Estratégia Zero Trust do DoD para o pilar de automação e orquestração

A DoD Zero Trust Estratégia e Roteiro delineia um caminho para que os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotem um novo quadro de cibersegurança baseado em princípios Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências dos utilizadores e o desempenho da missão.

Este guia contém recomendações para as 152 atividades de "Zero Trust" no Roadmap de Execução de Capacidades Zero Trust da DoD. As secções correspondem aos sete pilares do modelo Zero Trust do DoD.

Use os links a seguir para ir para as seções do guia.

6 Automação e orquestração

Esta secção contém orientações e recomendações da Microsoft para as atividades Zero Trust do DoD no pilar de automação e orquestração. Para saber mais, consulte visibilidade, automação e orquestração com Zero Trust.

6.1 Ponto de decisão política (PDP) e orquestração de políticas

O Microsoft Sentinel tem orquestração de segurança, automação e resposta (SOAR) através de recursos baseados na cloud. Automatize a deteção e as respostas a ataques cibernéticos. O Sentinel integra-se com Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure e plataformas não Microsoft. Essas integrações extensíveis permitem que o Sentinel coordene ações de deteção e resposta de segurança cibernética em todas as plataformas, aumentando a eficácia e a eficiência das operações de segurança.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.1.1 Inventário e Desenvolvimento de PolíticasO DoD trabalha com as Organizações para catalogar e inventariar as políticas e normas existentes de Cibersegurança. As políticas são atualizadas e criadas em atividades entre pilares, conforme necessário para atender à funcionalidade crítica do ZT Target. Resultados: - Políticas foram recolhidas em referência à conformidade e risco aplicáveis (por exemplo, RMF, NIST) - As políticas foram revistas para detetar Pilares e Capacidades em falta segundo a ZTRA - As áreas em falta das políticas são atualizadas para cumprir as capacidades conforme a ZTRA	Microsoft Purview Compliance ManagerUtilizar o Microsoft Purview Compliance Manager para avaliar e gerir a conformidade num ambiente multicloud.Compliance ManagerAzure, Dynamics 365, Microsoft PurviewSuporte MulticloudMicrosoft Defender for CloudUtilize as funcionalidades de conformidade regulatória do Defender for Cloud para visualizar e melhorar a conformidade com iniciativas Azure Policy num ambiente multicloud.Melhorar a conformidade regulatóriaFedRAMP Alta Conformidade RegulatóriaNIST SP 800-53 Rev. 5 Conformidade RegulatóriaCMMC Conformidade RegulatóriaMicrosoft SentinelO hub de conteúdos do Sentinel tem soluções para visualizar e medir o progresso com requisitos de segurança específicos do domínio.Catálogo do hub de conteúdos SentinelDoD ZT Sentinel workbookNIST SP 800-53 solução
`Target` 6.1.2 Perfil de Acesso à Organização As organizações DoD desenvolvem perfis básicos de acesso para missão/tarefa e não-missão/tarefa no acesso DAAS, utilizando os dados dos pilares Utilizador, Dados, Rede e Dispositivo. O DoD Enterprise trabalha com as organizações para desenvolver um perfil de segurança empresarial usando os perfis de segurança organizacionais existentes para criar uma abordagem de acesso comum ao DAAS. Uma abordagem faseada pode ser utilizada nas organizações para limitar o risco associado ao acesso crítico à DAAS para missão/tarefa, uma vez que os perfis de segurança são criados. Resultados: - Perfis de âmbito organizacional são criados para determinar o acesso ao DAAS utilizando capacidades dos pilares Utilizador, Dados, Rede e Dispositivo - O padrão inicial de acesso a perfis empresariais é desenvolvido para acesso ao DAAS - Sempre que possível, o(s) perfis da organização utilizam os serviços empresariais disponíveis nos pilares Utilizador, Dados, Rede e Dispositivo	Acesso Condicional Defina conjuntos padronizados de políticas do DoD com Acesso Condicional. Incluir força de autenticação, conformidade do dispositivo, além de controlos de risco do utilizador e de início de sessão. - Acesso Condicional
`Target` 6.1.3 Perfil de Segurança Empresarial Pt1 O perfil de Segurança Empresarial abrange inicialmente os pilares de Utilizador, Dados, Rede e Dispositivo. Perfis de Segurança Organizacional existentes são integrados para acesso DAAS não relacionado com missão/tarefa no seguinte. Resultados: - Perfis empresariais são criados para aceder ao DAAS usando capacidades dos Pilares de Utilizador, Dados, Rede e Dispositivo - Perfis de organização não relacionados com missão/tarefa são integrados com os perfis empresariais, utilizando uma abordagem padronizada	Concluir a atividade 6.1.2. Microsoft Graph API Utilizar o Microsoft Graph API para gerir e implementar políticas de Acesso Condicional, definições de acesso entre inquilinos e outras definições de configuração do Microsoft Entra. - Acesso programático - API de definições de acesso entre tenants - Funcionalidades e serviços do Graph
`Advanced` 6.1.4 Perfil de Segurança Empresarial Pt2 Existe o número mínimo de Perfis de Segurança Empresarial que concede acesso à maior variedade de DAAS entre os Pilares dentro das Organizações do DoD. Os perfis de organização de missão/tarefa são integrados com o(s) Perfil(s) de Segurança Empresarial e as exceções são geridas numa abordagem metódica baseada no risco. Resultados: - Perfis empresariais foram reduzidos e simplificados para suportar a maior variedade de acesso ao DAAS - Quando apropriado, os perfis críticos de missão/tarefa foram integrados e os perfis organizacionais suportados são considerados exceções	Acesso Condicional Utilize o workbook de insights e relatórios de Acesso Condicional para ver como as políticas de Acesso Condicional afetam a sua organização. Se possível, combine políticas. Um conjunto de políticas simplificado é mais fácil de gerenciar, solucionar problemas e testar novos recursos de Acesso Condicional. Pode usar modelos de Acesso Condicional para criar políticas mais simples. - Informações e relatórios - Modelos Use a ferramenta What If e o modo de apenas relatório para diagnosticar e avaliar novas políticas. - Diagnosticar Acesso Condicional - Modo de apenas Reduza a dependência da sua organização em locais de rede confiáveis. Utilize localizações de países/regiões determinadas por coordenadas GPS ou endereço IP para simplificar as condições de localização nas políticas de Acesso Condicional. - Condições de localização Atributos personalizados de segurança Use atributos de segurança personalizados e filtros para aplicações nas políticas de Acesso Condicional para definir o âmbito da autorização dos atributos de segurança atribuídos a objetos de aplicação, como a sensibilidade. Atributos personalizados de segurança - Filtros para aplicações -

6.2 Automatização de processos críticos

A automação do Microsoft Sentinel executa tarefas normalmente realizadas por analistas de segurança de nível 1. As regras de automação utilizam o Azure Logic Apps para o ajudar a desenvolver fluxos de trabalho detalhados e automatizados que melhoram as operações de segurança. Por exemplo, enriquecimento de incidentes: ligar a fontes de dados externas para a deteção de atividades maliciosas.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.2.1 Análise de Automação de TarefasAs Organizações do DoD identificam e enumeram todas as atividades de tarefas que podem ser executadas manualmente e de forma automatizada. As atividades das tarefas são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para uma possível aposentadoria. Resultados: - Tarefas automatizáveis identificadas - Tarefas enumeradas - Inventário e desenvolvimento de políticas	Completar a atividade 6.1.1. Azure Resource Manager Usar templates ARM e Azure Blueprints para automatizar implementações usando infraestrutura como código (IaC). - ARM templates - Azure Blueprints Azure Policy Organizar atribuições do Azure Policy usando as suas definições de iniciativa. - Azure Policy - Definição de iniciativa Microsoft Defender for Cloud Implementar padrões e benchmarks regulatórios do Defender for Cloud. - Atribuir padrões de segurança Microsoft Entra ID Governance Definir catálogos de pacotes de acesso para estabelecer padrões para atribuições e revisões de pacotes de acesso. Desenvolver fluxos de trabalho do ciclo de vida de identidade utilizando o Azure Logic Apps para automatizar tarefas de novos colaboradores, transferidos, saídos e outras tarefas passíveis de automação. - Recursos de gestão de direitos - Acesso de utilizadores externos - Implementação de revisão de acesso - Criar fluxos de trabalho de ciclo de vida
`Target` 6.2.2 Integração Empresarial e Provisão de Fluxos de Trabalho Parte 1 A empresa do DoD estabelece integrações de base dentro da solução de Orquestração, Automação e Resposta de Segurança (SOAR) necessária para permitir a funcionalidade ZTA ao nível alvo. As organizações do DoD identificam pontos de integração e priorizam os principais de acordo com a linha de base corporativa do DoD. Integrações críticas ocorrem atendendo aos principais serviços, permitindo recursos de recuperação e proteção. Resultados: - Implementar integrações empresariais completas - Identificar integrações chave - Identificar requisitos de recuperação e proteção	Microsoft Sentinel Liga fontes de dados relevantes ao Sentinel para permitir regras de análise. Inclui conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de segurança com Azure Monitor Agente (AMA) e outras fontes de dados API, Syslog ou Common Event Format (CEF). - conectores de dados Sentinel - UEBA no Sentinel Microsoft Defender XDR Configurar integrações de componentes de Microsoft Defender XDR implementados e ligar Microsoft Defender XDR ao Sentinel. - Ligar dados do Defender XDR ao Sentinel Ver Orientação Microsoft 2.7.2 em Device. Use o Defender XDR para procurar, investigar, alertar e responder a ameaças - Investigação e resposta automatizadas
`Advanced` 6.2.3 Integração Empresarial e Provisionamento de Fluxos de Trabalho Pt2 As organizações do DoD integram os serviços remanescentes para satisfazer os requisitos básicos e os requisitos avançados de funcionalidade ZTA conforme apropriado em cada ambiente. O provisionamento de serviços é integrado e automatizado em fluxos de trabalho quando necessário, atendendo às funcionalidades alvo do ZTA. Resultados: - Serviços identificados - A provisão de serviços é implementada	Microsoft Defender XDR Microsoft Defender XDR protege identidades, dispositivos, dados e aplicações. Utilize o Defender XDR para configurar integrações de componentes - configuração da ferramenta XDR - remediações do Defender XDR Microsoft Sentinel Conecte novas fontes de dados ao Sentinel e ative regras de análise de dados padrão e personalizadas. - SOAR em Sentinel

6.3 Aprendizagem automática

O Microsoft Defender XDR e o Microsoft Sentinel utilizam inteligência artificial (IA), aprendizagem automática (ML) e inteligência de ameaças para detetar e responder a ameaças avançadas. Use integrações do Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional para usar sinais de risco e aplicar políticas de acesso adaptativo.

Saiba mais sobre a plataforma de segurança da Microsoft e o Aprendizado de Máquina, Preparação para o Security Copilot nas Nuvens Governamentais dos EUA.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 6.3.1 Implementar Ferramentas de Machine Learning para Etiquetagem e Classificação de Dados
As organizações do DoD utilizam os padrões e requisitos existentes de Etiquetagem e Classificação de Dados para adquirir solução(ões) de Machine Learning conforme necessário. Soluções de Machine Learning são implementadas em organizações e repositórios de dados já marcados e classificados são usados para estabelecer referências. A(s) solução(ões) de aprendizado de máquina aplica(m) tags de dados em uma abordagem supervisionada para melhorar continuamente a análise.

Resultado:
- As ferramentas implementadas de marcação e classificação de dados estão integradas com ferramentas de ML Microsoft Purview
Configure a autoetiquetagem em Microsoft Purview para o lado de serviço (Microsoft 365) e lado cliente (Microsoft Office apps), e em Microsoft Purview Data Map.
- Etiquetas de dados de sensibilidade no Data Map

Consulte as orientações Microsoft 4.3.4 e 4.3.5 em Data.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.3.1 Implementar Ferramentas de Machine Learning para Etiquetagem e Classificação de Dados As organizações do DoD utilizam os padrões e requisitos existentes de Etiquetagem e Classificação de Dados para adquirir solução(ões) de Machine Learning conforme necessário. Soluções de Machine Learning são implementadas em organizações e repositórios de dados já marcados e classificados são usados para estabelecer referências. A(s) solução(ões) de aprendizado de máquina aplica(m) tags de dados em uma abordagem supervisionada para melhorar continuamente a análise. Resultado: - As ferramentas implementadas de marcação e classificação de dados estão integradas com ferramentas de ML	Microsoft Purview Configure a autoetiquetagem em Microsoft Purview para o lado de serviço (Microsoft 365) e lado cliente (Microsoft Office apps), e em Microsoft Purview Data Map. - Etiquetas de dados de sensibilidade no Data Map Consulte as orientações Microsoft 4.3.4 e 4.3.5 em Data.

6.4 Inteligência artificial

O Microsoft Defender XDR e o Microsoft Sentinel utilizam inteligência artificial (IA), aprendizagem automática (ML) e inteligência de ameaças para detetar e responder a ameaças avançadas. As integrações entre Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional ajudam-no a usar sinais de risco para aplicar políticas de acesso adaptativo.

Saiba mais sobre a stack de segurança da Microsoft e a IA, Preparação para Copilot de Segurança nas Nuvens do Governo dos EUA.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Advanced 6.4.1 Implementar
ferramentas de automação de IA As organizações do DoD identificam áreas de melhoria com base nas técnicas existentes de aprendizagem automática para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos.

Resultados:
- Desenvolver os requisitos
das ferramentas de IA - Adquirir e implementar ferramentas de IA Fusion em Microsoft Sentinel
Fusion é uma regra avançada de análise de deteção de ataques em múltiplos estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que deteta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Identifica comportamentos anómalos e atividades suspeitas que de outra forma seriam difíceis de detectar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade.
- Deteção avançada de ataques multiestágio
- Anomalias personalizáveis
- Regras de análise de deteção de anomalias

Microsoft Entra ID Protection
A proteção de identidade utiliza algoritmos de aprendizagem automática (ML) para detetar e remediar riscos baseados em identidade. Ative o Microsoft Entra ID Protection para criar políticas de Acesso Condicional para o risco de utilizadores e de início de sessão.
- Microsoft Entra ID Protection
- Configurar e ativar políticas de risco

Azure DDoS Protection
Azure DDoS Protection utiliza perfilagem inteligente de tráfego para aprender sobre o tráfego de aplicações e ajustar o perfil conforme o tráfego muda.
- Azure DDoS Protection

Advanced 6.4.2 Inteligência Artificial (IA) Guiada por Análise decide modificações de A&O
Organizações do Ministério da Defesa que utilizam funções de aprendizagem automática existentes implementam e utilizam tecnologia de IA, como redes neurais, para facilitar as decisões relacionadas à automação e orquestração. A tomada de decisões é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor os riscos.

Resultado:
- A IA é capaz de fazer alterações às atividades automatizadas do fluxo de trabalho Microsoft Sentinel
Permitir regras analíticas para detetar ataques multiestágio avançados com anomalias Fusion e UEBA em Microsoft Sentinel. Desenhe regras e manuais de automação para resposta à segurança.

Consulte as orientações da Microsoft em 6.2.3 e 6.4.1.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Advanced` 6.4.1 Implementar ferramentas de automação de IA As organizações do DoD identificam áreas de melhoria com base nas técnicas existentes de aprendizagem automática para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos. Resultados: - Desenvolver os requisitos das ferramentas de IA - Adquirir e implementar ferramentas de IA	Fusion em Microsoft Sentinel Fusion é uma regra avançada de análise de deteção de ataques em múltiplos estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que deteta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Identifica comportamentos anómalos e atividades suspeitas que de outra forma seriam difíceis de detectar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade. - Deteção avançada de ataques multiestágio - Anomalias personalizáveis - Regras de análise de deteção de anomalias Microsoft Entra ID Protection A proteção de identidade utiliza algoritmos de aprendizagem automática (ML) para detetar e remediar riscos baseados em identidade. Ative o Microsoft Entra ID Protection para criar políticas de Acesso Condicional para o risco de utilizadores e de início de sessão. - Microsoft Entra ID Protection - Configurar e ativar políticas de risco Azure DDoS Protection Azure DDoS Protection utiliza perfilagem inteligente de tráfego para aprender sobre o tráfego de aplicações e ajustar o perfil conforme o tráfego muda. - Azure DDoS Protection
`Advanced` 6.4.2 Inteligência Artificial (IA) Guiada por Análise decide modificações de A&O Organizações do Ministério da Defesa que utilizam funções de aprendizagem automática existentes implementam e utilizam tecnologia de IA, como redes neurais, para facilitar as decisões relacionadas à automação e orquestração. A tomada de decisões é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor os riscos. Resultado: - A IA é capaz de fazer alterações às atividades automatizadas do fluxo de trabalho	Microsoft Sentinel Permitir regras analíticas para detetar ataques multiestágio avançados com anomalias Fusion e UEBA em Microsoft Sentinel. Desenhe regras e manuais de automação para resposta à segurança. Consulte as orientações da Microsoft em 6.2.3 e 6.4.1.

6.5 Orquestração, automação e resposta de segurança (SOAR)

O Microsoft Defender XDR tem capacidades de deteção e resposta com deteções padrão e personalizáveis. Expanda a capacidade utilizando as regras de análise do Microsoft Sentinel para ativar ações de orquestração, automação e resposta de segurança (SOAR) com o Azure Logic Apps.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target`6.5.1 Análise As Organizações do DoD identificam e enumeram todas as atividades de resposta que são executadas manualmente e de forma automatizada. As atividades de resposta são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para uma possível aposentadoria. Resultado: - Atividades de resposta automatizáveis são identificadas - As atividades de resposta são enumeradas	Microsoft Defender XDR Microsoft Defender XDR tem ações automáticas e manuais de resposta para incidentes de ficheiros e dispositivos. - Incidentes no Defender XDR
`Target` 6.5.2 Implementar Ferramentas SOAR A empresa do DoD, em colaboração com organizações, desenvolve um conjunto padrão de requisitos para ferramentas de orquestração, automação e resposta de segurança (SOAR) para habilitar funções ZTA no nível alvo. As organizações do DoD usam requisitos aprovados para adquirir e implementar a solução SOAR. As integrações de infraestrutura básica para futuras funcionalidades SOAR foram concluídas. Resultados: - Desenvolver os requisitos para a ferramenta SOAR - Adquirir a ferramenta SOAR	Microsoft Defender XDR Utilizar Microsoft Defender XDR capacidades de resposta padrão. Consulte as orientações Microsoft 6.5.1. Microsoft Sentinel Sentinel usa Azure Logic Apps para funcionalidade SOAR. Use aplicativos lógicos para criar e executar fluxos de trabalho automatizados com pouco ou nenhum código. Use Logic Apps para se ligar e interagir com recursos fora do Microsoft Sentinel. - Playbooks com regras de automação - Automatizar a resposta a ameaças usando playbooks
`Advanced` 6.5.3 Implementar Playbooks As organizações do DoD revêem todos os playbooks existentes para identificar oportunidades de automação futura. Os processos manuais e automatizados existentes, que anteriormente não tinham playbooks, agora têm playbooks desenvolvidos. Os playbooks são priorizados para que a automação seja integrada com as atividades de Fluxos de Trabalho Automatizados que abrangem Processos Críticos. Processos manuais sem playbooks são autorizados utilizando uma abordagem metódica baseada em risco. Resultados: - Sempre que possível, automatizar os playbooks com base na capacidade dos fluxos de trabalho automatizados - Desenvolvimento e implementação de playbooks manuais	Microsoft Sentinel Rever os processos de segurança atuais e utilizar as melhores práticas do Microsoft Cloud Adoption Framework (CAF). Para estender os recursos SOAR, crie e personalize playbooks. Comece com os modelos de playbook Sentinel. - Operações de segurança - SOC Process Framework - Playbooks a partir de templates

6.6 Padronização da API

A Microsoft Graph API tem uma interface padrão para interagir com os serviços cloud da Microsoft. O Azure API Management pode proteger APIs alojadas pela sua organização.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.6.1 Análise de Conformidade de FerramentasAs ferramentas e soluções de Automação e Orquestração são analisadas quanto à conformidade e capacidades com base no padrão e nos requisitos de interface programática empresarial do DoD. Mais ferramentas ou soluções são identificadas para suportar os padrões e requisitos de interface programática. Resultados: - O estado da API é determinado quanto à conformidade ou não conformidade com as normas da API - As ferramentas a utilizar são Identificadas	API de segurança do Microsoft Graph Microsoft Defender, Microsoft Sentinel e Microsoft Entra têm APIs documentadas. - API de segurança - Utilize o Microsoft Graph - APIs de proteção de identidade Siga as melhores práticas para APIs desenvolvidas pela sua organização. - Interface de Programação de Aplicações - design RESTful de APIs web
`Target` 6.6.2 Chamadas e Esquemas de API Padronizados Pt1 A empresa do DoD trabalha com organizações para estabelecer um padrão de interface programática (por exemplo, API) e requisitos conforme necessário para permitir funcionalidades ZTA alvo. As organizações do DoD atualizam as interfaces programáticas para o novo padrão e exigem ferramentas recém-adquiridas/desenvolvidas para atender ao novo padrão. As ferramentas incapazes de cumprir a norma são permitidas por exceção, utilizando uma abordagem metódica baseada no risco. Resultados: - As chamadas iniciais e os esquemas são implementados - As ferramentas não compatíveis são substituídas	Complete a atividade 6.6.1. Azure API Management Use o Azure API Management como gateway de API para comunicar com APIs e criar um esquema de acesso consistente para várias APIs. - Azure API Management ferramentas de Azure Automation Orquestre as ações do modelo Zero Trust usando ferramentas de Azure Automation. - Integração e automação na Azure
`Target` 6.6.3 Chamadas e Esquemas de API Padronizados Pt2 As organizações do DoD completam a migração para o novo padrão de interface programática. As ferramentas marcadas para desativação na atividade anterior são desativadas e as funções são migradas para ferramentas modernizadas. Os esquemas aprovados são adotados com base nos padrões/requisitos do DoD Enterprise. Resultado: - Todas as chamadas e esquemas são implementados	Microsoft Sentinel Use o Sentinel como motor de orquestração para desencadear e executar ações nas ferramentas de automação citadas neste documento. - Automatize a resposta a ameaças com playbooks

6.7 Centro de operações de segurança (SOC) e resposta a incidentes (IR)

O Microsoft Sentinel é uma solução de gestão de casos para investigar e gerir incidentes de segurança. Para automatizar ações de resposta à segurança, conectar soluções de inteligência de ameaças, implementar soluções Sentinel, permitir análises de comportamento de entidades de utilizador (UEBAs) e criar playbooks com Azure Logic Apps.

Saiba como aumentar o nível de maturidade do Centro de Operações de Segurança (SOC), veja a investigação de incidentes Sentinel e gestão de casos.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.7.1 Enriquecimento de Fluxo de Trabalho Pt1 O DoD Enterprise trabalha com organizações para estabelecer um padrão de resposta a incidentes de cibersegurança, utilizando as melhores práticas do setor, como o NIST. As organizações do DoD utilizam o padrão corporativo para determinar fluxos de trabalho de resposta a incidentes. São identificadas fontes externas de enriquecimento para uma futura integração. Resultados: - Eventos de ameaça são identificados - São desenvolvidos fluxos de trabalho para eventos de ameaça	Conectores de dados Microsoft SentinelEnriquecer os fluxos de trabalho do Sentinel ligando o Microsoft Defender Threat Intelligence ao Sentinel.Conector de dados para Defender Threat IntelligenceSoluções Microsoft SentinelUtilizar soluções Sentinel para rever as melhores práticas da indústria.Solução NIST 800-53Solução CMMS 2.0Workbooks DoD ZT SentinelConteúdo e soluções Sentinel
`Target` 6.7.2 Enriquecimento de Fluxo de Trabalho Pt2 As organizações do DoD identificam e estabelecem fluxos de trabalho alargados para tipos adicionais de resposta a incidentes. As fontes de dados de enriquecimento inicial são usadas para fluxos de trabalho existentes. São identificadas fontes adicionais de enriquecimento para futuras integrações. Resultados: - São desenvolvidos fluxos de trabalho para eventos de ameaça avançados - Eventos de ameaça avançada são identificados	Microsoft Sentinel Utilizar deteção avançada de ataques multiestágio no Fusion e regras de análise de deteção de anomalias da UEBA, em Microsoft Sentinel para ativar manuais de resposta automática de segurança. Veja as orientações da Microsoft 6.2.3 e 6.4.1 nesta secção. Para enriquecer fluxos de trabalho do Sentinel, ligar soluções Microsoft Defender Threat Intelligence e outras plataformas de inteligência de ameaças a Microsoft Sentinel. - Ligue plataformas de inteligência de ameaças ao Sentinel - Ligue o Sentinel aos feeds de inteligência de ameaças STIX/TAXII Veja as orientações da Microsoft 6.7.1.
`Advanced` 6.7.3 Enriquecimento do Fluxo de Trabalho Pt3 As organizações do DoD utilizam fontes finais de dados de enriquecimento em fluxos de trabalho básicos e estendidos de resposta a ameaças. Resultados: - Os dados de enriquecimento foram identificados - Os dados de enriquecimento estão integrados nos fluxos de trabalho	Microsoft Sentinel Adicionar entidades para melhorar os resultados de inteligência de ameaças no Sentinel. - Tarefas para gerir incidentes no Sentinel - Enriquecer entidades com dados de geolocalização Enriquecer fluxos de trabalho de investigação e gerir incidentes no Sentinel. - Tarefas para gerir incidentes no Sentinel - Enriquecer entidades com dados de geolocalização
`Advanced` 6.7.4 Fluxo de Trabalho Automatizado As organizações do DoD focam-se na automatização das funções e playbooks de Orquestração, Automação e Resposta de Segurança (SOAR). Os processos manuais dentro das operações de segurança são identificados e totalmente automatizados quanto possível. Os processos manuais restantes são desativados quando possível ou marcados para exceção usando uma abordagem baseada no risco. Resultados: - Os processos de fluxo de trabalho são totalmente automatizados - Processos manuais foram identificados - Os processos restantes são assinalados como exceções e documentados	Microsoft Sentinel playbooks Os playbooks do Sentinel baseiam-se no Logic Apps, um serviço em nuvem que agenda, automatiza e orquestra tarefas e fluxos de trabalho entre sistemas empresariais. Crie playbooks de resposta com modelos, implante soluções a partir do hub de conteúdo do Sentinel. Crie regras de análise personalizadas e ações de resposta com o Azure Logic Apps. - Os guias de ação do Sentinel a partir de modelos - Automatizar a resposta a ameaças com guias de ação - Portal de conteúdos do Sentinel - Azure Logic Apps

Próximos passos

Configure os serviços cloud da Microsoft para a Estratégia Zero Trust do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-03-26