Stratégie de Zero Trust DoD pour le pilier d’automatisation et d’orchestration

La DoD Zero Trust Stratégie et feuille de route décrit un chemin pour les partenaires du ministère de la Défense et de la Base industrielle de défense (DIB) pour adopter un nouveau cadre de cybersécurité basé sur des principes de Zero Trust. Zero Trust élimine les hypothèses traditionnelles de périmètre et de confiance, ce qui permet une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances de mission.

Ce guide contient des recommandations pour les activités de 152 Zero Trust dans la feuille de route d’exécution des capacités DoD Zero Trust. Les sections correspondent aux sept piliers du modèle doD Zero Trust.

Utiliser les liens suivants pour accéder aux sections du guide.

6 Automatisation et orchestration

Cette section contient des conseils et des recommandations Microsoft pour les activités doD Zero Trust dans le pilier automatisation et orchestration. Pour plus d’informations, consultez visibilité, automatisation et orchestration avec Zero Trust.

6.1 Point de décision de stratégie (PDP) et orchestration de stratégie

Microsoft Sentinel a une orchestration de sécurité, une automatisation et une réponse (SOAR) via des ressources cloud. Automatisez la détection et les réponses aux cyber-attaques. Sentinel s’intègre aux plateformes Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure et non-Microsoft. Ces intégrations extensibles permettent à Sentinel de coordonner les actions de détection et de réponse de cybersécurité entre les plateformes, ce qui augmente l’efficacité et l’efficience des opérations de sécurité.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.1.1 Inventaire des stratégies et développement L’entreprise DoD travaille avec les organisations pour cataloguer et inventorier les stratégies et normes de cyber-sécurité existantes. Les politiques sont mises à jour et créées lors d'activités interpiliers, selon les besoins, pour répondre aux fonctionnalités critiques de la cible ZT. Résultats : - Les stratégies ont été en référence à la conformité et au risque applicables (par exemple, RMF, NIST) - Les stratégies ont été examinées pour les piliers et les fonctionnalités manquants par ZTRA - Les zones de stratégies manquantes sont mises à jour pour répondre aux fonctionnalités par ZTRA	Microsoft Purview Compliance ManagerUtilisez Microsoft Purview Compliance Manager pour évaluer et gérer la conformité dans un environnement multicloud.Compliance Manager Azure, Dynamics 365, Microsoft PurviewPrise en charge multicloudMicrosoft Defender pour le CloudUtilisez Defender pour les fonctionnalités de conformité réglementaire pour afficher et améliorer la conformité aux initiatives Azure Policy dans un environnement multicloud.Améliorer la conformité réglementaireFedRAMP High Conformité réglementaireConformité réglementaire NIST SP 800-53 Rev. 5Conformité réglementaire CMMCMicrosoft SentinelLe hub de contenu Sentinel propose des solutions pour visualiser et mesurer la progression avec les exigences de sécurité spécifiques au domaine.Catalogue du hub de contenu Sentinelle classeur DoD ZT Sentinelsolution NIST SP 800-53
`Target` 6.1.2 Profil d’accès de l’organisation Les organisations DoD développent des profils d’accès de base pour l’accès mission/tâche et non mission/tâche DAAS à l’aide des données des utilisateurs, des données, du réseau et des piliers des appareils. L’entreprise DoD travaille avec les organisations pour développer un profil de sécurité d’entreprise en utilisant les profils de sécurité organisationnels existants afin de créer une approche d’accès commune à DAAS. Une approche par phases peut être utilisée dans les organisations pour limiter les risques des accès DAAS critiques à la mission/tâche une fois que le ou les profils de sécurité sont créés. Résultats : - Les profils d’étendue de l’organisation sont pour déterminer l’accès à DAAS à l’aide des fonctionnalités des piliers Utilisateur, Données, Réseau et Appareil - La norme d’accès au profil d’entreprise initial est développée pour l’accès à DAAS - Lorsque cela est possible, le ou les profils d’organisation utilisent des services d’entreprise disponibles dans les piliers Utilisateur, Données, Réseau et Appareil.	Accès conditionnel Définissez des ensembles de politiques du DoD standardisés avec l’accès conditionnel. Incluez la force de l’authentification, la conformité des appareils, également les contrôles de risque de connexion et d’utilisateur. - Accès conditionnel
`Target` 6.1.3 Profil de sécurité d’entreprise pt1 Le profil Enterprise Security couvre initialement les piliers Utilisateur, Données, Réseau et Appareil. Les profils de sécurité organisationnelles existants sont intégrés pour l’accès DAAS non mission/tâche ci-dessous. Résultats :- Les profils d’entreprise sont créés pour accéder à DAAS à l’aide des fonctionnalités des Utilisateur, Données, Réseau et Appareil - Les profils d’organisation critiques non mission/tâche sont intégrés aux profils d’entreprise à l’aide d’une approche standardisée	Complete activity 6.1.2. Microsoft Graph API Use Microsoft Graph API pour gérer et déployer des stratégies d’accès conditionnel, des paramètres d’accès interlocataire et d’autres paramètres de configuration Microsoft Entra. - Accès programmatique - API des paramètres d'accès entre locataires - Fonctionnalités et services Graph
`Advanced` 6.1.4 Profil de sécurité d’entreprise pt2 Le nombre minimal de profils de sécurité d’entreprise existe en accordant l’accès à la plus large gamme de DAAS entre les piliers au sein des organisations DoD. Les profils d’organisation de mission/tâche sont intégrés aux profils de sécurité d’entreprise et les exceptions sont gérés selon une approche méthodique basée sur les risques. Résultats : - Les profils d’entreprise ont été réduits et simplifiés pour prendre en charge le plus large éventail d’accès à DAAS - Lorsqu’appropriés, les profils critiques pour les missions/tâches ont été intégrés et pris en charge, tandis que les profils d'organisation sont considérés comme des exceptions.	Accès conditionnel Utilisez les aperçus et le classeur de rapports d’accès conditionnel pour voir comment les politiques d’accès conditionnel affectent votre organisation. Si possible, combinez des stratégies. Un ensemble de stratégies simplifié est plus facile à gérer, dépanner et piloter de nouvelles fonctionnalités d’accès conditionnel. Vous pouvez utiliser des modèles d’accès conditionnel pour simplifier les stratégies. - Analyses et rapports - Modèles Utilisez l’outil What If et le mode rapport uniquement pour dépanner et évaluer de nouvelles stratégies. - Dépanner l'accès conditionnel - Mode rapport uniquement Réduisez la dépendance de votre organisation sur les emplacements réseau de confiance. Utilisez les emplacements pays/régions déterminés par les coordonnées GPS ou par l’adresse IP pour simplifier les conditions d’emplacement dans les stratégies d’accès conditionnel. - Conditions Attributs de sécurité personnalisés Utilisez des attributs de sécurité personnalisés et des filtres d’application dans les stratégies d’accès conditionnel pour étendre l’autorisation d’attribut de sécurité affectée aux objets d’application, comme la sensibilité des données. - Attributs de sécurité personnalisés - Filtre pour les applications

6.2 Automatisation des processus critiques

Microsoft Sentinel automation exécute les tâches généralement effectuées par les analystes de sécurité de niveau 1. Les règles d’automatisation utilisent Azure Logic Apps pour vous aider à développer des workflows détaillés et automatisés qui améliorent les opérations de sécurité. Par exemple, enrichissement des incidents : lien vers des sources de données externes pour détecter les activités malveillantes.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.2.1 Analyse de l’automatisation des tâchesLes organisations DoD identifient et énumèrent toutes les activités de tâche qui peuvent être exécutées manuellement et de manière automatisée. Les activités des tâches sont organisées selon les catégories « automatisée » et « manuelle ». Les activités manuelles sont analysées quand à la possibilité de les mettre hors service. Résultats : - Les tâches automatisables sont - Les tâches sont énumérées - Inventaire des stratégies et développement	Complete activity 6.1.1. Azure Resource Manager Utilisez des modèles ARM et des blueprints Azure afin d'automatiser les déploiements à l’aide des modèles Infrastructure-as-Code (IaC). - Modèles ARM - Blueprints Azure Azure Policy Organisez les affectations Azure Policy à l’aide de ses définitions d’initiatives. - Azure Policy - Définition d'initiative Microsoft Defender for Cloud Déployez Defender for Cloud pour les normes réglementaires et les benchmarks. - Assignez les normes de sécurité Microsoft Entra ID Governance Définissez des catalogues de packages d'accès afin d’établir des normes pour les affectations et révisions de packages d’accès. Développer des workflows de cycle de vie des identités à l’aide d’Azure Logic Apps pour automatiser l’arrivée, la mutation, le départ et autres tâches automatisables. - Ressources de gestion des droits - Accès utilisateur externe - Déploiement de la révision des accès - Créer les flux de travail de cycle de vie
`Target` 6.2.2 Enterprise Integration &Workflow Provisioning Pt1 L’entreprise DoD établit des intégrations de référence dans la solution SOAR (Security Orchestration, Automation et Response) requise pour activer la fonctionnalité ZTA de niveau cible. Les organisations DoD identifient les points d’intégration et traitent en priorité les points clés conformément à la ligne de base de l’entreprise DoD. Les intégrations critiques se font entre les services clés, permettant des fonctionnalités de récupération et de protection. Résultats : - Implémenter des intégrations d’entreprise complètes - Identifier les intégrations clés - Identifier les exigences de récupération et de protection	Microsoft Sentinel Connecter les sources de données pertinentes à Sentinel pour activer les règles d’analyse. Inclure des connecteurs pour Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, événements de sécurité avec Azure Monitor Agent (AMA) et d’autres API, Syslog, ou sources de données CEF (Common Event Format). - Connecteurs de données Sentinel - UEBA dans Sentinel Microsoft Defender XDR Configurez des composants Microsoft Defender XDR déployés et connectez Microsoft Defender XDR à Sentinel. - Connectez des données de Defender XDR vers Sentinel Voir les conseils Microsoft 2.7.2 dans l’appareil. Utilisez Defender XDR pour rechercher, examiner, alerter et répondre aux menaces - Investigation et réponse automatiques
`Advanced` 6.2.3 Enterprise Integration and Workflow Provisioning Pt2 Les organisations DoD intègrent les services restants pour répondre aux exigences de référence et aux exigences avancées en matière de fonctionnalités ZTA selon l’environnement. Le provisionnement de services est intégré et automatisé dans les workflows quand il est nécessaire de répondre aux fonctionnalités cibles de l’ACZ. Résultats : - Services identifiés - Le provisionnement de services est implémenté	Microsoft Defender XDR Microsoft Defender XDR protège les identités, les appareils, les données et les applications. Utilisez Defender XDR pour configurer les intégrations de composants - Configuration de l'outil XDR - Remédiations de Defender XDR Microsoft Sentinel Connecter les nouvelles sources de données à Sentinel et activer des règles d'analyse standard et personnalisées. - SOAR dans Microsoft Sentinel

6.3 Machine Learning

Microsoft Defender XDR et Microsoft Sentinel utiliser l’intelligence artificielle (IA), le Machine Learning (ML) et le renseignement sur les menaces pour détecter et répondre aux menaces avancées. Utilisez des intégrations de Microsoft Defender XDR, de Microsoft Intune, de Microsoft Entra ID Protection et d’accès conditionnel pour utiliser des signaux de risque pour appliquer des stratégies d’accès adaptatif.

Découvrez la pile de sécurité Microsoft et l'apprentissage automatique, Préparation à Security Copilot dans les Clouds gouvernementaux américains.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
6.3.1 Implémenter les outils de balisage des données et de ML pour la classificationLes organisations du DoD utilisent les normes et exigences existantes en matière de marquage et de classification des données pour se procurer des solutions de Machine Learning selon les besoins. Machine Learning solution(s) est implémentée dans les organisations et les référentiels de données étiquetés et classifiés existants sont utilisés pour établir des bases de référence. La ou les solutions Machine Learning appliquent des étiquettes de données selon une approche supervisée pour améliorer l’analyse de façon continue. Résultat : - Les outils d’étiquetage et de classification des données implémentés sont intégrés aux outils ML	Microsoft Purview Configurer l’étiquetage automatique dans Microsoft Purview pour le côté service (Microsoft 365) et le côté client (applications Microsoft Office), ainsi que dans la carte des données de Microsoft Purview. - Étiquettes de données de sensibilité dans la carte des données Voir les directives Microsoft 4.3.4 et 4.3.5 dans les Données.

Descriptions et résultats des activités du DoD

Conseils et recommandations de Microsoft

6.3.1 Implémenter les outils de balisage des données et de ML pour la classificationLes organisations du DoD utilisent les normes et exigences existantes en matière de marquage et de classification des données pour se procurer des solutions de Machine Learning selon les besoins. Machine Learning solution(s) est implémentée dans les organisations et les référentiels de données étiquetés et classifiés existants sont utilisés pour établir des bases de référence. La ou les solutions Machine Learning appliquent des étiquettes de données selon une approche supervisée pour améliorer l’analyse de façon continue.

Résultat :
- Les outils d’étiquetage et de classification des données implémentés sont intégrés aux outils ML

Microsoft Purview
Configurer l’étiquetage automatique dans Microsoft Purview pour le côté service (Microsoft 365) et le côté client (applications Microsoft Office), ainsi que dans la carte des données de Microsoft Purview.
- Étiquettes de données de sensibilité dans la carte des données

Voir les directives Microsoft 4.3.4 et 4.3.5 dans les Données.

6.4 Intelligence artificielle

Microsoft Defender XDR et Microsoft Sentinel utiliser l’intelligence artificielle (IA), le Machine Learning (ML) et le renseignement sur les menaces pour détecter et répondre aux menaces avancées. Les intégrations entre les Microsoft Defender XDR, les Microsoft Intune, les Microsoft Entra ID Protection et l’accès conditionnel vous aident à utiliser des signaux de risque pour appliquer des stratégies d’accès adaptatif.

Découvrez la pile de sécurité Microsoft et l’IA, Préparation pour le Security Copilot dans les Clouds du gouvernement américain.

Descriptions et résultats des activités du DoD Conseils et recommandations de Microsoft

Advanced 6.4.1 Implémenter des outils
d’automatisation de l’IALes organisations DoD identifient les domaines d’amélioration basés sur les techniques d’apprentissage automatique existantes pour l’intelligence artificielle. Les solutions d’IA sont identifiées, fournies et implémentées en utilisant les domaines identifiés comme exigences.

Résultats :
- Développer des exigences
en matière d’outils IA - Procurez-vous et implémentez des outils IA Fusion dans Microsoft Sentinel
Fusion est une règle d’analytique avancée de détection d’attaque en plusieurs étapes dans Sentinel. Fusion est un moteur de corrélation avec apprentissage par ML qui détecte les attaques multi-étapes ou les menaces persistantes avancées (APT). Il identifie les comportements anormaux et les activités suspectes qui sans cela seraient difficiles à détecter. Les incidents sont de faible volume, haute fidélité, et de gravité élevée.
- Détection d’attaques multistages avancées
- Anomalies personnalisables
- Règles d'analyse de détection des anomalies

Microsoft Entra ID Protection
La protection d'identité utilise des algorithmes d'apprentissage automatique (ML) pour détecter et corriger les risques basés sur l’identité. Activez Microsoft Entra ID Protection pour créer des stratégies d’accès conditionnel pour l’utilisateur et le risque de connexion.
- Microsoft Entra ID Protection
- Configurez et activez les stratégies de risque

Azure DDoS Protection
Azure DDoS Protection utilise le profilage intelligent du trafic pour en savoir plus sur le trafic des applications et ajuster le profil à mesure que le trafic change.
- Azure DDoS Protection

Advanced 6.4.2 IA pilotée par l'analytique décide des modifications d'automatisation et d'orchestration
Les organisations du DoD qui utilisent des fonctions d'apprentissage automatique existantes implémentent et utilisent la technologie d'IA, telle que les réseaux neuronaux, pour prendre des décisions d’automatisation et d’orchestration. La prise de décision est déplacée autant que possible dans l’IA, ce qui libère le personnel humain pour d’autres tâches. En utilisant des modèles historiques, l’IA va apporter des changements anticipés dans l’environnement afin de mieux réduire les risques.

Résultat : -
L’IA peut apporter des modifications aux activités de flux de travail automatisées Microsoft Sentinel
Activez les règles analytiques pour détecter les attaques avancées à plusieurs étapes avec des anomalies de Fusion et de l'UEBA dans Microsoft Sentinel. Concevoir des règles d’automatisation et des playbooks pour la réponse à la sécurité.

Consultez les conseils de Microsoft dans les versions 6.2.3 et 6.4.1.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Advanced` 6.4.1 Implémenter des outils d’automatisation de l’IALes organisations DoD identifient les domaines d’amélioration basés sur les techniques d’apprentissage automatique existantes pour l’intelligence artificielle. Les solutions d’IA sont identifiées, fournies et implémentées en utilisant les domaines identifiés comme exigences. Résultats : - Développer des exigences en matière d’outils IA - Procurez-vous et implémentez des outils IA	Fusion dans Microsoft Sentinel Fusion est une règle d’analytique avancée de détection d’attaque en plusieurs étapes dans Sentinel. Fusion est un moteur de corrélation avec apprentissage par ML qui détecte les attaques multi-étapes ou les menaces persistantes avancées (APT). Il identifie les comportements anormaux et les activités suspectes qui sans cela seraient difficiles à détecter. Les incidents sont de faible volume, haute fidélité, et de gravité élevée. - Détection d’attaques multistages avancées - Anomalies personnalisables - Règles d'analyse de détection des anomalies Microsoft Entra ID Protection La protection d'identité utilise des algorithmes d'apprentissage automatique (ML) pour détecter et corriger les risques basés sur l’identité. Activez Microsoft Entra ID Protection pour créer des stratégies d’accès conditionnel pour l’utilisateur et le risque de connexion. - Microsoft Entra ID Protection - Configurez et activez les stratégies de risque Azure DDoS Protection Azure DDoS Protection utilise le profilage intelligent du trafic pour en savoir plus sur le trafic des applications et ajuster le profil à mesure que le trafic change. - Azure DDoS Protection
`Advanced` 6.4.2 IA pilotée par l'analytique décide des modifications d'automatisation et d'orchestration Les organisations du DoD qui utilisent des fonctions d'apprentissage automatique existantes implémentent et utilisent la technologie d'IA, telle que les réseaux neuronaux, pour prendre des décisions d’automatisation et d’orchestration. La prise de décision est déplacée autant que possible dans l’IA, ce qui libère le personnel humain pour d’autres tâches. En utilisant des modèles historiques, l’IA va apporter des changements anticipés dans l’environnement afin de mieux réduire les risques. Résultat : - L’IA peut apporter des modifications aux activités de flux de travail automatisées	Microsoft Sentinel Activez les règles analytiques pour détecter les attaques avancées à plusieurs étapes avec des anomalies de Fusion et de l'UEBA dans Microsoft Sentinel. Concevoir des règles d’automatisation et des playbooks pour la réponse à la sécurité. Consultez les conseils de Microsoft dans les versions 6.2.3 et 6.4.1.

6.5 Orchestration, automatisation et réponse en matière de sécurité (SOAR)

Microsoft Defender XDR dispose de fonctionnalités de détection et de réponse avec des détections standard et personnalisables. Étendez la fonctionnalité à l’aide de règles d’analytique Microsoft Sentinel pour déclencher des actions d’orchestration, d’automatisation et de réponse de sécurité (SOAR) avec Azure Logic Apps.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.5.1 Analyse de l’automatisation des réponsesLes organisations DoD identifient et énumèrent toutes les activités de réponse exécutées manuellement et de manière automatisée. Les activités de réponse sont organisées selon les catégories « automatisée » et « manuelle ». Les activités manuelles sont analysées quand à la possibilité de les mettre hors service. Résultat : - Les activités de réponse automatisables sont identifiées : les activités de réponse sont énumérées	Microsoft Defender XDR Microsoft Defender XDR a des actions de réponse automatiques et manuelles pour les incidents de fichier et d’appareil. - Incidents dans Defender XDR
`Target` 6.5.2 Implémenter des outils SOAR L'entreprise DoD, en collaboration avec les organisations, développe un ensemble standard d'exigences pour les outils d'orchestration, d'automatisation et de réponse de sécurité (SOAR) afin d'activer les fonctions ZTA au niveau cible. Les organisations du DoD utilisent des exigences approuvées pour obtenir et implémenter une solution SOAR. Les intégrations d’infrastructure de base pour les fonctionnalités SOAR futures sont terminées. Résultats : - Développer des exigences pour l’outil SOAR - Procurez-vous l’outil SOAR	Microsoft Defender XDR Utiliser Microsoft Defender XDR fonctionnalités de réponse standard. See Microsoft guidance 6.5.1. Microsoft Sentinel Sentinel utilise Azure Logic Apps pour la fonctionnalité SOAR. Utilisez Logic Apps pour créer et exécuter des workflows automatisés avec peu ou pas de code. Utilisez Logic Apps pour vous connecter et interagir avec des ressources en dehors de Microsoft Sentinel. - Playbooks avec des règles d’automatisation - Automatisez la réponse aux menaces avec des playbooks
`Advanced` 6.5.3 Implémenter des playbooks Les organisations du Département de la Défense (DoD) passent en revue tous les playbooks (manuels d'intervention) existants afin de déterminer ceux qui peuvent être automatisés à l'avenir. Des playbooks sont développés pour les processus manuels et automatisés existants pour lesquels il n’y a pas de playbooks. Les playbooks sont classés par ordre de priorité pour que l’automatisation soit intégrée aux activités des workflows automatisés couvrant les processus critiques. Les processus manuels sans playbooks sont autorisés à l’aide d’une approche méthodique basée sur les risques. Résultats : - Dans la mesure du possible, automatisez les playbooks basés sur la capacité à automatiser les flux de travail. - Les playbooks manuels sont développés et mis en œuvre	Microsoft Sentinel Réviser les processus de sécurité actuels et utilisez les meilleures pratiques dans le Microsoft Cloud Adoption Framework (CAF). Pour étendre les fonctionnalités SOAR, créez et personnalisez des playbooks. Démarrer avec les modèles de playbook Sentinel. - Opérations de sécurité - Cadre de processus SOC - Playbooks à partir de modèles

6.6 Standardisation des API

Microsoft Graph API dispose d’une interface standard pour interagir avec les services cloud Microsoft. Azure API Management pouvez protéger les API hébergées par votre organisation.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.6.1 Analyse de conformité des outilsLes outils et solutions d’automatisation et d’orchestration sont analysés pour la conformité et les fonctionnalités en fonction de la norme et des exigences de l’interface programmatique DoD Enterprise. D’autres outils ou solutions sont identifiés pour prendre en charge les normes et les exigences de l’interface de programmation. Résultats : - L’état de l’API est déterminé comme conformité ou non conforme aux normes de l’API - Les outils à utiliser sont identifiés	API de sécurité Microsoft GraphMicrosoft Defender, Microsoft Sentinel et Microsoft Entra ont documenté des API.API de sécuritéTravaillez avec Microsoft GraphAPIs de protection de l'identitéBonnes pratiques pour les API développées par votre organisation.Interface de programmation d'applicationConception d'API web RESTful
`Target` 6.6.2 Appels et schémas d’API standardisés Pt1 L’entreprise DoD travaille avec les organisations pour établir une interface programmatique (par exemple, UNE API) standard et des exigences en fonction des besoins pour activer les fonctionnalités ZTA cibles. Les organisations du DoD mettent à jour les interfaces de programmation vers la nouvelle norme et imposent des outils nouvellement acquis/développés pour respecter la nouvelle norme. Les outils qui ne peuvent pas répondre à la norme sont autorisés à titre exceptionnel, en utilisant une approche méthodique basée sur les risques. Résultats : - Les appels et les schémas initiaux sont implémentés - Les outils non conformes sont remplacés	Complétez l'activité 6.6.1. Azure API Management Utilisez Azure API Management en tant que passerelle d'API pour communiquer avec les API et créer un schéma d'accès cohérent pour différentes API. - Azure API Management Outils Azure Automation Orchestrez les actions Zero Trust à l'aide des outils Azure Automation. - Intégration et automatisation dans Azure
`Target` 6.6.3 Appels et schémas d’API standardisés Pt2 Les organisations DoD effectuent la migration vers la nouvelle norme d’interface programmatique. Les outils marqués pour être désactivés dans l’activité précédente sont mis hors service et les fonctions sont migrées vers des outils modernisés. Les schémas approuvés sont adoptés en fonction de la norme/des exigences de l’entreprise du DoD. Résultat : - Tous les appels et schémas sont implémentés	Microsoft Sentinel Utilisez Sentinel en tant que moteur d'orchestration pour déclencher et exécuter des actions dans les outils d'automatisation cités dans ce document. - Automatisez la réponse aux menaces avec des playbooks

6.7 Centre des opérations de sécurité (SOC) et réponse aux incidents (IR)

Microsoft Sentinel est une solution de gestion des cas pour examiner et gérer les incidents de sécurité. Pour automatiser les actions de réponse à la sécurité, connecter des solutions de renseignement sur les menaces, déployer des solutions Sentinel, activer l’analytique du comportement des entités utilisateur (UEBA) et créer des playbooks avec Azure Logic Apps.

Découvrez comment améliorer la maturité SOC, reportez-vous à l’enquête sur les incidents Sentinel et la gestion des cas.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 6.7.1 Enrichissement de flux de travail pt1 L’entreprise DoD travaille avec les organisations pour établir une norme de réponse aux incidents de cybersécurité à l’aide des meilleures pratiques du secteur telles que NIST. Les organisations du DoD utilisent la norme d’entreprise pour déterminer les workflows de réponse aux incidents. Les sources externes d’enrichissement sont identifiées en vue d’une intégration future. Résultats : - Les événements de menace sont - Les flux de travail pour les événements de menace sont développés	connecteurs de données Microsoft Sentinel Enrichissez les workflows de Sentinel en connectant Microsoft Defender Threat Intelligence à Sentinel. - Connecteur de données pour Defender Threat Intelligence Solutions Microsoft Sentinel Utilisez les solutions Sentinel pour examiner les meilleures pratiques du secteur. - Solution NIST 800-53 - Solution CMMS 2.0 - Workbook DoD ZT Sentinel - Contenu et solutions Sentinel
`Target` 6.7.2 Enrichissement du flux de travail pt2 Les organisations DoD identifient et établissent des flux de travail étendus pour des types de réponse aux incidents supplémentaires. Les sources de données d’enrichissement initiales sont utilisées pour les workflows existants. Des sources d’enrichissement supplémentaires sont identifiées pour de futures intégrations. Résultats : - Les flux de travail pour les événements de menace avancés sont développés - Les événements sur les menaces sont identifiés	Microsoft Sentinel Utilisez la détection avancée des attaques multistages dans Fusion et les règles d’analyse de détection des anomalies UEBA, dans Microsoft Sentinel, pour déclencher des playbooks de réponse de sécurité automatisés. Consultez les recommandations de Microsoft 6.2.3 et 6.4.1 dans cette partie. Pour enrichir les workflows de Sentinel, connectez Microsoft Defender Threat Intelligence et d’autres solutions de renseignement sur les menaces à Microsoft Sentinel. - Connectez les plateformes de renseignement sur les menaces à Sentinel - Connectez Sentinel aux flux de renseignement sur les menaces STIX/TAXII Consultez les recommandations de Microsoft 6.7.1.
`Advanced` 6.7.3 Enrichissement du flux de travail pt3 Les organisations DoD utilisent des sources de données d’enrichissement finales sur des flux de travail de réponse aux menaces de base et étendus. Résultats : - Les données d’enrichissement ont été identifiées : les données d’enrichissement sont aux flux de travail	Microsoft SentinelAjouter des entités pour améliorer les résultats du renseignement sur les menaces dans Sentinel.Tâches pour gérer les incidents dans SentinelEnrichir les entités avec des données de géolocalisationEnrichir les flux d'enquête et gérer les incidents dans Sentinel.Tâches pour gérer les incidents dans SentinelEnrichir les entités avec des données de géolocalisation
6.7.4 Flux de travail automatiséLes organisations DoD se concentrent sur l’automatisation des fonctions d’orchestration, d'automatisation et de réponse de sécurité (OARS) et des playbooks. Les processus manuels au sein des opérations de sécurité sont identifiés et entièrement automatisés quand c’est possible. Les processus manuels restants sont désactivés si possible ou marqués pour exception à l’aide d’une approche basée sur les risques. Résultats :- Les processus de flux de travail sont entièrement automatisés - Les processus - Les processus restants sont marqués comme des exceptions et documentés	Microsoft Sentinel playbooks Sentinel sont basés sur Logic Apps, un service cloud qui planifie, automatise et orchestre les tâches et les flux de travail dans les systèmes d’entreprise. Créez des playbooks de réponse avec des modèles, déployez des solutions à partir du hub de contenu Sentinel. Créez des règles d’analyse personnalisées et des actions de réponse avec Azure Logic Apps. - Carnets de jeu Sentinel à partir de modèles - Automatiser la réponse aux menaces avec des scénarios - Catalogue du hub de contenu Sentinel - Azure Logic Apps

Étapes suivantes

Configurez les services cloud Microsoft pour la stratégie doD Zero Trust :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-26