar ataques multinivel avanzados con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñar reglas de automatización y cuadernos de estrategias para la respuesta de seguridad. Consulte las instrucciones de Microsoft en 6.2.3 y 6.4.1.

6.5 Orquestación, Automatización y Respuesta de Seguridad (SOAR)

Microsoft Defender XDR tiene funcionalidades de detección y respuesta con detecciones estándar y personalizables. Amplíe la funcionalidad mediante las reglas de análisis de Microsoft Sentinel para activar acciones de orquestación, automatización y respuesta de seguridad (SOAR) con Azure Logic Apps.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.5.1 Análisis de la automatización de respuesta Las organizaciones DoD identifican y enumeran todas las actividades de respuesta que se ejecutan manualmente y de forma automatizada. Las actividades de respuestas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultado: - Se identifican las actividades de respuesta automatizables: se enumeran las actividades de respuesta	Microsoft Defender XDR Microsoft Defender XDR tiene acciones de respuesta automáticas y manuales para incidentes de archivos y dispositivos. - Incidents en Defender XDR
`Target` 6.5.2 Implementar Herramientas SOAR DoD Enterprise, en colaboración con organizaciones, desarrolla un conjunto estándar de requisitos para las herramientas de orquestación, automatización y respuesta de seguridad (SOAR) con el fin de habilitar las funciones ZTA al nivel objetivo. Las organizaciones del DoD usan los requisitos aprobados para adquirir e implementar la solución SOAR. Se completan las integraciones de infraestructura básicas para la funcionalidad SOAR futura. Resultados: - Desarrollo de requisitos para la herramienta SOAR- Obtención de la herramienta SOAR	Microsoft Defender XDR Utilice las funcionalidades de respuesta estándar de Microsoft Defender XDR. Consulte la guía de Microsoft 6.5.1. Microsoft Sentinel Sentinel usa Azure Logic Apps para la funcionalidad SOAR. Use Logic Apps para crear y ejecutar flujos de trabajo automatizados con poco o ningún código. Use Logic Apps para conectarse e interactuar con recursos fuera de Microsoft Sentinel. - Libros de jugadas con reglas de automatización - Automatiza la respuesta a amenazas con libros de jugadas
`Advanced` 6.5.3 Implementar cuadernos de estrategias Las organizaciones de DoD revisan todos los cuadernos de estrategias existentes para identificar la automatización futura. Se están desarrollando guías de procedimientos para los procesos existentes, tanto manuales como automatizados, donde no existen. Las guías operativas tienen prioridad para integrarse mediante automatización con las actividades de flujos de trabajo automatizados que cubren procesos críticos. Los procesos manuales sin cuadernos de estrategias están autorizados mediante un enfoque metódico basado en riesgos. Resultados: cuando sea posible, automatización de de estrategias basados en la funcionalidad de flujos de trabajo automatizados: se desarrollan e implementan cuadernos de estrategias manuales.	Microsoft Sentinel Visualización de los procesos de seguridad actuales y uso de procedimientos recomendados en Microsoft Cloud Adoption Framework (CAF). Para ampliar las funcionalidades SOAR, cree y personalice cuadernos de estrategias. Comience con las plantillas del libro de jugadas de Sentinel. - Operaciones de seguridad - Marco de procesos de SOC - Libros de jugadas a partir de plantillas

6.6 Normalización de API

Microsoft Graph API tiene una interfaz estándar para interactuar con los servicios en la nube de Microsoft. Azure API Management puede proteger las API hospedadas por la organización.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.6.1 Análisis de cumplimiento de herramientasLas herramientas y soluciones de automatización y orquestación se analizan para el cumplimiento y las funcionalidades en función del estándar y los requisitos de la interfaz de programación de DoD Enterprise. Se identifican más herramientas o soluciones para admitir los estándares y requisitos de las interfaces programáticas. Resultados: - El estado de la API se determina el cumplimiento o la no conformidad con los estándares de API: se identifican las herramientas que se van a usar.	Microsoft Graph security API Microsoft Defender, Microsoft Sentinel y Microsoft Entra tienen documentadas las API. - API de seguridad - Trabaje con Microsoft Graph - API de protección de identidad Siga los procedimientos recomendados para las API desarrolladas por su organización. - Interfaz de programación de aplicaciones - Diseño de API web RESTful
`Target` 6.6.2 Llamadas API estandarizadas y esquemas Pt1 La empresa DoD trabaja con organizaciones para establecer un estándar de interfaz de programación (por ejemplo, API) y requisitos según sea necesario para habilitar las funcionalidades de ZTA de destino. Las organizaciones del DoD actualizan las interfaces programáticas al nuevo estándar y exigen herramientas recién adquiridas o desarrolladas para satisfacer el nuevo estándar. Las herramientas que no pueden cumplir el estándar se permiten con una excepción mediante un enfoque metódico basado en riesgos. Resultados: - Las llamadas iniciales y los esquemas se implementan : se reemplazan las herramientas no compatibles.	Complete la actividad 6.6.1. Azure API Management Utilice Azure API Management como puerta de enlace de API para comunicarse con las API y crear un esquema de acceso coherente para varias API. - Azure API Management Herramientas de Azure Automation Orqueste acciones de Zero Trust mediante las herramientas de Azure Automation. - Integración y automatización en Azure
`Target` 6.6.3 Llamadas API estandarizadas y esquemas Pt2 Las organizaciones doD completan la migración al nuevo estándar de interfaz de programación. Las herramientas marcadas para la retirada en la actividad anterior se retiran y las funciones se migran a herramientas modernizadas. Los esquemas aprobados se adoptan en función del estándar o los requisitos de la empresa del DoD. Resultado: : se implementan todas las llamadas y esquemas	Microsoft Sentinel Use Sentinel como motor de orquestación para desencadenar y ejecutar acciones en las herramientas de automatización citadas en este documento. - Automate respuesta a amenazas con cuadernos de estrategias

6.7 Centro de operaciones de seguridad (SOC) y respuesta a incidentes (IR)

Microsoft Sentinel es una solución de administración de casos para investigar y administrar incidentes de seguridad. Para automatizar acciones de respuesta de seguridad, conecte soluciones de inteligencia sobre amenazas, implemente soluciones de Sentinel, habilite el análisis de comportamiento de entidades de usuario (UEBA) y cree cuadernos de estrategias con Azure Logic Apps.

Aprenda cómo aumentar la madurez del SOC, consulte la investigación de incidentes y la administración de casos de Sentinel.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.7.1 Enriquecimiento de flujo de trabajo Pt1 DoD Enterprise trabaja con organizaciones para establecer un estándar de respuesta a incidentes de ciberseguridad mediante procedimientos recomendados del sector, como NIST. Las organizaciones del DoD usan el estándar empresarial para determinar los flujos de trabajo de respuesta a incidentes. Se identifican orígenes externos de enriquecimiento para su futura integración. Resultados: - Los eventos de amenaza se identifican : se desarrollan flujos de trabajo para eventos de amenazas.	Conectores de datos de Microsoft SentinelEnriquezca los flujos de trabajo de Sentinel conectando Microsoft Defender Threat Intelligence a Sentinel.Conector de datos para Defender Threat IntelligenceSoluciones de Microsoft SentinelUse las soluciones de Sentinel para revisar los procedimientos recomendados del sector.Solución NIST 800-53Solución CMMS 2.0Libros de trabajo de DoD ZT SentinelContenido y soluciones de Sentinel
`Target` 6.7.2 Enriquecimiento de flujo de trabajo Pt2 Las organizaciones de DoD identifican y establecen flujos de trabajo extendidos para tipos de respuesta a incidentes adicionales. Se usan los orígenes de datos de enriquecimiento inicial para los flujos de trabajo existentes. Se identifican orígenes de enriquecimiento adicionales para futuras integraciones. Resultados: - Los flujos de trabajo para eventos de amenazas avanzada se desarrollan : se identifican los eventos de Advanced Threat.	Microsoft Sentinel Utilice la detección avanzada de ataques de varias fases en Fusion y las reglas de análisis de detección de anomalías de UEBA en Microsoft Sentinel, para desencadenar cuadernos de estrategias de respuesta de seguridad automatizadas. Consulte la guía de Microsoft 6.2.3 y 6.4.1 en esta sección. Para enriquecer los Flujos de Trabajo de Sentinel, conecte Microsoft Defender Threat Intelligence y otras soluciones de inteligencia sobre amenazas a Microsoft Sentinel. - Conectar plataformas de inteligencia sobre amenazas a Sentinel - Conectar Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII Consulte la guía de Microsoft 6.7.1.
`Advanced` 6.7.3 Enriquecimiento de flujo de trabajo Pt3 Las organizaciones de DoD usan orígenes de datos de enriquecimiento finales en flujos de trabajo de respuesta a amenazas básicas y extendidas. Resultados: - Se han identificado datos de enriquecimiento: los datos de enriquecimiento se integran en flujos de trabajo	Microsoft SentinelAgrega entidades para mejorar los resultados de inteligencia sobre amenazas en Sentinel.Tareas para administrar incidentes en SentinelEnriquecer entidades con datos de geolocalizaciónEnriquece los flujos de trabajo de investigación y gestiona incidentes en Sentinel.Tareas para administrar incidentes en SentinelEnriquecer entidades con datos de geolocalización
`Advanced` 6.7.4 Flujo de trabajo automatizado Las organizaciones del DoD se centran en automatizar las funciones y cuadernos de estrategias de orquestación de seguridad, automatización y respuesta (SOAR). Los procesos manuales dentro de las operaciones de seguridad se identifican y se automatizan completamente si es posible. Los procesos manuales restantes se retiran cuando sea posible o se marcan para la excepción mediante un enfoque basado en riesgos. Resultados: los procesos de flujo de trabajo están totalmente : se han identificado procesos manuales: los procesos restantes se marcan como excepciones y se documentan	Microsoft Sentinel guiones Los guiones de Sentinel se basan en Logic Apps, un servicio en la nube que programa, automatiza y orquesta tareas y flujos de trabajo en todos los sistemas empresariales. Cree cuadernos de estrategias de respuesta con plantillas e implemente soluciones desde el centro de contenido de Sentinel. Cree reglas de análisis personalizadas y acciones de respuesta con Azure Logic Apps. - Libros de estrategias de Sentinel a partir de plantillas - Automatizar la respuesta a amenazas con libros de estrategias - Catálogo del centro de contenido de Sentinel - Azure Logic Apps

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Zero Trust del DoD.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-26