Estratégia de Zero Trust do DoD para o pilar de visibilidade e análise

O DoD Zero Trust Strategy and Roadmap descreve um caminho para os parceiros do Departamento de Defesa e da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética com base em princípios Zero Trust. Zero Trust elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades de Zero Trust no DoD Zero Trust Capability Execution Roadmap. As seções correspondem aos sete pilares do modelo de Zero Trust do DoD.

Use os links a seguir para acessar as seções do guia.

7 Visibilidade e análise

Esta seção tem diretrizes e recomendações da Microsoft para atividades de Zero Trust do DoD no pilar de visibilidade e análise. Para saber mais, consulte Visibilidade, automação e orquestração com Zero Trust.

7.1 Registrar todo o tráfego

Microsoft Sentinel é um sistema SIEM (gerenciamento de eventos de informações de segurança) escalonável e nativo de nuvem. Além disso, o Sentinel é uma solução de orquestração, automação e resposta de segurança (SOAR) para lidar com grandes volumes de dados de várias fontes. Os conectores de dados do Sentinel ingerem dados entre usuários, dispositivos, aplicativos e infraestrutura, no local e em várias nuvens.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 7.1.1 Considerações de escala As organizações do DoD realizam análises para determinar as necessidades atuais e futuras de dimensionamento. A escalabilidade é analisada seguindo métodos comuns de práticas recomendadas do setor e Pilares ZT. A equipe trabalha com grupos de planejamento de continuidade de negócios (BCP) e planejamento de recuperação de desastre (DPR) existentes para determinar as necessidades de ambiente distribuído em emergências e à medida que as organizações crescem. Resultados: - Infraestrutura suficiente no local - Ambiente distribuído estabelecido - Largura de banda suficiente para tráfego de rede	Microsoft Sentinel Sentinel usa um workspace Log Analytics para armazenar dados de log de segurança para análise. Log Analytics é uma PaaS (plataforma como serviço) no Azure. Não há infraestrutura para gerenciar ou construir. - Workspace architecture - Workspace architecture best practices - Reduzir custos para Sentinel Azure Monitor Agent Transmissão de logs usando o Agente de Monitoramento do Azure para VMs (máquinas virtuais), também para dispositivos de rede locais e em outras nuvens. - Eventos de Segurança do Windows com AMA - Transmissão de logs nos formatos CEF e Syslog - Coleta de dados - Benchmark de Desempenho do Agente de Monitoramento do Azure - Ingestão escalável Infraestrutura de rede Assegure que a estrutura de rede atenda aos requisitos de largura de banda para o Microsoft 365 e monitoramento de segurança baseado na nuvem para servidores locais. - Conectividade de rede Microsoft 365 - Planejamento de rede e ajuste de desempenho - Azure ExpressRoute - Requisitos de rede do agente de máquina conectado Gerenciamento de continuidade de negócios no Azure Azure tem programas de gestão de continuidade de negócios maduros para vários setores. Examine o gerenciamento de continuidade dos negócios e a divisão de responsabilidades. - Gerenciamento de continuidade de negócios - Diretrizes de confiabilidade
`Target` 7.1.2 Análise de Logs As Organizações do DoD identificam e priorizam fontes de log e fluxo (por exemplo, Firewalls, Detecção e Resposta de Endpoint, Active Directory, Comutadores, Roteadores etc.) e desenvolvem um plano para a coleta dos logs de alta prioridade primeiro e depois de baixa prioridade. Um formato de log padrão do setor aberto é acordado no nível do DoD Enterprise com as organizações e implementado em requisitos futuros de aquisição. As soluções e tecnologias existentes são migradas para o formato continuamente. Resultados: - Formatos de log padronizados- Regras desenvolvidas para cada formato de log	Microsoft Sentinel conectores de dados Conectar fontes de dados relevantes para o Sentinel. Habilite e configure regras de análise. Os conectores de dados usam formatos de log padronizados. - Arquiteturas de segurança Zero Trust - Crie conectores personalizados do Sentinel - Logs Ingestion API em Azure Monitor Consulte a orientação 6.2.2 da Microsoft em Automação e orquestração. Padronize o log com o Common Event Format (CEF), um padrão do setor usado pelos fornecedores de segurança para promover a interoperabilidade de eventos entre plataformas. Use o Syslog para sistemas que não dão suporte a logs no CEF. - CEF com conector Azure Monitor para Sentinel - Ingestão de mensagens Syslog e CEF para o Sentinel com Azure Monitor Use o Modelo Avançado de Informações de Segurança (ASIM) (visualização pública) para coletar e exibir dados de várias fontes com um esquema normalizado. - ASIM para normalizar dados
`Target` 7.1.3 Análise de Logs As atividades comuns do usuário e do dispositivo são identificadas e priorizadas com base no risco. As atividades consideradas mais simplistas e arriscadas têm análises criadas usando fontes de dados diferentes, como logs. Tendências e padrões são desenvolvidos com base na análise coletada para examinar as atividades por períodos mais longos de tempo. Resultados: - Desenvolver análise por atividade - Identificar atividades a serem analisadas	Complete a atividade 7.1.2. Microsoft Defender XDR é um conjunto unificado de defesa corporativa pré e pós-violações de segurança que coordena a detecção, prevenção, investigação e resposta nativamente entre dispositivos, identidades, e-mail e aplicativos. Use o Defender XDR para proteger e responder a ataques sofisticados. - Investigar alertas - Zero Trust com o Defender XDR - Defender XDR para o governo dos EUA Microsoft Sentinel Desenvolva consultas de análise personalizada e visualizar dados coletados usando pastas de trabalho. - Regras de análise personalizadas para detectar ameaças - Visualizar dados coletados

7.2 Informações de segurança e gerenciamento de eventos

Microsoft Defender XDR e Microsoft Sentinel trabalhar juntos para detectar, alertar e responder a ameaças de segurança. Microsoft Defender XDR detecta ameaças em Microsoft 365, identidades, dispositivos, aplicativos e infraestrutura. O Defender XR gera alertas no portal Microsoft Defender. Conecte alertas e dados brutos de Microsoft Defender XDR ao Sentinel e use regras de análise avançada para correlacionar eventos e gerar incidentes para alertas de alta fidelidade.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 7.2.1 Alerta de ameaça Pt1 As organizações do DoD utilizam a solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) existente para desenvolver regras e alertas básicos para eventos comuns de ameaça (malware, phishing, etc.). Alertas e/ou ativações de regras são direcionados para a atividade paralela "ID do ativo e correlação de alertas" para iniciar a automação de respostas. Resultado: - Regras desenvolvidas para correlação de ameaças	Microsoft Defender XDR Microsoft Defender XDR tem alertas para ameaças detectadas em pontos de extremidade multiplataforma, identidades, email, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. A plataforma agrega alertas relacionados em incidentes automaticamente para simplificar a revisão de segurança. - Investigar alertas Regras de análise do Microsoft Sentinel Habilite regras de análise padrão para fontes de dados conectadas e crie regras de análise personalizadas para detectar ameaças no Sentinel. Veja a orientação da Microsoft em 7.1.3.
`Target` 7.2.2 Alerta de Ameaça Pt2 As Organizações do DoD expandem alertas de ameaças na solução SIEM (Gerenciamento de Informações e Eventos de Segurança) para incluir feeds de dados de CTI (Inteligência contra Ameaças Cibernéticas). Regras de desvio e anomalia são desenvolvidas no SIEM para detectar ameaças avançadas. Resultado: - Desenvolver análise para detectar desvios	Microsoft Sentinel inteligência contra ameaças Conectar feeds de inteligência contra ameaças cibernéticas (CTI) ao Sentinel. - Inteligência contra ameaças Consulte as diretrizes da Microsoft 6.7.1 e 6.7.2 em Automação e orquestração. Soluções do Microsoft Sentinel Use regras de análise e pastas de trabalho no hub de conteúdo do Microsoft Sentinel. - Conteúdo e soluções do Sentinel Regras de análise do Microsoft Sentinel Crie regras de análise agendadas para detectar desvios, criar incidentes e disparar ações de orquestração de segurança, automação e resposta (SOAR). - Regras de análise personalizadas para detectar ameaças
`Advanced` 7.2.3 Alerta de ameaça pt3 O Alerta de Ameaças é expandido para incluir fontes de dados avançadas, como XDR (Detecção Estendida & Resposta), UEBA (Análise de Comportamento de Usuário e Entidade) e UAM (Monitoramento de Atividade do Usuário). Essas fontes de dados avançadas são usadas para desenvolver detecções de atividade anômalas e padrão aprimoradas. Resultados: - Identificar eventos anômalos desencadeados - Implementar a política de acionamento	Microsoft Sentinel conectores de dados Conectar Microsoft Defender XDR ao Sentinel para agregar alertas, incidentes e dados. - Conectar Defender XDR ao Sentinel Microsoft Sentinel anomalias personalizáveis Use os modelos de anomalia personalizáveis do Microsoft Sentinel para reduzir o ruído com regras de detecção de anomalias - Anomalias personalizáveis para detectar ameaças Fusion no Microsoft Sentinel O mecanismo Fusion correlaciona alertas para ataques avançados de vários estágios. - Detecções do mecanismo Fusion Veja a orientação da Microsoft 6.4.1 em Automação e orquestração.
`Target` 7.2.4 ID do ativo e correlação de alerta As Organizações do DoD desenvolvem regras básicas de correlação usando dados de ativos e alertas. A resposta a eventos comuns de ameaça (por exemplo, malware, phishing, etc.) é automatizada na solução de gerenciamento de eventos e informações de segurança (SIEM). Resultado: - Regras desenvolvidas para respostas baseadas em ID de ativo	Microsoft Defender XDR Microsoft Defender XDR correlaciona sinais entre dispositivos de várias plataformas, identidades, e-mail, ferramentas de colaboração, aplicativos e infraestrutura de nuvem. Configurar autorrecuperação com os recursos automatizados de investigação e resposta do Microsoft Defender. - Microsoft Defender XDR - Investigação e resposta automatizadas Entidades do Microsoft Sentinel Alertas que vão para, ou são gerados pelo Sentinel, contêm itens de dados que o Sentinel classifica em entidades: contas de usuário, hosts, arquivos, processos, endereços IP, URLs. Use páginas de entidades para exibir informações de entidade, analisar o comportamento e melhorar as investigações. - Classificar e analisar dados usando entidades - Investigar páginas de entidade
`Target` 7.2.5 Linhas de base de usuário/dispositivo As Organizações DoD desenvolvem abordagens de linha de base de usuário e dispositivo com base nos padrões corporativos do DoD para o pilar apropriado. Os atributos utilizados no estabelecimento de referências são extraídos dos padrões corporativos desenvolvidos em atividades interdisciplinares entre pilares. Resultado: - Identificar linhas de base de usuário e dispositivo	Conectores de dados do Microsoft Sentinel Estabeleça uma linha de base para ingestão de dados no Microsoft Sentinel. No mínimo, inclua conectores Microsoft Entra ID e Microsoft Defender XDR, configure regras de análise padrão, e habilite a UEBA (análise de comportamento de entidade de usuário). - Conectar o Defender XDR ao Sentinel - Habilitar UEBA Azure Lighthouse Configure Azure Lighthouse para gerenciar espaços de trabalho do Sentinel em vários locatários. - Estender o Sentinel entre espaços de trabalho e locatários - Operações multitenant para organizações de defesa

7.3 Análise de risco e segurança comum

Microsoft Defender XDR tem detecções, análises e alertas padrão de ameaças. Utilize as regras de análise quase em tempo real personalizáveis do Microsoft Sentinel para ajudar a correlacionar, detectar e gerar alertas de anomalias em fontes de dados conectadas.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 7.3.1 Implementar Ferramentas de Análise
As Organizações do DoD obtêm e implementam ferramentas de análise básica focadas em cibersegurança. O desenvolvimento de análise é priorizado com base no risco e na complexidade em busca de análises fáceis e impactantes primeiro. O desenvolvimento de análise contínua concentra-se nos requisitos do pilar para atender melhor às necessidades de relatório.

Resultados:
- Desenvolver requisitos para ambiente
analítico– Adquirir e implementar ferramentas analíticas Microsoft Defender XDR e Microsoft Sentinel
Configure a integração entre o Microsoft Defender XDR e o Sentinel.
- Microsoft Defender XDR
- Sentinel e Defender XDR para Zero Trust

Target 7.3.2 Estabelecer Comportamentos de Linha de Base de Usuário
Utilizando as análises desenvolvidas para usuários e dispositivos em uma atividade paralela, as linhas de base são estabelecidas em uma solução técnica. Essas linhas de base são aplicadas a um conjunto identificado de usuários com base no risco inicialmente e, em seguida, expandidas para a maior base de usuários da organização do DoD. A solução técnica usada é integrada à funcionalidade de machine learning para iniciar a automação.

Resultados:- Identificar
para linha de base
– Estabelecer linhas de base baseadas em ML Microsoft Defender XDR
A detecção e resposta automatizadas integradas do Microsoft Defender XDR constitui uma linha de frente de defesa. As diretrizes nos pilares de Usuário e Dispositivo estabelecem o comportamento da linha de base e impõem políticas com sinais Microsoft Defender XDR em Microsoft Intune (conformidade do dispositivo) e Acesso Condicional (risco de identidade e dispositivo em conformidade).

Veja a orientação da Microsoft em User e Device.

Regras de análise do Microsoft Sentinel
Use o Sentinel para correlacionar eventos, detectar ameaças e disparar ações de resposta. Conecte fontes de dados relevantes ao Sentinel e crie regras de análise quase em tempo real para detectar ameaças durante a ingestão de dados.
- Detectar ameaças
Veja as diretrizes da Microsoft em
.

Construa um modelo de ML personalizado para analisar dados do Sentinel usando cadernos Jupyter e a plataforma traga seu próprio Machine Learning (BYO-ML).

-
-

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 7.3.1 Implementar Ferramentas de Análise As Organizações do DoD obtêm e implementam ferramentas de análise básica focadas em cibersegurança. O desenvolvimento de análise é priorizado com base no risco e na complexidade em busca de análises fáceis e impactantes primeiro. O desenvolvimento de análise contínua concentra-se nos requisitos do pilar para atender melhor às necessidades de relatório. Resultados: - Desenvolver requisitos para ambiente analítico– Adquirir e implementar ferramentas analíticas	Microsoft Defender XDR e Microsoft Sentinel Configure a integração entre o Microsoft Defender XDR e o Sentinel. - Microsoft Defender XDR - Sentinel e Defender XDR para Zero Trust
`Target` 7.3.2 Estabelecer Comportamentos de Linha de Base de Usuário Utilizando as análises desenvolvidas para usuários e dispositivos em uma atividade paralela, as linhas de base são estabelecidas em uma solução técnica. Essas linhas de base são aplicadas a um conjunto identificado de usuários com base no risco inicialmente e, em seguida, expandidas para a maior base de usuários da organização do DoD. A solução técnica usada é integrada à funcionalidade de machine learning para iniciar a automação. Resultados:- Identificar para linha de base – Estabelecer linhas de base baseadas em ML	Microsoft Defender XDR A detecção e resposta automatizadas integradas do Microsoft Defender XDR constitui uma linha de frente de defesa. As diretrizes nos pilares de Usuário e Dispositivo estabelecem o comportamento da linha de base e impõem políticas com sinais Microsoft Defender XDR em Microsoft Intune (conformidade do dispositivo) e Acesso Condicional (risco de identidade e dispositivo em conformidade). Veja a orientação da Microsoft em User e Device. Regras de análise do Microsoft Sentinel Use o Sentinel para correlacionar eventos, detectar ameaças e disparar ações de resposta. Conecte fontes de dados relevantes ao Sentinel e crie regras de análise quase em tempo real para detectar ameaças durante a ingestão de dados. - Detectar ameaças Veja as diretrizes da Microsoft em . Construa um modelo de ML personalizado para analisar dados do Sentinel usando cadernos Jupyter e a plataforma traga seu próprio Machine Learning (BYO-ML). - -

7.4 Análise de comportamento de usuário e entidade

Microsoft Defender XDR e Microsoft Sentinel detectam anomalias usando a análise de comportamento de entidade de usuário (UEBA). Detecte anomalias no Sentinel com regras de análise de Fusão, UEBA e ML (machine learning). Além disso, o Sentinel integra-se com Azure Notebooks (Jupyter Notebook) para trazer seu próprio Aprendizado de Máquina (BYO-ML) e funcionalidade de visualização.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 7.4.1 Linha de base e criação de perfil pt1 Utilizando a análise desenvolvida para usuários e dispositivos em uma atividade paralela, perfis comuns são criados para tipos típicos de usuário e dispositivo. As análises obtidas da linha de base são atualizadas para examinar contêineres e perfis maiores. Resultados: - Desenvolver análise para detectar a alteração das condições de ameaça– Identificar perfis de ameaça de usuário e dispositivo	Microsoft Defender XDR Visite o portal Microsoft Defender para uma exibição unificada de incidentes, alertas, relatórios e análise de ameaças. Use Microsoft Secure Score para avaliar e melhorar a postura de segurança. Criar detecções personalizadas para monitorar e responder a eventos de segurança no Microsoft Defender XDR. - Microsoft Defender - Avalie a postura de segurança com o Secure Score - Detecções Personalizadas Microsoft Sentinel Use pastas de trabalho para visualizar e monitorar dados. Crie regras de análise personalizadas e habilite a detecção de anomalias para identificar e alertar sobre a alteração das condições de ameaça. - Visualizar e monitorar dados - Análise personalizada para detectar ameaças - Personalizar anomalias para detectar ameaças
`Advanced` 7.4.2 Linha de base e criação de perfil pt2 As Organizações do DoD expandem linhas de base e perfis para incluir tipos de dispositivos não gerenciados e não padrão, incluindo Internet das Coisas (IoT) e Tecnologia Operacional (OT) por meio do monitoramento de saída de dados. Esses dispositivos são novamente categorizados com base em atributos padronizados e casos de uso. As análises são atualizadas para considerar as novas linhas de base e perfis, permitindo a continuidade das detecções e respostas. Usuários e dispositivos arriscados específicos são automaticamente priorizados para aumentar o monitoramento com base no risco. A detecção e a resposta são integradas com funcionalidades entre pilares. Resultados: - Adicionar perfis de ameaça para dispositivos IoT e OT – Desenvolver e estender a análise – Estender perfis de ameaça a usuários e dispositivos individuais	Microsoft Defender XDR Descubra e proteja dispositivos não gerenciados com o Microsoft Defender para Endpoint. - Descoberta de dispositivos - Anexação de locatário para dar suporte a políticas de segurança de ponto de extremidade do Intune - Proteja dispositivos gerenciados e não gerenciados - Verificações autenticadas de dispositivos de rede - Verificação autenticada de dispositivos Windows Microsoft Defender para IoT Implante sensores do Defender para IoT em redes de tecnologia operacional (OT). O Defender para IoT dá suporte ao monitoramento de dispositivo sem agente para redes OT híbridas, locais e de nuvem. Habilite o modo de aprendizagem para uma linha de base do seu ambiente e conecte o Defender para IoT ao Microsoft Sentinel. - Defender para IoT para organizações - Monitoramento OT - Linha de base aprendida de alertas OT - Conecte o Defender para IoT ao Sentinel - Investigue entidades com páginas de entidade
`Advanced` 7.4.3 Suporte de Linha de Base UEBA Pt1 Análise de Comportamento de Usuários e Entidades (UEBA) em organizações do Departamento de Defesa (DoD) expande o monitoramento para análises avançadas, como Machine Learning (ML). Esses resultados, por sua vez, são revisados e alimentados novamente nos algoritmos de ML para melhorar a detecção e a resposta. Resultado: - Implementar análise baseada em ML para detectar anomalias	Complete atividade 7.3.2.Regras de análise do Microsoft SentinelO Sentinel usa dois modelos para criar linhas de base e detectar anomalias, UEBA e aprendizado de máquina.Anomalias detectadasAnomalias UEBAUEBA detecta anomalias baseadas em linhas de base dinâmicas de entidades.Habilitar UEBAAnomalias UEBAAnomalias de aprendizado de máquinaO aprendizado de máquina identifica um comportamento incomum com modelos de regra de análise padrão.Anomalias de aprendizado de máquina
`Advanced` 7.4.4 Suporte à Linha de Base do UEBA Pt2 A UEBA (Análise de Comportamento de Usuário &Entity) em Organizações do DoD conclui sua expansão usando resultados tradicionais e baseados em ML (machine learning) para serem alimentados em algoritmos de IA (Inteligência Artificial). Inicialmente, as detecções baseadas em IA são supervisionadas, mas, em última análise, usando técnicas avançadas, como redes neurais, os operadores de UEBA não participam do processo de aprendizagem. Resultado: - Implementar análise baseada em ML para detectar anomalias (detecções de IA supervisionadas)	Fusion no Microsoft Sentinel Use a detecção avançada de ataque multifase na regra de análise Fusion no Microsoft Sentinel. Fusion é um mecanismo de correlação treinado por ML que detecta ataques de múltiplos estágios e ameaças persistentes avançadas (APTs). Identifica combinações de comportamentos anômalos e atividades suspeitas, que, de outra forma, seriam difíceis de detectar. - Detecção avançada de ataques em múltiplos estágios Cadernos do Microsoft Sentinel Construa seus próprios modelos personalizados de Aprendizado de Máquina para analisar dados do Microsoft Sentinel usando os notebooks Jupyter e a plataforma bring-your-own-Machine-Learning (BYO-ML). - BYO-ML para o Sentinel - Notebooks Jupyter e MSTICPy

7.5 Integração da inteligência contra ameaças

Microsoft Defender Inteligência contra Ameaças simplifica a triagem, a resposta a incidentes, a busca de ameaças, o gerenciamento de vulnerabilidades e a CTI (inteligência contra ameaças cibernéticas) de especialistas em ameaças da Microsoft e outras fontes. Microsoft Sentinel se conecta à Inteligência de Ameaças do Microsoft Defender e a fontes de CTI de terceiros.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 7.5.1 Programa de Inteligência contra Ameaças Cibernéticas Pt1
O DoD Enterprise trabalha com as Organizações para desenvolver e a política de programa CTI (Inteligência contra Ameaças Cibernéticas), padrão e processo. As organizações utilizam esta documentação para desenvolver equipes de CTI organizacional com as principais partes interessadas de missão e tarefa. As equipes de CTI integram feeds comuns de dados com o gerenciamento de eventos e informações de segurança (SIEM) para melhorar o alerta e a resposta. Integrações com pontos de controle de dispositivos e rede (por exemplo, Firewalls, Soluções de Segurança de Endpoint, etc.) são criadas para realizar o monitoramento básico de dados orientados por CTI.

Resultados:
- A equipe de Inteligência contra Ameaças Cibernéticas está estabelecida com partes interessadas críticas
- Os feeds de CTI públicos e de linha de base estão sendo utilizados pelo SIEM para gerar alertas
- Existem pontos de integração básicos com pontos de imposição de dispositivo e rede (por exemplo, NGAV, NGFW, NG-IPS) Microsoft Defender Inteligência contra Ameaças
Conectar Defender Threat Intelligence e outros feeds de inteligência contra ameaças ao Sentinel.
- Defender Threat Intelligence
- Habilitar conector de dados para Defender Threat Intelligence
- Conectar plataformas de inteligência contra ameaças ao Sentinel

Rede do Azure
Integrar recursos de rede com Microsoft Sentinel.
- Sentinel com Firewall de Aplicativo Web do Azure
- Azure Firewall com Sentinel

Target 7.5.2 Programa de Inteligência contra Ameaças Cibernéticas Pt2
As Organizações do DoD expandem suas equipes de CTI (Inteligência contra Ameaças Cibernéticas) para incluir novos stakeholders conforme apropriado. Os feeds de dados CTI autenticados, privados e controlados são integrados ao gerenciamento de eventos e informações de segurança (SIEM) e aos pontos de imposição dos pilares Dispositivo, Usuário, Rede e Dados.

Resultados:
- A equipe de Inteligência de Ameaças Cibernéticas está estabelecida, incluindo partes interessadas adicionais conforme necessário
- Feeds controlados e privados estão sendo utilizados pelo SIEM e outras ferramentas de análise apropriadas para alertas e monitoramento
- A integração está estabelecida para pontos de aplicação estendidos dentro dos pilares dispositivo, usuário, rede e dados (UEBA, UAM) Microsoft Sentinel conectores de dados
Gerencie recursos de rede no Azure com a API REST. Estabelecer integração básica com pontos de imposição de rede usando playbooks do Sentinel e Logic Apps.
- Operações REST de rede virtual
- Resposta a ameaças com playbooks do Sentinel

Encontre playbooks para outros pontos de imposição de rede no repositório de playbooks do Sentinel.
- Playbooks do Sentinel no GitHub

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 7.5.1 Programa de Inteligência contra Ameaças Cibernéticas Pt1 O DoD Enterprise trabalha com as Organizações para desenvolver e a política de programa CTI (Inteligência contra Ameaças Cibernéticas), padrão e processo. As organizações utilizam esta documentação para desenvolver equipes de CTI organizacional com as principais partes interessadas de missão e tarefa. As equipes de CTI integram feeds comuns de dados com o gerenciamento de eventos e informações de segurança (SIEM) para melhorar o alerta e a resposta. Integrações com pontos de controle de dispositivos e rede (por exemplo, Firewalls, Soluções de Segurança de Endpoint, etc.) são criadas para realizar o monitoramento básico de dados orientados por CTI. Resultados: - A equipe de Inteligência contra Ameaças Cibernéticas está estabelecida com partes interessadas críticas - Os feeds de CTI públicos e de linha de base estão sendo utilizados pelo SIEM para gerar alertas - Existem pontos de integração básicos com pontos de imposição de dispositivo e rede (por exemplo, NGAV, NGFW, NG-IPS)	Microsoft Defender Inteligência contra Ameaças Conectar Defender Threat Intelligence e outros feeds de inteligência contra ameaças ao Sentinel. - Defender Threat Intelligence - Habilitar conector de dados para Defender Threat Intelligence - Conectar plataformas de inteligência contra ameaças ao Sentinel Rede do Azure Integrar recursos de rede com Microsoft Sentinel. - Sentinel com Firewall de Aplicativo Web do Azure - Azure Firewall com Sentinel
`Target` 7.5.2 Programa de Inteligência contra Ameaças Cibernéticas Pt2 As Organizações do DoD expandem suas equipes de CTI (Inteligência contra Ameaças Cibernéticas) para incluir novos stakeholders conforme apropriado. Os feeds de dados CTI autenticados, privados e controlados são integrados ao gerenciamento de eventos e informações de segurança (SIEM) e aos pontos de imposição dos pilares Dispositivo, Usuário, Rede e Dados. Resultados: - A equipe de Inteligência de Ameaças Cibernéticas está estabelecida, incluindo partes interessadas adicionais conforme necessário - Feeds controlados e privados estão sendo utilizados pelo SIEM e outras ferramentas de análise apropriadas para alertas e monitoramento - A integração está estabelecida para pontos de aplicação estendidos dentro dos pilares dispositivo, usuário, rede e dados (UEBA, UAM)	Microsoft Sentinel conectores de dados Gerencie recursos de rede no Azure com a API REST. Estabelecer integração básica com pontos de imposição de rede usando playbooks do Sentinel e Logic Apps. - Operações REST de rede virtual - Resposta a ameaças com playbooks do Sentinel Encontre playbooks para outros pontos de imposição de rede no repositório de playbooks do Sentinel. - Playbooks do Sentinel no GitHub

7.6 Políticas dinâmicas automatizadas

A pilha de Segurança da Microsoft usa machine learning (ML) e inteligência artificial (IA) para proteger identidades, dispositivos, aplicativos, dados e infraestrutura. Com Microsoft Defender XDR e acesso condicional, as detecções de ML estabelecem níveis de risco agregados para usuários e dispositivos.

Use o risco do dispositivo para marcar um dispositivo como não compatível. O nível de risco de identidade permite que as organizações exijam métodos de autenticação resistentes a phishing, dispositivos compatíveis, maior frequência de entrada e muito mais. Use condições de risco e controles de acesso condicional para impor políticas de acesso automatizado e dinâmico.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Advanced 7.6.1 AI-Enabled Network Access
DoD Organizations utilizam os Perfis de Infraestrutura e Segurança Empresarial do SDN para habilitar o acesso à rede orientada por inteligência artificial (IA)/Machine Learning (ML). A análise de atividades anteriores é usada para ensinar os algoritmos de IA/ML a melhorar a tomada de decisões.

Resultado:
- O acesso à rede é controlado por IA com base na análise de ambiente Microsoft Defender XDR
Interrupção automática de ataque em Microsoft Defender XDR limita a movimentação lateral. Esta ação reduz os efeitos de um ataque de ransomware. Os pesquisadores de Segurança da Microsoft usam modelos de IA para combater complexidades de ataques avançados usando o Defender XDR. A solução correlaciona sinais em incidentes de alta confiança para identificar e conter os ataques em tempo real.
- Interrupções de ataque

Os recursos de proteção do Microsoft Defender SmartScreen e da proteção da Web se expandem para o sistema operacional para bloquear ataques de comando e controle (C2).
- Proteger sua rede
- AI para interromper ransomware operado por humanos

Microsoft Sentinel
Use o Azure Firewall para visualizar atividades de firewall, detectar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Azure Firewall com Sentinel

Advanced 7.6.2 Controle de Acesso Dinâmico Ativado por IA
Organizações do DoD utilizam o acesso dinâmico baseado em regras anteriores para ensinar algoritmos de Inteligência Artificial (IA)/Machine Learning (ML) a tomar decisões de acesso a diferentes recursos. Os algoritmos de atividade de "acesso à rede habilitado para IA" são atualizados para habilitar uma tomada de decisão mais ampla para todos os DAAS.

Resultado:
- JIT/JEA são integrados à IA Conditional Access
Require Microsoft Defender for Endpoint nível de risco da máquina na política de conformidade do Microsoft Intune. Use a conformidade do dispositivo e as condições de risco do Microsoft Entra ID Protection em políticas de Acesso Condicional.
- Políticas de acesso baseadas em risco
- Políticas de conformidade para definir regras para dispositivos gerenciados pelo Intune

Gerenciamento de Identidade Privilegiada
Utilize sinais de conformidade de dispositivos e o nível de risco de proteção de identidade para definir um contexto de autenticação para acessos privilegiados. Exigir contexto de autenticação para solicitações do PIM para impor políticas para acesso JIT (just-In-time).

Confira as diretrizes da Microsoft 7.6.1 nesta seção e 1.4.4 no Usuário.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Advanced` 7.6.1 AI-Enabled Network Access DoD Organizations utilizam os Perfis de Infraestrutura e Segurança Empresarial do SDN para habilitar o acesso à rede orientada por inteligência artificial (IA)/Machine Learning (ML). A análise de atividades anteriores é usada para ensinar os algoritmos de IA/ML a melhorar a tomada de decisões. Resultado: - O acesso à rede é controlado por IA com base na análise de ambiente	Microsoft Defender XDR Interrupção automática de ataque em Microsoft Defender XDR limita a movimentação lateral. Esta ação reduz os efeitos de um ataque de ransomware. Os pesquisadores de Segurança da Microsoft usam modelos de IA para combater complexidades de ataques avançados usando o Defender XDR. A solução correlaciona sinais em incidentes de alta confiança para identificar e conter os ataques em tempo real. - Interrupções de ataque Os recursos de proteção do Microsoft Defender SmartScreen e da proteção da Web se expandem para o sistema operacional para bloquear ataques de comando e controle (C2). - Proteger sua rede - AI para interromper ransomware operado por humanos Microsoft Sentinel Use o Azure Firewall para visualizar atividades de firewall, detectar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Azure Firewall com Sentinel
`Advanced` 7.6.2 Controle de Acesso Dinâmico Ativado por IA Organizações do DoD utilizam o acesso dinâmico baseado em regras anteriores para ensinar algoritmos de Inteligência Artificial (IA)/Machine Learning (ML) a tomar decisões de acesso a diferentes recursos. Os algoritmos de atividade de "acesso à rede habilitado para IA" são atualizados para habilitar uma tomada de decisão mais ampla para todos os DAAS. Resultado: - JIT/JEA são integrados à IA	Conditional Access Require Microsoft Defender for Endpoint nível de risco da máquina na política de conformidade do Microsoft Intune. Use a conformidade do dispositivo e as condições de risco do Microsoft Entra ID Protection em políticas de Acesso Condicional. - Políticas de acesso baseadas em risco - Políticas de conformidade para definir regras para dispositivos gerenciados pelo Intune Gerenciamento de Identidade Privilegiada Utilize sinais de conformidade de dispositivos e o nível de risco de proteção de identidade para definir um contexto de autenticação para acessos privilegiados. Exigir contexto de autenticação para solicitações do PIM para impor políticas para acesso JIT (just-In-time). Confira as diretrizes da Microsoft 7.6.1 nesta seção e 1.4.4 no Usuário.

Próximas etapas

Configurar os serviços de nuvem da Microsoft para a Estratégia de Zero Trust do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-03-26

Compartilhar via

Estratégia de Zero Trust do DoD para o pilar de visibilidade e análise

7 Visibilidade e análise

7.1 Registrar todo o tráfego

7.2 Informações de segurança e gerenciamento de eventos

7.3 Análise de risco e segurança comum

7.4 Análise de comportamento de usuário e entidade

7.5 Integração da inteligência contra ameaças

7.6 Políticas dinâmicas automatizadas

Próximas etapas

Comentários

Recursos adicionais