Estrategia de Zero Trust del DOD en el pilar de visibilidad y análisis

El DoD Zero Trust Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Zero Trust. Zero Trust elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Zero Trust en el DoD Zero Trust Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Zero Trust doD.

Use los vínculos siguientes para ir a las secciones de la guía.

7 Visibilidad y análisis

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de DoD Zero Trust en el pilar de visibilidad y análisis. Para obtener más información, consulte Visibilidad, automatización y orquestación con Zero Trust.

7.1 Registrar todo el tráfico

Microsoft Sentinel es un sistema de administración de eventos de información de seguridad (SIEM) escalable y nativo de la nube. Además, Sentinel es una solución de orquestación de seguridad, automatización y respuesta (SOAR) para controlar grandes volúmenes de datos de varios orígenes. Los conectores de datos de Sentinel ingieren datos entre usuarios, dispositivos, aplicaciones e infraestructura, locales y en varias nubes.

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Target` 7.1.1 Consideraciones de escalabilidad. Las organizaciones de DoD realizan análisis para determinar las necesidades actuales y futuras de la escalabilidad. El escalado se analiza siguiendo los métodos de procedimientos recomendados comunes del sector y los pilares ZT. El equipo trabaja con grupos existentes de planificación de continuidad empresarial (BCP) y planeamiento de recuperación ante desastres (DPR) para determinar las necesidades del entorno distribuido en situaciones de emergencia y a medida que crecen las organizaciones. Resultados: - Infraestructura suficiente establecida : entorno distribuido establecido : ancho de banda suficiente para el tráfico de red	Microsoft Sentinel Sentinel usa un área de trabajo de Log Analytics para almacenar los datos del registro de seguridad para su análisis. Log Analytics es una plataforma como servicio (PaaS) en Azure. No hay ninguna infraestructura para administrar o construir. - Arquitectura de Workspace - Mejores prácticas de la arquitectura de Workspace - Reduzca los costos para Sentinel Azure Monitor Agent Transmita registros mediante Azure Monitor Agent para máquinas virtuales (VM) y también para dispositivos de red locales y en otras nubes. - Eventos de seguridad de Windows con AMA - Transmitir registros en formato CEF y Syslog - Recolección de datos - Benchmark de rendimiento del agente de Azure Monitor - Ingestión escalable Infraestructura de red Asegúrese de que la infraestructura de red cumpla con los requisitos de ancho de banda para Microsoft 365 y la supervisión de seguridad en la nube para servidores locales. - Conectividad de red de Microsoft 365 - Planificación y ajuste de rendimiento de la red - Azure ExpressRoute - Requisitos de red del agente de máquina conectada Gestión de la continuidad del negocio en Azure Azure ha consolidado programas de gestión de continuidad empresarial para varios sectores. Revise la administración de la continuidad empresarial y la división de responsabilidades. - Administración de continuidad - empresarialGuía de confiabilidad
`Target` 7.1.2 Análisis de registros Las organizaciones DoD identifican y priorizan los orígenes de registros y flujos (por ejemplo, firewalls, Detección y Respuesta de Puntos de Conexión, Active Directory, conmutadores, enrutadores, etc.) y desarrollen un plan para la recopilación de registros, primero los de alta prioridad y luego los de baja. Se acuerda un formato de registro estándar abierto de la industria a nivel del Departamento de Defensa en colaboración con las Organizaciones y se implementará en futuros requisitos de adquisición. Las soluciones y tecnologías existentes se migran al formato de forma continua. Resultados: - Formatos de registro estandarizados: reglas desarrolladas para cada formato de registro	Conectores de datos de Microsoft Sentinel Conecta orígenes de datos pertinentes a Sentinel. Habilitar y configurar reglas de análisis. Los conectores de datos usan formatos de registro estandarizados. - Supervisar arquitecturas de seguridad de Zero Trust - Crear conectores personalizados de Sentinel - API de Ingestión de Registros en Azure Monitor Consulte la guía de Microsoft 6.2.2 en Automatización y orquestación. Estandarice el registro con el Common Event Format (CEF), un estándar del sector que usan los proveedores de seguridad para la interoperabilidad de eventos entre plataformas. Utilice Syslog para sistemas que no admiten registros en CEF. - CEF con conector de Azure Monitor para Sentinel - Ingestar Syslog y mensajes CEF a Sentinel con Azure Monitor Utilice el Modelo de Información de Seguridad Avanzada (ASIM) (Versión Preliminar Pública) para recopilar y ver datos de varios orígenes con un esquema normalizado. - ASIM para normalizar los datos
`Target` 7.1.3 Análisis de registrosLas actividades comunes de usuario y dispositivo se identifican y priorizan en función del riesgo. Las actividades consideradas más sencillas y arriesgadas cuentan con análisis creados a partir de distintos orígenes de datos, como los registros. Las tendencias y los patrones se desarrollan en función del análisis recopilado para examinar las actividades durante períodos de tiempo más largos. Resultados: desarrollo de análisis por actividad : identificación de las actividades que se van a analizar	Completa la actividad 7.1.2. Microsoft Defender XDR Microsoft Defender XDR es un conjunto unificado de defensa empresarial pre y post infección que coordina la detección, prevención, investigación y respuesta de forma nativa entre puntos de conexión, identidades, correo electrónico y aplicaciones. Use XDR de Defender para protegerse y responder a ataques sofisticados. - Investigar alertas - Confianza Cero con Defender XDR - Defender XDR para el gobierno de EE.UU. Microsoft Sentinel Desarrollar consultas de análisis personalizadas y visualizar datos recopilados mediante libros de trabajo. - Reglas de análisis personalizadas para detectar amenazas - Visualizar datos recopilados

7.2 Administración de eventos e información de seguridad

Microsoft Defender XDR y Microsoft Sentinel funcionan conjuntamente para detectar, alertar y responder a amenazas de seguridad. Microsoft Defender XDR detecta amenazas en Microsoft 365, identidades, dispositivos, aplicaciones e infraestructura. Defender XR genera alertas en el portal de Microsoft Defender. Conecte alertas y datos sin procesar de Microsoft Defender XDR a Sentinel y use reglas de análisis avanzadas para correlacionar eventos y generar incidentes para alertas de alta fidelidad.

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Target` 7.2.1 Alerta de amenazas Pt1 Las organizaciones del DoD utilizan la solución existente de Gestión de Información y Eventos de Seguridad (SIEM) para desarrollar reglas y alertas básicas para eventos de amenazas comunes (malware, phishing, etc.). Las alertas o activaciones de reglas se introducen en la actividad paralela "Identificación de Activos y Correlación de Alertas" para comenzar la automatización de las respuestas. Resultado: reglas desarrolladas para la correlación de amenazas	Microsoft Defender XDR Microsoft Defender XDR tiene alertas de amenazas detectadas en puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. La plataforma agrega alertas relacionadas a incidentes automáticamente para simplificar la revisión de seguridad. - Investigar alertas Reglas de análisis de Microsoft Sentinel Aplicar reglas de análisis estándar para orígenes de datos conectados y crear reglas de análisis personalizadas para detectar amenazas en Sentinel. Consulte la guía de Microsoft en 7.1.3.
`Target` 7.2.2 Alerta de amenazas Pt2 Las organizaciones del DoD amplían las alertas de amenazas en la solución de gestión de información y eventos de seguridad (SIEM) para incluir canales de datos de Inteligencia sobre Amenazas Cibernéticas (CTI). Las reglas de desviación y anomalía se desarrollan en el SIEM para detectar amenazas avanzadas. Resultado: desarrollo de análisis para detectar desviaciones	Microsoft Sentinel inteligencia sobre amenazasConectar las fuentes de inteligencia sobre amenazas cibernéticas (CTI) a Sentinel.Inteligencia sobre amenazasConsulte las guías de Microsoft 6.7.1 y 6.7.2 en Automatización y orquestación.Soluciones de Microsoft SentinelUsar las reglas y los libros de análisis en el centro de contenido de Microsoft Sentinel.Contenido y soluciones de SentinelReglas de análisis de Microsoft SentinelCrear reglas de análisis programadas para detectar desviaciones, crear incidentes y desencadenar acciones de orquestación, automatización y respuesta de seguridad (SOAR).Reglas de análisis personalizadas para detectar amenazas
`Advanced` 7.2.3 Alerta de amenazas Pt3 Las alertas de amenazas se expanden para incluir orígenes de datos avanzados, como detección extendida y respuesta (XDR), Análisis de comportamiento de usuario y entidad (UEBA) y Supervisión de actividad de usuario (UAM). Estos orígenes de datos avanzados se usan para desarrollar detecciones anómalas y de actividad de patrones mejoradas. Resultados: - Identificación de eventos anómalos desencadenadores: implementación de la directiva de desencadenamiento	Conectores de datos de Microsoft Sentinel Conecta Microsoft Defender XDR a Sentinel para agregar alertas, incidentes y datos sin procesar. - Conectar Defender XDR a Sentinel Anomalías personalizables de Microsoft Sentinel Usa las plantillas de anomalías personalizables de Microsoft Sentinel para reducir el ruido con reglas de detección de anomalías - Anomalías personalizables para detectar amenazas Fusión en Microsoft Sentinel El motor de Fusión correlaciona las alertas de ataques avanzados de varias fases. - Detecciones del motor de Fusión Consulta la guía de Microsoft 6.4.1 en Automatización y orquestación.
`Target` 7.2.4 Identificación de recursos y correlación de alertas Las organizaciones del DoD desarrollan reglas de correlación básicas mediante datos de recursos y alertas. La respuesta a eventos comunes de amenazas (por ejemplo, malware, phishing, etc.) se automatiza dentro de la solución Administración de eventos e información de seguridad (SIEM). Resultado: reglas desarrolladas para respuestas basadas en identificador de activo	Microsoft Defender XDR Microsoft Defender XDR correlaciona las señales entre puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. Configure la autocorrección con las capacidades de investigación y respuesta automatizadas de Microsoft Defender. - Microsoft Defender XDR - Investigación y respuesta automatizadas Entidades de Microsoft Sentinel Las alertas que son enviadas a, o generadas por Sentinel, contienen elementos de datos que Sentinel clasifica como entidades: cuentas de usuario, hosts, archivos, procesos, direcciones IP, direcciones URL. Use páginas de entidades para ver información de entidad, analizar el comportamiento y mejorar las investigaciones. - Clasificación y análisis de datos mediante entidades - Investigar páginas de entidad
`Target` 7.2.5 Líneas de base de usuario y dispositivo Las organizaciones del DoD desarrollan enfoques de líneas de base de usuario y dispositivo basados en los estándares empresariales del DoD para el pilar adecuado. Los atributos utilizados en la creación de la línea base se extraen de los estándares de toda la empresa desarrollados en actividades transversales a los pilares. Resultado: identificación de líneas base de usuario y dispositivo	Conectores de datos de Microsoft Sentinel Establecer una base de ingesta de datos para Sentinel. Como mínimo, incluya conectores de Microsoft Entra ID y Microsoft Defender XDR, configure reglas de análisis estándar y habilite el análisis de comportamiento de entidades de usuario (UEBA). - Conectar Defender XDR a Sentinel - Habilitar UEBA Azure Lighthouse Configure Azure Lighthouse para administrar áreas de trabajo de Sentinel en varios tenants. - Extender Sentinel entre áreas de trabajo y tenants - Operaciones multitenant para organizaciones de defensa

7.3 Análisis de riesgos y seguridad comunes

Microsoft Defender XDR tiene detecciones de amenazas estándar, análisis y alertas. Use las reglas personalizables de análisis en casi tiempo real de Microsoft Sentinel para ayudar a correlacionar, detectar y generar alertas sobre anomalías en los orígenes de datos conectados.

Descripción de la actividad y resultado del Departamento de Defensa Guía y recomendaciones de Microsoft

Target 7.3.1 Implementar herramientas de análisis
Las organizaciones del Departamento de Defensa adquieren e implementan herramientas básicas de análisis centradas en ciberamenazas. El desarrollo de análisis se prioriza en función del riesgo y la complejidad, buscando primero análisis que sean fáciles de ejecutar y tengan un alto impacto. El desarrollo de análisis continuo se centra en los requisitos de Pilar para satisfacer mejor las necesidades de informes.

Resultados: - Desarrollar requisitos para el entorno
analítico: adquirir e implementar herramientas Microsoft Defender XDR y Microsoft Sentinel
Configurar la integración de Microsoft Defender XDR y Sentinel.
- XDR de Microsoft Defender
- Sentinel y XDR de Microsoft Defender para Zero Trust

Target 7.3.2 Establecer comportamientos de línea base
de usuarioMediante el análisis desarrollado para usuarios y dispositivos en una actividad paralela, las líneas base se establecen en una solución técnica. Estas líneas base se aplican a un conjunto identificado de usuarios en función del riesgo inicialmente y, a continuación, se expanden a la base de usuarios de la organización de DoD más grande. La solución técnica que se usa se integra con la funcionalidad de aprendizaje automático para comenzar la automatización.

Resultados:
- Identificación de usuarios para línea base
- Establecimiento de líneas base basadas en ML Microsoft Defender XDR
Microsoft Defender XDR detección y respuesta automatizada integrada es una primera línea de defensa. Las instrucciones de los pilares Usuario y Dispositivo establecen el comportamiento de línea de base y aplican directivas con señales de Microsoft Defender XDR en Microsoft Intune (cumplimiento de dispositivos) y Acceso Condicional (riesgo relacionado con la identidad y el dispositivo conforme).

Consulte las instrucciones de Microsoft en User y Device.

Reglas de análisis de Microsoft Sentinel
Use Sentinel para correlacionar eventos, detectar amenazas y desencadenar acciones de respuesta. Conecte los orígenes de datos pertinentes a Sentinel y cree reglas de análisis casi en tiempo real para detectar amenazas durante la ingesta de datos.
- Detectar amenazas

Consulte las directrices de Microsoft en 7.2.5.

Cuadernos de Microsoft Sentinel
Construya modelos de ML personalizados para analizar los datos de Sentinel usando Jupyter Notebooks y la plataforma de llevar su propio aprendizaje automático (BYO-ML).
- BYO-ML en Sentinel
- Jupyter Notebooks y MSTICPy

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Target` 7.3.1 Implementar herramientas de análisis Las organizaciones del Departamento de Defensa adquieren e implementan herramientas básicas de análisis centradas en ciberamenazas. El desarrollo de análisis se prioriza en función del riesgo y la complejidad, buscando primero análisis que sean fáciles de ejecutar y tengan un alto impacto. El desarrollo de análisis continuo se centra en los requisitos de Pilar para satisfacer mejor las necesidades de informes. Resultados: - Desarrollar requisitos para el entorno analítico: adquirir e implementar herramientas	Microsoft Defender XDR y Microsoft Sentinel Configurar la integración de Microsoft Defender XDR y Sentinel. - XDR de Microsoft Defender - Sentinel y XDR de Microsoft Defender para Zero Trust
`Target` 7.3.2 Establecer comportamientos de línea base de usuarioMediante el análisis desarrollado para usuarios y dispositivos en una actividad paralela, las líneas base se establecen en una solución técnica. Estas líneas base se aplican a un conjunto identificado de usuarios en función del riesgo inicialmente y, a continuación, se expanden a la base de usuarios de la organización de DoD más grande. La solución técnica que se usa se integra con la funcionalidad de aprendizaje automático para comenzar la automatización. Resultados: - Identificación de usuarios para línea base - Establecimiento de líneas base basadas en ML	Microsoft Defender XDR Microsoft Defender XDR detección y respuesta automatizada integrada es una primera línea de defensa. Las instrucciones de los pilares Usuario y Dispositivo establecen el comportamiento de línea de base y aplican directivas con señales de Microsoft Defender XDR en Microsoft Intune (cumplimiento de dispositivos) y Acceso Condicional (riesgo relacionado con la identidad y el dispositivo conforme). Consulte las instrucciones de Microsoft en User y Device. Reglas de análisis de Microsoft Sentinel Use Sentinel para correlacionar eventos, detectar amenazas y desencadenar acciones de respuesta. Conecte los orígenes de datos pertinentes a Sentinel y cree reglas de análisis casi en tiempo real para detectar amenazas durante la ingesta de datos. - Detectar amenazas Consulte las directrices de Microsoft en 7.2.5. Cuadernos de Microsoft Sentinel Construya modelos de ML personalizados para analizar los datos de Sentinel usando Jupyter Notebooks y la plataforma de llevar su propio aprendizaje automático (BYO-ML). - BYO-ML en Sentinel - Jupyter Notebooks y MSTICPy

7.4 Análisis de comportamiento de usuarios y entidades

Microsoft Defender XDR y Microsoft Sentinel detectan anomalías mediante el análisis de comportamiento de entidades de usuario (UEBA). Detecte anomalías en Sentinel con reglas de análisis de Fusion, UEBA y aprendizaje automático (ML). Además, Sentinel se integra con Azure Notebooks (Jupyter Notebook) para la funcionalidad de llevar tu propio aprendizaje automático (BYO-ML) y visualización.

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Target` 7.4.1 Línea base y generación de perfiles Pt1 Mediante el análisis desarrollado para usuarios y dispositivos en una actividad paralela, se crean perfiles comunes para los tipos de usuario y dispositivo típicos. Los análisis realizados a partir de la línea base se actualizan para examinar contenedores y perfiles más grandes. Resultados: desarrollo de análisis para detectar condiciones de amenaza cambiantes: identificación de perfiles de amenazas de usuario y dispositivo	Microsoft Defender XDR Visit the Microsoft Defender portal para obtener una vista unificada de incidentes, alertas, informes y análisis de amenazas. Use Microsoft Secure Score para evaluar y mejorar la posición de seguridad. Cree detecciones personalizadas para supervisar y responder a eventos de seguridad en Microsoft Defender XDR. - Microsoft Defender portal - Evaluar la postura de seguridad con Puntuación de Seguridad - Detecciones personalizadas Microsoft Sentinel Usar libros de trabajo para visualizar y supervisar datos. Cree reglas de análisis personalizadas y habilite la detección de anomalías para identificar y alertar sobre las condiciones de amenaza cambiantes. - Visualización y supervisión de datos - Análisis personalizado para detectar amenazas - Personalización de anomalías para detectar amenazas
`Advanced` 7.4.2 Línea base y generación de perfiles Pt2 Las organizaciones doD expanden líneas base y perfiles para incluir tipos de dispositivos no administrados y no estándar, como Internet de las cosas (IoT) y la tecnología operativa (OT) a través de la supervisión de la salida de datos. Estos dispositivos se vuelven a perfilar basados en atributos estandarizados y casos de uso. Los análisis se actualizan para tener en cuenta las nuevas líneas base y los perfiles, lo que permite más detecciones y respuestas. Los usuarios y dispositivos de riesgo específicos se priorizan automáticamente para aumentar la supervisión en función del riesgo. La detección y la respuesta se integran con funcionalidades transversales. Resultados: agregar perfiles de amenazas para dispositivos IoT y OT: desarrollo y ampliación de análisis : extensión de perfiles de amenazas a usuarios y dispositivos individuales	Microsoft Defender XDR Descubre y protege dispositivos no administrados con Microsoft Defender for Endpoint. - Descubrimiento de dispositivos - Conexión de inquilino para admitir políticas de seguridad de punto final desde Intune - Proteger dispositivos administrados y no administrados - Escaneo de dispositivos de red autenticados - Escaneo autenticado de dispositivos Windows no administrados Microsoft Defender for IoT Desplegar sensores de Defender para IoT en redes de tecnología operativa (OT) Defender para IoT admite la supervisión de dispositivos sin agente para redes de OT híbridas, locales y en la nube. Habilite el modo de aprendizaje para una línea base del entorno y conecte Defender para IoT a Microsoft Sentinel. - Defender para IoT para organizaciones - Supervisión de OT - Línea base de alertas de OT aprendida - Conectar Defender para IoT con Sentinel - Investigar entidades con páginas de entidad
`Advanced` 7.4.3 Compatibilidad con la línea base UEBA Pt1 Análisis de Comportamiento de Usuarios y Entidades (UEBA) dentro de organizaciones del Departamento de Defensa amplía la supervisión a análisis avanzados, como Aprendizaje Automático (ML). Estos resultados se revisan y devuelven a los algoritmos de aprendizaje automático para mejorar la detección y la respuesta. Resultado: implementación del análisis basado en ML para detectar anomalías	Complete activity 7.3.2.Reglas analíticas de Microsoft SentinelSentinel usa dos modelos para crear líneas base y detectar anomalías, UEBA y aprendizaje automático.Detección de anomalíasAnomalías de UEBAUEBA detecta anomalías basadas en líneas base de entidades dinámicas.Habilitar UEBAAnomalías de UEBAAnomalías de aprendizaje automáticoLas anomalías de aprendizaje automático identifican un comportamiento inusual con plantillas de regla de análisis estándar.Anomalías de aprendizaje automático
`Advanced` 7.4.4 Compatibilidad con la línea base de UEBA Pt2 User & Entity Behavior Analytics (UEBA) dentro de las organizaciones de DoD completa su expansión mediante el uso de los resultados basados en aprendizaje automático y tradicional (ML) para introducirse en algoritmos de inteligencia artificial (IA). Inicialmente, las detecciones basadas en IA son supervisadas, pero finalmente, utilizando técnicas avanzadas como redes neuronales, los operadores de UEBA no forman parte del proceso de aprendizaje. Resultado: implemente el análisis basado en ML para detectar anomalías (detecciones de IA supervisadas)	Fusion en Microsoft Sentinel Utilice la avanzada detección de ataques multietapa en la regla de análisis de Fusion, en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases y amenazas persistentes avanzadas (APT). Identifica combinaciones de comportamientos anómalos y actividades sospechosas, que de otro modo son difíciles de detectar. - Detección avanzada de ataques de múltiples etapas Notebooks de Microsoft Sentinel Construya sus propios modelos de ML personalizados para analizar los datos de Microsoft Sentinel mediante los notebooks de Jupyter y la plataforma BYO-ML. - BYO-ML en Sentinel - Jupyter Notebooks y MSTICPy

7.5 Integración de inteligencia sobre amenazas

Microsoft Defender Inteligencia sobre amenazas simplifica la evaluación de prioridades, la respuesta a incidentes, la búsqueda de amenazas, la administración de vulnerabilidades y la inteligencia sobre amenazas cibernéticas (CTI) de expertos en amenazas de Microsoft y otros orígenes. Microsoft Sentinel se conecta a Microsoft Defender Threat Intelligence y a orígenes CTI de terceros.

Descripción de la actividad y resultado del Departamento de Defensa Guía y recomendaciones de Microsoft

Target 7.5.1 Programa de Inteligencia sobre Amenazas Cibernéticas Pt1
DoD Enterprise trabaja con las organizaciones para desarrollar y la política del programa inteligencia sobre amenazas cibernéticas (CTI), estándar y proceso. Las organizaciones usan esta documentación para desarrollar equipos CTI de la organización con las principales partes interesadas de la misión o tarea. Los equipos de CTI integran fuentes comunes de datos con la administración de eventos e información de seguridad (SIEM) para mejorar las alertas y la respuesta. Se crean integraciones con puntos de cumplimiento de dispositivos y redes (por ejemplo, firewalls, conjuntos de seguridad de puntos de conexión, etc.) para llevar a cabo la supervisión básica de los datos controlados por CTI.

Resultados:
- El equipo de inteligencia sobre amenazas cibernéticas está establecido con las partes interesadas críticas.
- Las fuentes CTI públicas y de línea de base se están utilizando por SIEM para emitir alertas.
- Existen puntos de integración básicos con puntos de aplicación de dispositivos y redes (por ejemplo, NGAV, NGFW, NG-IPS). Microsoft Defender Inteligencia sobre amenazasConectar Defender Threat Intelligence y otras fuentes de inteligencia sobre amenazas a Sentinel.Defender Threat IntelligenceHabilitar el conector de datos para Defender Threat IntelligenceConectar plataformas de inteligencia sobre amenazas a SentinelRed de AzureIntegrar recursos de red con Microsoft Sentinel.Sentinel con Firewall de aplicaciones web de AzureFirewall de Azure con Sentinel

Target 7.5.2 Programa de inteligencia sobre amenazas cibernéticas Pt2
Las organizaciones de DoD expanden sus equipos de Inteligencia sobre amenazas cibernéticas (CTI) para incluir nuevas partes interesadas según corresponda. Las fuentes de datos CTI autenticadas, privadas y controladas se integran en la administración de eventos e información de seguridad (SIEM) y los puntos de cumplimiento de los pilares Dispositivo, Usuario, Red y Datos.

Resultados: El equipo de inteligencia sobre amenazas cibernéticas está implementado con las partes interesadas extendidas según corresponda
. SIEM utiliza fuentes controladas y privadas y otras herramientas de análisis adecuadas para alertas y supervisión
. La integración está implementada para puntos de aplicación extendidos dentro de los pilares: dispositivo, usuario, red y datos (UEBA, UAM) conectores de datos Microsoft Sentinel
Administrar recursos de red en Azure con la API REST. Establezca la integración básica con puntos de cumplimiento de red mediante playbooks de Sentinel y Logic Apps.
- Operaciones REST de red virtual
- Respuesta ante amenazas con playbooks de Sentinel

Busque playbooks para otros puntos de cumplimiento de red en el repositorio de playbooks de Sentinel.
- Playbooks de Sentinel en GitHub

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Target` 7.5.1 Programa de Inteligencia sobre Amenazas Cibernéticas Pt1 DoD Enterprise trabaja con las organizaciones para desarrollar y la política del programa inteligencia sobre amenazas cibernéticas (CTI), estándar y proceso. Las organizaciones usan esta documentación para desarrollar equipos CTI de la organización con las principales partes interesadas de la misión o tarea. Los equipos de CTI integran fuentes comunes de datos con la administración de eventos e información de seguridad (SIEM) para mejorar las alertas y la respuesta. Se crean integraciones con puntos de cumplimiento de dispositivos y redes (por ejemplo, firewalls, conjuntos de seguridad de puntos de conexión, etc.) para llevar a cabo la supervisión básica de los datos controlados por CTI. Resultados: - El equipo de inteligencia sobre amenazas cibernéticas está establecido con las partes interesadas críticas. - Las fuentes CTI públicas y de línea de base se están utilizando por SIEM para emitir alertas. - Existen puntos de integración básicos con puntos de aplicación de dispositivos y redes (por ejemplo, NGAV, NGFW, NG-IPS).	Microsoft Defender Inteligencia sobre amenazasConectar Defender Threat Intelligence y otras fuentes de inteligencia sobre amenazas a Sentinel.Defender Threat IntelligenceHabilitar el conector de datos para Defender Threat IntelligenceConectar plataformas de inteligencia sobre amenazas a SentinelRed de AzureIntegrar recursos de red con Microsoft Sentinel.Sentinel con Firewall de aplicaciones web de AzureFirewall de Azure con Sentinel
`Target` 7.5.2 Programa de inteligencia sobre amenazas cibernéticas Pt2 Las organizaciones de DoD expanden sus equipos de Inteligencia sobre amenazas cibernéticas (CTI) para incluir nuevas partes interesadas según corresponda. Las fuentes de datos CTI autenticadas, privadas y controladas se integran en la administración de eventos e información de seguridad (SIEM) y los puntos de cumplimiento de los pilares Dispositivo, Usuario, Red y Datos. Resultados: El equipo de inteligencia sobre amenazas cibernéticas está implementado con las partes interesadas extendidas según corresponda . SIEM utiliza fuentes controladas y privadas y otras herramientas de análisis adecuadas para alertas y supervisión . La integración está implementada para puntos de aplicación extendidos dentro de los pilares: dispositivo, usuario, red y datos (UEBA, UAM)	conectores de datos Microsoft Sentinel Administrar recursos de red en Azure con la API REST. Establezca la integración básica con puntos de cumplimiento de red mediante playbooks de Sentinel y Logic Apps. - Operaciones REST de red virtual - Respuesta ante amenazas con playbooks de Sentinel Busque playbooks para otros puntos de cumplimiento de red en el repositorio de playbooks de Sentinel. - Playbooks de Sentinel en GitHub

7.6 Directivas dinámicas automatizadas

La pila de seguridad de Microsoft usa aprendizaje automático (ML) e inteligencia artificial (IA) para proteger identidades, dispositivos, aplicaciones, datos e infraestructura. Con Microsoft Defender XDR y acceso condicional, las detecciones de ML establecen niveles de riesgo agregados para usuarios y dispositivos.

Use el riesgo del dispositivo para marcar un dispositivo como no conforme. El nivel de riesgo de identidad permite a las organizaciones requerir métodos de autenticación resistentes a la suplantación de identidad, dispositivos compatibles, mayor frecuencia de inicio de sesión, etc. Use condiciones de riesgo y controles de acceso condicional para aplicar directivas de acceso dinámico automatizadas.

Descripción de la actividad y resultado del Departamento de Defensa Guía y recomendaciones de Microsoft

Advanced 7.6.1 Acceso a la red habilitado por IA
Las organizaciones del DoD utilizan la infraestructura SDN y los perfiles de seguridad empresarial para habilitar el acceso a la red impulsado por inteligencia artificial (IA)/aprendizaje automático (ML). El análisis de actividades anteriores se usa para enseñar a los algoritmos de inteligencia artificial y aprendizaje automático a mejorar la toma de decisiones.

Resultado:
el acceso a la red está impulsado por IA basado en el análisis de entorno Microsoft Defender XDR
Interrupción del ataque automático en Microsoft Defender XDR limita el movimiento lateral. Esta acción reduce los efectos de un ataque ransomware. Los investigadores de seguridad de Microsoft usan modelos de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados mediante Defender XDR. La solución correlaciona las señales en incidentes de alta confianza para identificar y contener los ataques en tiempo real.
- Interrupciones de ataques

Las capacidades de protección en red de Microsoft Defender SmartScreen y la protección web se expanden al sistema operativo para bloquear ataques de comando y control (C2).
- Protege tu red
- La inteligencia artificial para interrumpir el ransomware operado por personas)

Microsoft Sentinel
Utiliza Azure Firewall para visualizar actividades de firewall, detectar amenazas con las capacidades de investigación con IA, correlacionar actividades y automatizar acciones de respuesta.
- Azure Firewall con Sentinel

Advanced 7.6.2 Control de Acceso habilitado para IA
Las organizaciones del DoD utilizan el acceso dinámico previamente basado en reglas para enseñar a los algoritmos de inteligencia artificial (IA) y aprendizaje automático (ML) con el fin de tomar decisiones de acceso a varios recursos. Los algoritmos de actividad "Acceso a redes habilitados para IA" se actualizan para permitir una toma de decisiones más amplia para todos los DAAS.

Resultado:
JIT/JEA se integran con la inteligencia artificial Acceso condicional
Requerir el nivel de riesgo de máquina de Microsoft Defender para Endpoint en la directiva de cumplimiento de Microsoft Intune. Use las condiciones de cumplimiento de dispositivos y de riesgo de Microsoft Entra ID Protection en las directivas de acceso condicional.
- Directivas de acceso basadas en riesgo
- Directivas de cumplimiento para establecer reglas para dispositivos administrados por Intune

Gestión de Identidades con Privilegios
Use el nivel de riesgo de protección de identidad y las señales de cumplimiento de dispositivos para definir un contexto de autenticación para el acceso con privilegios. Requerir contexto de autenticación para las solicitudes PIM para aplicar directivas para el acceso Just-In-Time (JIT).

Consulte la guía de Microsoft 7.6.1 en esta sección y 1.4.4 en Usuario.

Descripción de la actividad y resultado del Departamento de Defensa	Guía y recomendaciones de Microsoft
`Advanced` 7.6.1 Acceso a la red habilitado por IA Las organizaciones del DoD utilizan la infraestructura SDN y los perfiles de seguridad empresarial para habilitar el acceso a la red impulsado por inteligencia artificial (IA)/aprendizaje automático (ML). El análisis de actividades anteriores se usa para enseñar a los algoritmos de inteligencia artificial y aprendizaje automático a mejorar la toma de decisiones. Resultado: el acceso a la red está impulsado por IA basado en el análisis de entorno	Microsoft Defender XDR Interrupción del ataque automático en Microsoft Defender XDR limita el movimiento lateral. Esta acción reduce los efectos de un ataque ransomware. Los investigadores de seguridad de Microsoft usan modelos de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados mediante Defender XDR. La solución correlaciona las señales en incidentes de alta confianza para identificar y contener los ataques en tiempo real. - Interrupciones de ataques Las capacidades de protección en red de Microsoft Defender SmartScreen y la protección web se expanden al sistema operativo para bloquear ataques de comando y control (C2). - Protege tu red - La inteligencia artificial para interrumpir el ransomware operado por personas) Microsoft Sentinel Utiliza Azure Firewall para visualizar actividades de firewall, detectar amenazas con las capacidades de investigación con IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall con Sentinel
`Advanced` 7.6.2 Control de Acceso habilitado para IA Las organizaciones del DoD utilizan el acceso dinámico previamente basado en reglas para enseñar a los algoritmos de inteligencia artificial (IA) y aprendizaje automático (ML) con el fin de tomar decisiones de acceso a varios recursos. Los algoritmos de actividad "Acceso a redes habilitados para IA" se actualizan para permitir una toma de decisiones más amplia para todos los DAAS. Resultado: JIT/JEA se integran con la inteligencia artificial	Acceso condicional Requerir el nivel de riesgo de máquina de Microsoft Defender para Endpoint en la directiva de cumplimiento de Microsoft Intune. Use las condiciones de cumplimiento de dispositivos y de riesgo de Microsoft Entra ID Protection en las directivas de acceso condicional. - Directivas de acceso basadas en riesgo - Directivas de cumplimiento para establecer reglas para dispositivos administrados por Intune Gestión de Identidades con Privilegios Use el nivel de riesgo de protección de identidad y las señales de cumplimiento de dispositivos para definir un contexto de autenticación para el acceso con privilegios. Requerir contexto de autenticación para las solicitudes PIM para aplicar directivas para el acceso Just-In-Time (JIT). Consulte la guía de Microsoft 7.6.1 en esta sección y 1.4.4 en Usuario.

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Zero Trust del DoD.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-26

Estrategia de Zero Trust del DOD en el pilar de visibilidad y análisis

7 Visibilidad y análisis

7.1 Registrar todo el tráfico

7.2 Administración de eventos e información de seguridad

7.3 Análisis de riesgos y seguridad comunes

7.4 Análisis de comportamiento de usuarios y entidades

7.5 Integración de inteligencia sobre amenazas

7.6 Directivas dinámicas automatizadas

Pasos siguientes

Comentarios

Recursos adicionales