Estratégia de Zero Trust do DoD para o pilar de automação e orquestração

O DoD Zero Trust Strategy and Roadmap descreve um caminho para os parceiros do Departamento de Defesa e da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética com base em princípios Zero Trust. Zero Trust elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades de Zero Trust no DoD Zero Trust Capability Execution Roadmap. As seções correspondem aos sete pilares do modelo de Zero Trust do DoD.

Use os links a seguir para acessar as seções do guia.

6 Automação e orquestração

Esta seção tem diretrizes e recomendações da Microsoft para atividades de Zero Trust do DoD no pilar de automação e orquestração. Para saber mais, consulte visibilidade, automação e orquestração com Zero Trust.

6.1 Ponto de decisão política (PDP) e orquestração de políticas

Microsoft Sentinel tem orquestração de segurança, automação e resposta (SOAR) por meio de recursos baseados em nuvem. Automatize a detecção e as respostas a ataques cibernéticos. O Sentinel integra-se com o Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure e plataformas não Microsoft. Essas integrações extensíveis permitem que o Sentinel coordene ações de detecção e resposta de segurança cibernética em todas as plataformas, aumentando a eficácia e a eficiência das operações de segurança.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.1.1 Inventário de Políticas &desenvolvimento A empresa do DoD trabalha com as Organizações para catalogar e inventariar políticas e padrões de Segurança Cibernética existentes. As políticas são atualizadas e criadas em atividades interpilares conforme necessário para atender à funcionalidade crítica do ZT Target. Resultados: - As políticas foram coletadas em referência à conformidade e ao risco aplicáveis (por exemplo, RMF, NIST) - As políticas foram revisadas para pilares e funcionalidades ausentes de acordo com o ZTRA - As áreas de políticas ausentes são atualizadas para atender aos recursos por ZTRA	Microsoft Purview Compliance Manager Use Microsoft Purview Compliance Manager para avaliar e gerenciar a conformidade em um ambiente multinuvem. - Compliance Manager - Azure, Dynamics 365, Microsoft Purview - Suporte multinuvem Microsoft Defender for Cloud Use os recursos de conformidade regulatória do Defender for Cloud para visualizar e melhorar a conformidade com iniciativas de Azure Policy em um ambiente multinuvem. - Melhorar a conformidade regulatória - Conformidade Regulatória FedRAMP High - Conformidade Regulatória NIST SP 800-53 Rev. 5 - Conformidade Regulatória CMMC Microsoft Sentinel O hub de conteúdo do Sentinel tem soluções para visualizar e medir o progresso com requisitos de segurança específicos do domínio. - Catálogo do hub de conteúdo - Pasta de trabalho DoD ZT Sentinel - Solução NIST SP 800-53
`Target` 6.1.2 Perfil de Acesso de Organização As organizações do DoD desenvolvem perfis básicos de acesso para missão/tarefa e não missão/tarefa ao DAAS, utilizando dados dos pilares de usuário, dados, rede e dispositivo. O DoD Enterprise trabalha com as organizações para desenvolver um perfil de segurança empresarial usando os perfis de segurança organizacionais existentes para criar uma abordagem de acesso comum ao DAAS. Uma abordagem em fases pode ser usada em organizações para limitar o risco ao acesso DAAS crítico à missão/tarefa uma vez criado(s) o(s) perfil(is) de segurança. Resultados: – de escopo da organização são criados para determinar o acesso ao DAAS usando recursos de pilares de Usuário, Dados, Rede e Dispositivo– O padrão inicial de acesso ao perfil empresarial é desenvolvido para acesso ao DAAS . Quando possível, os perfis da organização utilizam serviços disponíveis corporativos nos pilares Usuário, Dados, Rede e Dispositivo	Acesso Condicional Defina conjuntos de políticas padronizados do Departamento de Defesa (EUA) com Acesso Condicional. Inclua a força de autenticação, a conformidade do dispositivo, também o usuário e os controles de risco de entrada. - Acesso condicional
`Target` 6.1.3 Perfil de Segurança Empresarial Pt1 O perfil de Segurança Da Empresa abrange inicialmente os pilares Usuário, Dados, Rede e Dispositivo. Os perfis de segurança organizacional existentes são integrados para acesso ao DAAS para atividades não relacionadas a missão/tarefa da seguinte forma. Resultados:- Os perfis empresariais são criados para acessar o DAAS utilizando recursos dos pilares de Usuário, Dados, Rede e Dispositivos. - Perfis organizacionais não críticos relacionados a missão/tarefa são integrados aos perfis empresariais usando uma abordagem padronizada	Complete atividade 6.1.2. Microsoft Graph API Use o Microsoft Graph API para gerenciar e implantar políticas de Acesso Condicional, configurações de acesso entre locatários e outras configurações de configuração Microsoft Entra. Acesso programáticoAPI de configurações de acesso entre inquilinosRecursos e serviços do Graph
`Advanced` 6.1.4 Perfil de Segurança Empresarial Pt2 Os perfis de segurança empresarial mínimos existem para conceder acesso ao maior número possível de DAAS entre os pilares nas organizações do DoD. Os perfis da organização de missão/tarefa são integrados com o(s) perfil(s) de segurança empresarial e as exceções são gerenciadas em uma abordagem metódica baseada em risco. Resultados: - Os Perfis Empresariais foram reduzidos e simplificados para dar suporte a uma ampla gama de acesso ao DAAS . Onde apropriado, os Perfis Críticos de Missão/Tarefa foram integrados e os perfis de organização com suporte são considerados como exceção.	Acesso Condicional Use os insights de Acesso Condicional e a pasta de trabalho de relatórios para ver como as políticas de Acesso Condicional afetam sua organização. Se possível, combine políticas. Um conjunto de políticas simplificado é mais fácil de gerenciar, solucionar problemas e testar novos recursos de Acesso Condicional. Você pode usar modelos de Acesso Condicional para tornar as políticas mais simples. - Insights e relatórios - Modelos Use a ferramenta What If e o modo apenas de relatório para solucionar problemas e avaliar novas políticas. - Solucionar problemas de Acesso Condicional - Modo apenas de relatório Reduza a dependência da sua organização em locais confiáveis na rede. Use locais de país/região determinados por coordenadas GPS ou endereço IP para simplificar as condições de localização nas políticas de Acesso Condicional. - Condições de localização Atributos de segurança personalizados Use atributos de segurança personalizados e filtros de aplicativo em políticas de Acesso Condicional para definir o escopo da autorização de atributo de segurança atribuída a objetos de aplicativo, como confidencialidade. - Atributos de segurança personalizados - Filtrar aplicativos

6.2 Automação de processos críticos

Automação do Microsoft Sentinel executa tarefas normalmente realizadas por analistas de segurança de Nível 1. As regras de automação usam Azure Logic Apps, para ajudá-lo a desenvolver fluxos de trabalho detalhados e automatizados que aprimoram as operações de segurança. Por exemplo, enriquecimento de incidentes: conectar a fontes de dados externas a fim de detectar atividades maliciosas.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.2.1 Análise de Automação de TarefasAs Organizações do DoD identificam e enumeram todas as atividades de tarefa que podem ser executadas manualmente e de forma automatizada. As atividades da tarefa são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para possível aposentadoria. Resultados: – Tarefas automatizadas são identificadas – Tarefas são enumeradas – Inventário e desenvolvimento de	Complete a atividade 6.1.1. Azure Resource Manager Use Modelos ARM e Azure Blueprints para automatizar implantações usando Infraestrutura como Código (IaC). - Modelos ARM - Azure Blueprints Azure Policy Organize atribuições do Azure Policy usando suas definições de iniciativa. - Azure Policy - Definição de iniciativa Microsoft Defender para Nuvem Implante os padrões regulatórios e benchmarks do Microsoft Defender para Nuvem. - Atribuir padrões de segurança Microsoft Entra ID Governance Defina catálogos de pacotes de acesso para estabelecer padrões para atribuições e revisões de pacotes de acesso. Desenvolver fluxos de trabalho do ciclo de vida de identidade usando Azure Logic Apps para automatizar ingressante, transferido, saindo e outras tarefas automatizáveis. - Recursos de gerenciamento de concessões - Acesso de usuário externo - Implantação de revisão de acesso - Criar fluxos de trabalho do ciclo de vida
`Target` 6.2.2 Enterprise Integration &Workflow Provisioning Pt1 A empresa do DoD estabelece integrações de linha de base dentro da solução SOAR (Orquestração, Automação e Resposta de Segurança) necessária para habilitar a funcionalidade ZTA de nível de destino. As organizações do DoD identificam pontos de integração e priorizam os principais de acordo com a linha de base corporativa do DoD. As integrações críticas acontecem ao atender os serviços principais que permitem capacidades de recuperação e proteção. Resultados: – Implementar integrações corporativas completas – Identificar integrações de chave– Identificar requisitos de recuperação e proteção	Microsoft Sentinel Conectar fontes de dados relevantes ao Sentinel para habilitar regras de análise. Incluir conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de segurança com Azure Monitor Agent (AMA) e outras API, Syslog, ou fontes de dados do CEF (Common Event Format). - Conectores de dados do Sentinel - UEBA no Sentinel Microsoft Defender XDR Configurar integrações de componentes implantados do Microsoft Defender XDR e conectar o Microsoft Defender XDR ao Sentinel. - Conectar dados do Defender XDR ao Sentinel Consulte as Diretrizes da Microsoft 2.7.2 em Dispositivo. Utilize o Defender XDR para buscar, investigar, gerar alertas e reagir a ameaças - Investigação e resposta automatizadas
`Advanced` 6.2.3 Integração Empresarial e Provisionamento de Fluxo de Trabalho Pt2 As Organizações do DoD integram os serviços restantes para atender aos requisitos de linha de base e aos requisitos avançados de funcionalidade do ZTA conforme apropriado por ambiente. O provisionamento de serviços é integrado e automatizado em fluxos de trabalho quando necessário, atendendo às funcionalidades de destino da ZTA. Resultados: – identificados – O provisionamento de serviços é implementado	Microsoft Defender XDR Microsoft Defender XDR protege identidades, dispositivos, dados e aplicativos. Utilize o Defender XDR para configurar integrações de componentes - Instalação da ferramenta XDR - Correções do Defender XDR Microsoft Sentinel Conectar novas fontes de dados ao Sentinel e habilitar regras de análise padrão e personalizadas. - SOAR no Sentinel

6.3 Aprendizado de máquina

Microsoft Defender XDR e Microsoft Sentinel usam IA (inteligência artificial), ML (machine learning) e inteligência contra ameaças para detectar e responder a ameaças avançadas. Use integrações de Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional para usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança da Microsoft e o Aprendizado de Máquina, Preparing for Security Copilot in US Government Clouds.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 6.3.1 Implementar Ferramentas de Marcação e Classificação de Dados com ML
Organizações do DoD utilizam padrões e requisitos existentes de Marcação e Classificação de Dados para obter soluções de Machine Learning, conforme necessário. "Soluções de Aprendizado de Máquina são implementadas em organizações e repositórios de dados marcados e classificados existentes são utilizados para estabelecer bases de referência." A(s) solução(ões) de aprendizado de máquina aplica tags de dados em uma abordagem supervisionada para melhorar continuamente a análise.

Resultado:
– As ferramentas de marcação e classificação de dados implementadas são integradas às ferramentas de ML Microsoft Purview
Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e o lado do cliente (aplicativos do Microsoft Office) e no Microsoft Purview Data Map.
- Rótulos de dados de sensibilidade no Data Map

Consulte as diretrizes da Microsoft 4.3.4 e 4.3.5 em Data.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.3.1 Implementar Ferramentas de Marcação e Classificação de Dados com ML Organizações do DoD utilizam padrões e requisitos existentes de Marcação e Classificação de Dados para obter soluções de Machine Learning, conforme necessário. "Soluções de Aprendizado de Máquina são implementadas em organizações e repositórios de dados marcados e classificados existentes são utilizados para estabelecer bases de referência." A(s) solução(ões) de aprendizado de máquina aplica tags de dados em uma abordagem supervisionada para melhorar continuamente a análise. Resultado: – As ferramentas de marcação e classificação de dados implementadas são integradas às ferramentas de ML	Microsoft Purview Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e o lado do cliente (aplicativos do Microsoft Office) e no Microsoft Purview Data Map. - Rótulos de dados de sensibilidade no Data Map Consulte as diretrizes da Microsoft 4.3.4 e 4.3.5 em Data.

6.4 Inteligência artificial

Microsoft Defender XDR e Microsoft Sentinel usam IA (inteligência artificial), ML (machine learning) e inteligência contra ameaças para detectar e responder a ameaças avançadas. As integrações entre Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional ajudam você a usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança da Microsoft e a IA, Preparando-se para o Security Copilot em Nuvens do Governo dos EUA.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Advanced 6.4.1 Implementar ferramentas de automação de IA
As Organizações do DoD identificam áreas de aperfeiçoamento com base em técnicas de aprendizado de máquina existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos.

Resultados: – Desenvolver

de ferramenta de IA – Adquirir e implementar ferramentas de IA Fusion no Microsoft Sentinel
Fusion é uma regra avançada de análise de detecção de ataque multiestágio no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que detecta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Ele identifica comportamentos anômalos e atividades suspeitas que seriam difíceis de detectar de outra forma. Incidentes são de baixo volume, alta fidelidade e alta gravidade.
- Detecção avançada de múltiplas etapas
- Anomalias personalizáveis
- Regras de análise de detecção de anomalias

Microsoft Entra ID Protection
A proteção de identidade usa algoritmos de ML (machine learning) para detectar e corrigir riscos baseados em identidade. Habilite o Microsoft Entra ID Protection para criar políticas de Acesso Condicional para riscos de usuário e de entrada.
- Microsoft Entra ID Protection
- Configure e habilite políticas de risco

Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure usa a criação de perfil de tráfego inteligente para aprender sobre o tráfego do aplicativo e ajustar o perfil conforme o tráfego muda.
- Proteção contra DDoS do Azure

Advanced 6.4.2 IA Orientada pela Análise decide modificações de A&O
As organizações do DoD que utilizam funções existentes de aprendizado de máquina implementam e usam a tecnologia de IA, como redes neurais, para impulsionar decisões de automação e orquestração. A tomada de decisão é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor o risco.

Resultado:
– a IA é capaz de fazer alterações nas atividades automatizadas de fluxo de trabalho Microsoft Sentinel
Habilite as regras analíticas para detectar ataques avançados de vários estágios com as anomalias Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e guias estratégicos para resposta de segurança.

Consulte as diretrizes da Microsoft na versão 6.2.3 e 6.4.1.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Advanced` 6.4.1 Implementar ferramentas de automação de IA As Organizações do DoD identificam áreas de aperfeiçoamento com base em técnicas de aprendizado de máquina existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos. Resultados: – Desenvolver de ferramenta de IA – Adquirir e implementar ferramentas de IA	Fusion no Microsoft Sentinel Fusion é uma regra avançada de análise de detecção de ataque multiestágio no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que detecta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Ele identifica comportamentos anômalos e atividades suspeitas que seriam difíceis de detectar de outra forma. Incidentes são de baixo volume, alta fidelidade e alta gravidade. - Detecção avançada de múltiplas etapas - Anomalias personalizáveis - Regras de análise de detecção de anomalias Microsoft Entra ID Protection A proteção de identidade usa algoritmos de ML (machine learning) para detectar e corrigir riscos baseados em identidade. Habilite o Microsoft Entra ID Protection para criar políticas de Acesso Condicional para riscos de usuário e de entrada. - Microsoft Entra ID Protection - Configure e habilite políticas de risco Proteção contra DDoS do Azure A Proteção contra DDoS do Azure usa a criação de perfil de tráfego inteligente para aprender sobre o tráfego do aplicativo e ajustar o perfil conforme o tráfego muda. - Proteção contra DDoS do Azure
`Advanced` 6.4.2 IA Orientada pela Análise decide modificações de A&O As organizações do DoD que utilizam funções existentes de aprendizado de máquina implementam e usam a tecnologia de IA, como redes neurais, para impulsionar decisões de automação e orquestração. A tomada de decisão é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor o risco. Resultado: – a IA é capaz de fazer alterações nas atividades automatizadas de fluxo de trabalho	Microsoft Sentinel Habilite as regras analíticas para detectar ataques avançados de vários estágios com as anomalias Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e guias estratégicos para resposta de segurança. Consulte as diretrizes da Microsoft na versão 6.2.3 e 6.4.1.

6.5 Orquestração, automação e resposta de segurança (SOAR)

Microsoft Defender XDR tem recursos de detecção e resposta com detecções padrão e personalizáveis. Estenda a capacidade, usando as regras de análise do Microsoft Sentinel, para disparar ações de orquestração de segurança, automação e resposta (SOAR) com o Azure Logic Apps.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.5.1 Análise de Automação de RespostaAs Organizações do DoD identificam e enumeram todas as atividades de resposta executadas manualmente e de forma automatizada. As atividades de resposta são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para possível aposentadoria. Resultado: – Atividades de resposta automatizadas são identificadas - Atividades de resposta são enumeradas	Microsoft Defender XDR Microsoft Defender XDR tem ações de resposta automática e manual para incidentes de arquivo e dispositivo. - Incidents no Defender XDR
`Target` 6.5.2 Implementar ferramentas SOAR A empresa do DoD, em parceria com organizações, desenvolve um conjunto padrão de requisitos para ferramentas de orquestração de segurança, automação e resposta (SOAR) para habilitar funções ZTA no nível de destino. As organizações do DoD usam requisitos aprovados para adquirir e implementar a solução SOAR. As integrações de infraestrutura básica para futuras funcionalidades do SOAR foram concluídas. Resultados: - Desenvolver requisitos para a ferramenta SOAR - Adquirir a ferramenta SOAR	Microsoft Defender XDR Use Microsoft Defender XDR capacidades de resposta padrão. Veja a orientação da Microsoft 6.5.1. Microsoft Sentinel Sentinel usa Azure Logic Apps para funcionalidade SOAR (Orquestração, Automação e Resposta de Segurança). Use Aplicativos Lógicos para criar e executar fluxos de trabalho automatizados com pouco ou nenhum código. Use aplicativos lógicos para se conectar e interagir com recursos fora do Microsoft Sentinel. - Playbooks com regras de automação - Automatizar a resposta a ameaças com playbooks
`Advanced` 6.5.3 Implementar Guias Estratégicos As organizações do DoD revisam todos os guias estratégicos existentes para identificar a automação futura. Os processos manuais e automatizados existentes que não tinham guias estratégicos agora têm guias desenvolvidos. Os guias estratégicos são priorizados para que a automação seja integrada às atividades de fluxos de trabalho automatizados que abrangem processos críticos. Processos manuais sem guias estratégicos são autorizados usando uma abordagem metódica baseada em risco. Resultados: - Quando possível, automatize guias estratégicos com base na funcionalidade de fluxos de trabalho automatizados– guias estratégicos manuais são desenvolvidos e implementados	Microsoft Sentinel Reveja os processos de segurança atuais e use as práticas recomendadas no CAF (Microsoft Cloud Adoption Framework). Para estender os recursos do SOAR, crie e personalize guias estratégicos. Comece com modelos de playbook do Sentinel. - Security - Framework de Processos do SOC - Playbooks a partir de modelos

6.6 Padronização da API

O Microsoft Graph API tem uma interface padrão para interagir com os serviços de nuvem da Microsoft. Azure API Management pode proteger AS APIs hospedadas pela sua organização.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.6.1 Análise de Conformidade da FerramentaAs ferramentas e as soluções de automação e orquestração são analisadas para conformidade e funcionalidades com base no padrão e nos requisitos da interface programática do DoD Enterprise. Quaisquer outras ferramentas ou soluções são identificadas para suportar os padrões e requisitos de interface programática. Resultados: – o status da API é determinado como conformidade ou não conformidade com os padrões de API. As ferramentas a serem usadas são identificadas	API de segurança do Microsoft Graph Microsoft Defender, Microsoft Sentinel e Microsoft Entra têm APIs documentadas. - API de segurança - Trabalhe com o Microsoft Graph - APIs de proteção de identidade Siga as práticas recomendadas para APIs desenvolvidas por sua organização. - Interface de Programação de Aplicações - Design de API web RESTful
`Target` 6.6.2 Chamadas de API padronizadas e esquemas Pt1 A empresa do DoD trabalha com organizações para estabelecer um padrão de interface programática (por exemplo, API) e requisitos, conforme necessário, para habilitar as funcionalidades de ZTA de destino. As organizações do DoD atualizam as interfaces programáticas para o novo padrão e exigem ferramentas recém-adquiridas/desenvolvidas para atender ao novo padrão. As ferramentas incapazes de atender ao padrão são permitidas por exceção usando uma abordagem metódica baseada em risco. Resultados: – Chamadas iniciais e esquemas são implementados – ferramentas não compatíveis são substituídas	Complete atividade 6.6.1. Azure API Management Use o Azure API Management como um gateway de API para se comunicar com APIs e criar um esquema de acesso consistente para várias APIs. - Azure API Management Ferramentas Azure Automation Orquestre ações de Zero Trust usando ferramentas Azure Automation. - Integração e automação no Azure
`Target` 6.6.3 Chamadas de API padronizadas e esquemas Pt2 As organizações do DoD concluem a migração para o novo padrão de interface programática. As ferramentas marcadas para desativação na atividade anterior são desativadas e as funções são migradas para ferramentas modernizadas. Os esquemas aprovados são adotados com base no padrão/requisitos do DoD Enterprise. Resultado: – Todas as chamadas e esquemas são implementados	Microsoft Sentinel Use Sentinel como um mecanismo de orquestração para disparar e executar ações em ferramentas de automação citadas neste documento. - Automatizar a resposta a ameaças com playbooks

6.7 Centro de operações de segurança (SOC) e resposta a incidentes (RI)

Microsoft Sentinel é uma solução de gerenciamento de casos para investigar e gerenciar incidentes de segurança. Para automatizar ações de resposta de segurança, conecte soluções de inteligência contra ameaças, implante soluções do Sentinel, habilite a UEBAs (análise de comportamento de entidade de usuário) e crie guias estratégicos com Azure Logic Apps.

Saiba como aumentar a maturidade do SOC, consulte a investigação de incidentes e o gerenciamento de casos do Sentinel.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.7.1 Enriquecimento de fluxo de trabalho Pt1 A empresa do DoD trabalha com organizações para estabelecer um padrão de resposta a incidentes de segurança cibernética usando práticas recomendadas do setor, como o NIST. As organizações do DoD utilizam o padrão corporativo para determinar fluxos de trabalho de resposta a incidentes. São identificadas fontes externas de enriquecimento para integração futura. Resultados: - Eventos de ameaça são identificados - Fluxos de trabalho para eventos de ameaça são desenvolvidos	Conectores de dados do Microsoft Sentinel Enriqueça os fluxos de trabalho do Sentinel conectando o Microsoft Defender Threat Intelligence ao Sentinel. - Conector de dados para o Defender Threat Intelligence Soluções do Microsoft Sentinel Use as soluções do Sentinel para revisar as melhores práticas do setor. - Solução NIST 800-53 - Solução CMMS 2.0 - Pastas de trabalho DoD ZT Sentinel - Conteúdo e soluções do Sentinel
`Target` 6.7.2 Enriquecimento de fluxo de trabalho Pt2 As organizações do DoD identificam e estabelecem fluxos de trabalho estendidos para tipos de resposta a incidentes adicionais. As fontes de dados de enriquecimento inicial são usadas para fluxos de trabalho existentes. Fontes adicionais de enriquecimento são identificadas para integrações futuras. Resultados: - Fluxos de trabalho para eventos de ameaça avançados são desenvolvidos - Eventos de ameaça avançada são identificados	Microsoft Sentinel Use detecção avançada de ataque multiestágio no Fusion e regras de análise de detecção de anomalias UEBA, no Microsoft Sentinel para disparar playbooks de resposta de segurança automatizada. Veja as Diretrizes da Microsoft 6.2.3 e 6.4.1 nesta seção. Para enriquecer os fluxos de trabalho do Sentinel, conecte o Microsoft Defender Threat Intelligence e outras soluções de plataformas de inteligência contra ameaças ao Microsoft Sentinel. - Conectar plataformas de inteligência contra ameaças ao Sentinel - Conectar o Sentinel a feeds de inteligência contra ameaças STIX/TAXII Veja as Diretrizes da Microsoft 6.7.1.
`Advanced` 6.7.3 Enriquecimento de fluxo de trabalho Pt3 As organizações do DoD usam fontes de dados de enriquecimento final em fluxos de trabalho básicos e estendidos de resposta a ameaças. Resultados: - Dados de enriquecimento foram identificados - Os dados de enriquecimento são integrados aos fluxos de trabalho	Microsoft Sentinel Adicionar entidades para melhorar os resultados da inteligência contra ameaças no Sentinel. - Tarefas para gerenciar incidentes no Sentinel - Enriquecer entidades com dados de geolocalização Enriquecer fluxos de trabalho de investigação e gerenciar incidentes no Sentinel. - Tarefas para gerenciar incidentes no Sentinel - Enriquecer entidades com dados de geolocalização
`Advanced` 6.7.4 Fluxo de Trabalho Automatizado As organizações do DoD se concentram na automação das funções e dos playbooks de SOAR (Orquestração de Segurança, Automação e Resposta). Os processos manuais dentro das operações de segurança são identificados e totalmente automatizados tanto quanto possível. Os processos manuais restantes são desativados quando possível ou marcados para exceção usando uma abordagem baseada em risco. Resultados: - Os processos de fluxo de trabalho são totalmente automatizados - Os processos manuais foram identificados - Os processos restantes são marcados como exceções e documentados	os Microsoft Sentinel playbooks são baseados em Logic Apps, um serviço de cloud que agenda, automatiza e orquestra tarefas e fluxos de trabalho em sistemas empresariais. Crie guias estratégicos de resposta com modelos, implante soluções do hub de conteúdo do Sentinel. Crie regras de análise personalizadas e ações de resposta com Azure Logic Apps. - Livros de estratégias do Sentinel a partir de modelos - Automatize a resposta a ameaças com livros de estratégias - Catálogo de conteúdo do hub Sentinel - Azure Logic Apps

Próximas etapas

Configurar os serviços de nuvem da Microsoft para a Estratégia de Zero Trust do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-03-26