DoD Zero Trust strategi för synlighet och strategipelaren för analys

Den DoD Zero Trust-strategi och roadmap beskriver en väg för Department of Defense-komponenter och Försvars Industrial Base (DIB)-partner att anta ett nytt cybersäkerhetsramverk baserat på Zero Trust-principerna. Zero Trust eliminerar traditionella perimeterr och förtroendeantaganden, vilket möjliggör en effektivare arkitektur som förbättrar säkerhet, användarupplevelser och uppdragsprestanda.

Den här guiden innehåller rekommendationer för de 152 Zero Trust-aktiviteterna i DoD:s Zero Trust-förmågeutförande-översiktsplan. Avsnitten motsvarar de sju pelarna i DoD-Zero Trust modellen.

Använd följande länkar för att gå till avsnitt i guiden.

7 Synlighet och analys

Det här avsnittet innehåller vägledning och rekommendationer från Microsoft för DoD Zero Trust-aktiviteter i synlighets- och analys-pelaren. Mer information finns i Visibility, automatisering och orkestrering med Zero Trust.

7.1 Logga all trafik

Microsoft Sentinel är ett skalbart, molnbaserat SIEM-system (Security Information Event Management). Sentinel är också en lösning för säkerhetsorkestrering, automatisering och svar (SOAR) för att hantera stora datavolymer från olika källor. Sentinel-dataanslutningar matar in data mellan användare, enheter, program och infrastruktur, lokalt och i flera moln.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 7.1.1 Skalningsöverväganden DoD-organisationer utför analyser för att fastställa aktuella och framtida skalningsbehov. Skalning analyseras efter vanliga metodtips för branschen och ZT-pelare. Teamet arbetar med befintliga bcp- och haveriberedskapsplaneringsgrupper (DPR) för att fastställa distribuerade miljöbehov i nödsituationer och i takt med att organisationer växer. Resultat: - Tillräcklig infrastruktur på plats – Distribuerad miljö etablerad – Tillräcklig bandbredd för nätverkstrafik	Microsoft Sentinel Sentinel använder en Log Analytics arbetsyta för att lagra säkerhetsloggdata för analys. Log Analytics är en plattform som en tjänst (PaaS) i Azure. Det finns ingen infrastruktur för att hantera eller bygga. - Arbetsytans arkitektur - Arbetsytans bästa praxis - Minska kostnaderna för Sentinel Azure Monitor Agent Strömma loggar med hjälp av Azure Monitor Agent för virtuella datorer (VM) samt nätverksinstallationer lokalt och i andra moln. - Windows Security Händelser med AMA - Strömma loggar i CEF- och Syslog-format - Datasamling - Azure Monitor Agent Prestandamått - Skalbar insamling Nätverksinfrastruktur Se till att nätverksinfrastrukturen uppfyller bandbreddskraven för Microsoft 365 och molnbaserad säkerhetsövervakning för lokala servrar. - Microsoft 365 nätverksanslutning - Nätverksplanering och prestandajustering - Azure ExpressRoute - Anslutna datoragentnätverkskrav Affärskontinuitetshantering i Azure Azure har mogna program för affärskontinuitetshantering för flera branscher. Granska hantering av affärskontinuitet och ansvarsfördelning. - Hantering - Vägledning om tillförlitlighet
`Target` 7.1.2 Loggparsing DoD-organisationer identifierar och prioriterar logg- och flödeskällor (t.ex. brandväggar, Endpoint Detection and Response (EDR), Active Directory, växlar, routrar osv.) och utvecklar en plan för insamling av först loggar med hög prioritet och sedan med låg prioritet. Ett öppet branschstandardloggformat avtalas på DoD Enterprise-nivå med organisationer och implementeras i framtida upphandlingskrav. Befintliga lösningar och tekniker migreras kontinuerligt till formatet. Resultat: – Standardiserade loggformat – Regler som utvecklats för varje loggformat	Microsoft Sentinel dataanslutningar Anslut relevanta datakällor till Sentinel. Aktivera och konfigurera analysregler. Dataanslutningar använder standardiserade loggformat. - Övervaka Zero Trust säkerhetsarkitekturer - Skapa anpassade Sentinel-anslutningsappar - Logs Ingestion API i Azure Monitor See Microsoft guidance 6.2.2 in Automation and orchestration. Standardize logging with Common Event Format (CEF), en branschstandard som används av säkerhetsleverantörer för händelsekompatibilitet mellan plattformar. Använd Syslog för system som inte stöder loggar i CEF. - CEF med Azure Monitor-anslutningsappen för Sentinel - Ingest Syslog- och CEF-meddelanden till Sentinel med Azure Monitor Använda ASIM (Advanced Security Information Model) (offentlig förhandsversion) för att samla in och visa data från flera källor med en normaliserad schema. - ASIM för att normalisera data
`Target` 7.1.3 Logganalys Vanliga användar- och enhetsaktiviteter identifieras och prioriteras baserat på risk. Aktiviteter som anses vara de mest förenklade och riskfyllda har analyser som skapats med olika datakällor, till exempel loggar. Trender och mönster utvecklas baserat på den analys som samlas in för att titta på aktiviteter under längre tidsperioder. Resultat:- Utveckla analys per aktivitet – Identifiera aktiviteter som ska	Slutför aktivitet 7.1.2. Microsoft Defender XDR Microsoft Defender XDR är en enhetlig svit för företagsförsvar både före och efter ett intrång som samordnar identifiering, förebyggande, undersökning och respons naturligt över slutpunkter, identiteter, e-post och applikationer. Använd Defender XDR för att skydda mot och svara på avancerade attacker. - Investigate-aviseringar - Zero Trust med Defender XDR - Defender XDR för amerikanska myndigheter Microsoft Sentinel Utveckla anpassade analysfrågor och visualisera insamlade data med hjälp av arbetsböcker. - Custom analytics-regler för att identifiera hot - Visualisera insamlade data

7.2 Säkerhetsinformation och händelsehantering

Microsoft Defender XDR och Microsoft Sentinel arbeta tillsammans för att identifiera, varna och svara på säkerhetshot. Microsoft Defender XDR identifierar hot i Microsoft 365, identiteter, enheter, program och infrastruktur. Defender XR genererar aviseringar i Microsoft Defender-portalen. Anslut aviseringar och rådata från Microsoft Defender XDR till Sentinel och använd avancerade analysregler för att korrelera händelser och generera incidenter för aviseringar med hög återgivning.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 7.2.1 Hotaviseringar Pt1 DoD-organisationer använder befintlig SIEM-lösning (Security Information and Event Management) för att utveckla grundläggande regler och aviseringar för vanliga hothändelser (skadlig kod, nätfiske osv.) Aviseringar och/eller regelavfyrningar matas in i den parallella aktiviteten "Tillgångs-ID och aviseringskorrelation" till automatisering av svar. Resultat: - Regler som utvecklats för hotkorrelation	Microsoft Defender XDR Microsoft Defender XDR har aviseringar om hot som identifierats över slutpunkter för flera plattformar, identiteter, e-post, samarbetsverktyg, program och molninfrastruktur. Plattformen aggregerar relaterade aviseringar till incidenter automatiskt för att effektivisera säkerhetsgranskning. - Investigate-aviseringar Microsoft Sentinel analysregler Enable standardanalysregler för anslutna datakällor och skapa anpassade analysregler för att identifiera hot i Sentinel. Se Microsoft-vägledning i 7.1.3.
`Target` 7.2.2 Hotaviseringar Pt2 DoD-organisationer utökar hotaviseringar i SIEM-lösningen (Security Information and Event Management) för att inkludera CTI-dataflöden (Cyber Threat Intelligence). Avvikelse- och anomaliregler utvecklas i SIEM för att identifiera avancerade hot. Resultat: – Utveckla analys för att identifiera avvikelser	Microsoft Sentinel threat intelligence Anslut flöden för cyberhotintelligens (CTI) till Sentinel. - Threat intelligence Se Microsofts vägledning 6.7.1 och 6.7.2 i Automation och orkestrering. Microsoft Sentinel-lösningar Använd analysregler och arbetsböcker i Microsoft Sentinel innehållshubb. - Sentinel-innehåll och lösningar Microsoft Sentinel analysregler Skapa schemalagda analysregler för att identifiera avvikelser, skapa incidenter och utlösa säkerhetsorkestrering, automatisering och svarsåtgärder (SOAR). - Anpassade analysregler för att identifiera hot
`Advanced` 7.2.3 Hotaviseringar Pt3 Hotaviseringar utökas till att omfatta avancerade datakällor som Utökad identifiering och svar (XDR), Användar- och entitetsbeteendeanalys (UEBA) och Övervakning av användaraktivitet (UAM). Dessa avancerade datakällor används för att utveckla förbättrade avvikande aktivitetsidentifieringar och mönsteraktivitetsidentifieringar. Resultat: – Identifiera utlösande avvikande händelser – Implementera utlösande princip	Microsoft Sentinel dataanslutningar Anslut Microsoft Defender XDR till Sentinel för att aggregera aviseringar, incidenter och rådata. - Anslut Defender XDR till Sentinel Microsoft Sentinel anpassningsbara avvikelser Använd Microsoft Sentinel anpassningsbara avvikelsemallar för att minska bruset med regler för avvikelseidentifiering - Anpassade avvikelser för att identifiera hot Fusion i Microsoft Sentinel Fusion-motorn korrelerar varningar vid avancerade attacker i flera steg. - Upptäckter med Fusionsmotorn Se Microsofts vägledning 6.4.1 i Automation och orkestrering.
`Target` 7.2.4 Tillgångs-ID och avisering korrelation DoD-organisationer utvecklar grundläggande korrelationsregler med hjälp av tillgångs- och aviseringsdata. Svar på vanliga hothändelser (t.ex. skadlig kod, nätfiske osv.) automatiseras i SIEM-lösningen (Security Information and Event Management). Resultat: - Regler som utvecklats för tillgångs-ID-baserade svar	Microsoft Defender XDR Microsoft Defender XDR korrelerar signaler mellan slutpunkter, identiteter, e-post, samarbetsverktyg, program och molninfrastruktur. Konfigurera självåterställning med Microsoft Defender automatiserade undersöknings- och svarsfunktioner. - Microsoft Defender XDR - Automaterad undersökning och svar Microsoft Sentinel entiteter Alerts som går till eller genereras av Sentinel innehåller dataobjekt som Sentinel klassificerar till entiteter: användarkonton, värdar, filer, processer, IP-adresser, URL:er. Använd entitetssidor för att visa entitetsinformation, analysera beteende och förbättra undersökningar. - Klassificera och analysera data med hjälp av entiteter - Undersöka entitetssidor
`Target` 7.2.5 Användar-/enhetsbaslinjer DoD-organisationer utvecklar användar- och enhetsbaslinjemetoder baserat på DoD Enterprise-standarder för lämplig pelare. Attributen som används i baselining hämtas från de företagsomfattande standarder som utvecklats i tvärpelaraktiviteter. Resultat: – Identifiera användar- och enhetsbaslinjer	Microsoft Sentinel dataanslutningar Ta upp en datainmatningsbaslinje för Sentinel. Inkludera minst Microsoft Entra ID och Microsoft Defender XDR anslutningskopplare, konfigurera standardanalysregler, och aktivera användarentitetsbeteendeanalys (UEBA). - Anslut Defender XDR till Sentinel - Aktivera UEBA Azure Lighthouse Konfigurera Azure Lighthouse för att hantera Sentinel-arbetsytor i flera klienter. - Utöka Sentinel över arbetsytor och klientorganisationer - Multitenanta åtgärder för försvarsorganisationer

7.3 Vanliga säkerhets- och riskanalyser

Microsoft Defender XDR har standardhotidentifieringar, analyser och aviseringar. Använd Microsoft Sentinel anpassningsbara analysregler nära realtid för att korrelera, identifiera och generera aviseringar för avvikelser mellan anslutna datakällor.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Target 7.3.1 Implementera analysverktyg
DoD-organisationer skaffar och implementerar grundläggande cyberfokuserade analysverktyg. Analysutveckling prioriteras baserat på risk och komplexitet och letar efter enkel effektfull analys först. Fortsatt analysutveckling fokuserar på pelarkrav för att bättre uppfylla rapporteringsbehoven.

Resultat:
- Utveckla krav för analysmiljö
– Skaffa och implementera analysverktyg Microsoft Defender XDR och Microsoft Sentinel
Konfigurera integrering av Microsoft Defender XDR och Sentinel.
- Microsoft Defender XDR
- Sentinel och Defender XDR för Zero Trust

Target 7.3.2 Etablera användarbaslinjebeteenden
Med hjälp av den analys som utvecklats för användare och enheter i en parallell aktivitet upprättas baslinjer i en teknisk lösning. Dessa baslinjer tillämpas på en identifierad uppsättning användare baserat på risker från början och expanderas sedan till den större användarbasen för DoD-organisationen. Den tekniska lösning som används är integrerad med maskininlärningsfunktioner för att påbörja automatisering.

Resultat:
– Identifiera användare för baslinje
– Upprätta ML-baserade baslinjer Microsoft Defender XDR
Microsoft Defender XDR integrerad automatiserad identifiering och svar är en frontlinje för försvar. Vägledningen i grundpelarna användare och enhet fastställer baslinjebeteende och tillämpar principer med Microsoft Defender XDR-signaler i Microsoft Intune (enhetsefterlevnad) och villkorlig åtkomst (efterlevande enhets- och identitetsrisk).

Se Microsoft-vägledning i User och Enhet.

Microsoft Sentinel-analysregler
Använd Sentinel för att korrelera händelser, upptäcka hot och initiera åtgärder. Anslut relevanta datakällor till Sentinel och skapa analysregler för nära realtidsövervakning och upptäckt av hot vid dataingång. Se Microsofts vägledning i 7.2.5. Använd Microsoft Sentinel-anteckningsböcker för att bygga anpassade ML-modeller för att analysera Sentinel-data med hjälp av Jupyter notebooks och plattformen för bring-your-own-Machine-Learning (BYO-ML). BYO-ML i Sentinel Jupyter notebooks och MSTICPy.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 7.3.1 Implementera analysverktyg DoD-organisationer skaffar och implementerar grundläggande cyberfokuserade analysverktyg. Analysutveckling prioriteras baserat på risk och komplexitet och letar efter enkel effektfull analys först. Fortsatt analysutveckling fokuserar på pelarkrav för att bättre uppfylla rapporteringsbehoven. Resultat: - Utveckla krav för analysmiljö – Skaffa och implementera analysverktyg	Microsoft Defender XDR och Microsoft Sentinel Konfigurera integrering av Microsoft Defender XDR och Sentinel. - Microsoft Defender XDR - Sentinel och Defender XDR för Zero Trust
`Target` 7.3.2 Etablera användarbaslinjebeteenden Med hjälp av den analys som utvecklats för användare och enheter i en parallell aktivitet upprättas baslinjer i en teknisk lösning. Dessa baslinjer tillämpas på en identifierad uppsättning användare baserat på risker från början och expanderas sedan till den större användarbasen för DoD-organisationen. Den tekniska lösning som används är integrerad med maskininlärningsfunktioner för att påbörja automatisering. Resultat: – Identifiera användare för baslinje – Upprätta ML-baserade baslinjer	Microsoft Defender XDR Microsoft Defender XDR integrerad automatiserad identifiering och svar är en frontlinje för försvar. Vägledningen i grundpelarna användare och enhet fastställer baslinjebeteende och tillämpar principer med Microsoft Defender XDR-signaler i Microsoft Intune (enhetsefterlevnad) och villkorlig åtkomst (efterlevande enhets- och identitetsrisk). Se Microsoft-vägledning i User och Enhet. Microsoft Sentinel-analysregler Använd Sentinel för att korrelera händelser, upptäcka hot och initiera åtgärder. Anslut relevanta datakällor till Sentinel och skapa analysregler för nära realtidsövervakning och upptäckt av hot vid dataingång. Se Microsofts vägledning i 7.2.5. Använd Microsoft Sentinel-anteckningsböcker för att bygga anpassade ML-modeller för att analysera Sentinel-data med hjälp av Jupyter notebooks och plattformen för bring-your-own-Machine-Learning (BYO-ML). BYO-ML i Sentinel Jupyter notebooks och MSTICPy.

7.4 Analys av användar- och entitetsbeteende

Microsoft Defender XDR och Microsoft Sentinel identifiera avvikelser med hjälp av användarentitetsbeteendeanalys (UEBA). Identifiera avvikelser i Sentinel med analysregler för fusion, UEBA och maskininlärning (ML). Sentinel integreras också med Azure Notebooks (Jupyter Notebook) för bring-your-own-Machine-Learning (BYO-ML) och visualiseringsfunktioner.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 7.4.1 Baslinje och profilering Pt1 Med hjälp av den analys som utvecklats för användare och enheter i en parallell aktivitet skapas vanliga profiler för vanliga användar- och enhetstyper. Analysdata från baslinjeanalysen uppdateras för att fokusera på större containrar och profiler. Resultat: – Utveckla analys för att identifiera föränderliga hotförhållanden – Identifiera profiler för användar- och enhetshot	Microsoft Defender XDR Besök Microsoft Defender-portalen för en enhetlig vy av incidenter, larm, rapporter och hotanalys. Använd Microsoft Secure Score för att utvärdera och förbättra säkerhetsstatusen. Skapa anpassade identifieringar för att övervaka och svara på säkerhetshändelser i Microsoft Defender XDR. - Microsoft Defender portal - Assess säkerhetsstatus med säker poäng - Anpassade identifieringar Microsoft Sentinel Använda arbetsböcker för att visualisera och övervaka data. Skapa anpassade analysregler och aktivera avvikelseidentifiering för att identifiera och varna för förändrade hotvillkor. - Visualisera och övervaka data - Anpassad analys för att identifiera hot - Anpassa avvikelser för att identifiera hot
`Advanced` 7.4.2 Baslinje och profilering Pt2 DoD-organisationer expanderar baslinjer och profiler för att inkludera ohanterade och icke-standardiserade enhetstyper, inklusive Sakernas Internet (IoT) och Driftteknik (OT) genom övervakning av datautmatning. Dessa enheter profileras igen baserat på standardiserade attribut och användningsfall. Analyserna uppdateras för att ta hänsyn till de nya baslinjerna och profilerna, vilket möjliggör ytterligare identifieringar och svar. Specifika riskfyllda användare och enheter prioriteras automatiskt för ökad övervakning baserat på risk. Identifiering och svar är integrerade med funktioner mellan pelare. Resultat: – Lägg till hotprofiler för IoT- och OT-enheter – Utveckla och utöka analys – Utöka hotprofiler till enskilda användare och enheter	Microsoft Defender XDRUpptäck och säkra ohanterade enheter med Microsoft Defender for Endpoint.EnhetsidentifieringHyrestagaranslutning för att stödja säkerhetspolicyer för slutpunkter från IntuneSäkra hanterade och ohanterade enheterAutentiserade nätverksenhetsskanningarAutentiserad genomsökning av ohanterade Windows-enheterMicrosoft Defender for IoTDistribuera Defender för IoT-sensorer i operativa tekniknätverk. Defender för IoT har stöd för agentlös enhetsövervakning för molnnätverk, lokala nätverk och hybridnätverk för OT. Aktivera inlärningsläge för en baslinje för din miljö och anslut Defender för IoT till Microsoft Sentinel. - Defender för IoT för organisationer - OT-övervakning - Inlärd baslinje för OT-aviseringar - Anslut Defender för IoT med Sentinel - Undersök entiteter med entitetssidor
`Advanced` 7.4.3 UEBA Baseline Support Pt1 User and Entity Behavior Analytics (UEBA) i DoD Organizations utökar övervakningen till avancerad analys, till exempel Machine Learning (ML). Dessa resultat granskas i sin tur och matas tillbaka till ML-algoritmerna för att förbättra identifiering och svar. Resultat: – Implementera ML-baserad analys för att identifiera avvikelser	Slutför aktivitet 7.3.2.Microsoft Sentinel analysreglerSentinel använder två modeller för att skapa baslinjer och identifiera avvikelser, UEBA och maskininlärning.Upptäckta avvikelserUEBA avvikelserUEBA identifierar avvikelser baserade på dynamiska entitetsbaslinjer.Aktivera UEBAUEBA-avvikelserAvvikelser från maskininlärningML-avvikelser identifierar ovanligt beteende med standardanalysregelmallar.ML-avvikelser
`Advanced` 7.4.4 Stöd för UEBA-baslinje Pt2 Användar- och entitetsbeteendeanalys (UEBA) i DoD-organisationer slutför expansionen med hjälp av traditionella och maskininlärningsbaserade resultat (ML) som matas in i AI-algoritmer (Artificiell intelligens). Inledningsvis övervakas AI-baserade detektioner, men i slutändan utnyttjar de avancerade tekniker som neurala nätverk, och UEBA-operatörer är inte en del av inlärningsprocessen. Resultat: – Implementera ML-baserad analys för att identifiera avvikelser (övervakade AI-identifieringar)	Fusion i Microsoft Sentinel Använd den avancerade identifieringen av flerstegsattacker i Fusion Analytics-regeln i Sentinel. Fusion är en ML-tränad korrelationsmotor som identifierar flerstegsattacker och avancerade beständiga hot (APT). Den identifierar kombinationer av avvikande beteenden och misstänkta aktiviteter, vilka annars är svåra att upptäcka. - Avancerad identifiering av flerstegsattacker Microsoft Sentinel notebooks Bygg dina egna anpassade maskininlärningsmodeller för att analysera Microsoft Sentinel-data med hjälp av Jupyter-notebooks och plattformen för bring-your-own-Machine-Learning (BYO-ML). - BYO-ML i Sentinel - Jupyter notebooks och MSTICPy

7.5 Hotinformationsintegrering

Microsoft Defender Threat Intelligence effektiviserar sortering, incidenthantering, hotjakt, sårbarhetshantering och cyberhotinformation (CTI) från Microsofts hotexperter och andra källor. Microsoft Sentinel ansluter till Microsoft Defender Threat Intelligence och CTI-källor från tredje part.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Target 7.5.1 Cyber Threat Intelligence Program Pt1
DoD Enterprise samarbetar med organisationer för att utveckla och CTI-programprinciper (Cyber Threat Intelligence), standard och processer. Organisationer använder den här dokumentationen för att utveckla organisationens CTI-team med viktiga uppdrags-/uppgiftsintressenter. CTI Teams integrerar vanliga dataflöden med SIEM (Security Information and Event Management) för bättre aviseringar och svar. Integreringar med enhets- och nätverkstillämpningsplatser (t.ex. brandväggar, Slutpunktssäkerhetssviter osv.) skapas för att utföra grundläggande övervakning av CTI-drivna data.

Resultat:
- Cyber Threat Intelligence-teamet är på plats med viktiga intressenter
– Offentliga CTI-feeds och baslinje-CTI-feeds används av SIEM för aviseringar
– Grundläggande integreringspunkter finns med enhets- och nätverkstillämpningspunkter (t.ex. NGAV, NGFW, NG-IPS) Microsoft Defender Threat Intelligence
Anslut Defender Threat Intelligence och andra hotintelligensflöden till Sentinel.
- Defender Threat Intelligence
- Aktivera datakontakten för Defender Threat Intelligence
- Anslut hotinformationsplattformar till Sentinel

Azure-nätverk
Integrera nätverksresurser med Microsoft Sentinel.
- Sentinel tillsammans med Azure Web App-brandvägg
- Azure Firewall med Sentinel

Target 7.5.2 Cyber Threat Intelligence Program Pt2
DoD-organisationer utökar sina CTI-team (Cyber Threat Intelligence) för att inkludera nya intressenter efter behov. Autentiserade, privata och kontrollerade CTI-dataflöden är integrerade i SIEM (Security Information and Event Management) och tillämpningsplatser från pelarna Enhet, Användare, Nätverk och Data.

Resultat:
- Cyber Threat Intelligence-teamet är på plats med utökade intressenter efter behov
– Kontrollerat och privat flöde används av SIEM och andra lämpliga analysverktyg för aviseringar och övervakning
– Integrering är på plats för utökade tillämpningsplatser inom pelarna Enhet, Användare, Nätverk och Data (UEBA, UAM) Microsoft Sentinel dataanslutningar
Hantera nätverksresurser i Azure med REST API. Upprätta grundläggande integration med nätverkssäkerhetspunkter med hjälp av Sentinel-spelböcker och Logic Apps.
- Virtual network REST operations
- Hotsvar med Sentinel-spelböcker

Hitta spelböcker för andra nätverkssäkerhetspunkter i Sentinel-spelboksförrådet.
- Sentinel-spelböcker på GitHub

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 7.5.1 Cyber Threat Intelligence Program Pt1 DoD Enterprise samarbetar med organisationer för att utveckla och CTI-programprinciper (Cyber Threat Intelligence), standard och processer. Organisationer använder den här dokumentationen för att utveckla organisationens CTI-team med viktiga uppdrags-/uppgiftsintressenter. CTI Teams integrerar vanliga dataflöden med SIEM (Security Information and Event Management) för bättre aviseringar och svar. Integreringar med enhets- och nätverkstillämpningsplatser (t.ex. brandväggar, Slutpunktssäkerhetssviter osv.) skapas för att utföra grundläggande övervakning av CTI-drivna data. Resultat: - Cyber Threat Intelligence-teamet är på plats med viktiga intressenter – Offentliga CTI-feeds och baslinje-CTI-feeds används av SIEM för aviseringar – Grundläggande integreringspunkter finns med enhets- och nätverkstillämpningspunkter (t.ex. NGAV, NGFW, NG-IPS)	Microsoft Defender Threat Intelligence Anslut Defender Threat Intelligence och andra hotintelligensflöden till Sentinel. - Defender Threat Intelligence - Aktivera datakontakten för Defender Threat Intelligence - Anslut hotinformationsplattformar till Sentinel Azure-nätverk Integrera nätverksresurser med Microsoft Sentinel. - Sentinel tillsammans med Azure Web App-brandvägg - Azure Firewall med Sentinel
`Target` 7.5.2 Cyber Threat Intelligence Program Pt2 DoD-organisationer utökar sina CTI-team (Cyber Threat Intelligence) för att inkludera nya intressenter efter behov. Autentiserade, privata och kontrollerade CTI-dataflöden är integrerade i SIEM (Security Information and Event Management) och tillämpningsplatser från pelarna Enhet, Användare, Nätverk och Data. Resultat: - Cyber Threat Intelligence-teamet är på plats med utökade intressenter efter behov – Kontrollerat och privat flöde används av SIEM och andra lämpliga analysverktyg för aviseringar och övervakning – Integrering är på plats för utökade tillämpningsplatser inom pelarna Enhet, Användare, Nätverk och Data (UEBA, UAM)	Microsoft Sentinel dataanslutningar Hantera nätverksresurser i Azure med REST API. Upprätta grundläggande integration med nätverkssäkerhetspunkter med hjälp av Sentinel-spelböcker och Logic Apps. - Virtual network REST operations - Hotsvar med Sentinel-spelböcker Hitta spelböcker för andra nätverkssäkerhetspunkter i Sentinel-spelboksförrådet. - Sentinel-spelböcker på GitHub

7.6 Automatiserade dynamiska principer

Microsoft Security-stacken använder maskininlärning (ML) och artificiell intelligens (AI) för att skydda identiteter, enheter, program, data och infrastruktur. Med Microsoft Defender XDR och villkorlig åtkomst upprättar ML-identifieringar aggregerade risknivåer för användare och enheter.

Använd enhetsrisk för att markera en enhet som inkompatibel. Med identitetsrisknivån kan organisationer kräva nätfiskeresistenta autentiseringsmetoder, kompatibla enheter, ökad inloggningsfrekvens med mera. Använd riskvillkor och kontroller för villkorsstyrd åtkomst för att framtvinga principer för automatisk och dynamisk åtkomst.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Advanced 7.6.1 AI-Enabled Network Access
DoD-organisationer använder SDN-infrastruktur- och företagssäkerhetsprofiler för att aktivera artificiell intelligens (AI)/Machine Learning (ML) driven nätverksåtkomst. Analys från tidigare aktiviteter används för att lära AI/ML-algoritmerna att förbättra beslutsfattandet.

Resultat:
– Nätverksåtkomsten är AI-driven baserat på miljöanalys Microsoft Defender XDR
Automatiska angreppsstörningar i Microsoft Defender XDR begränsar lateral rörelse. Den här åtgärden minskar effekterna av en utpressningstrojanattack. Microsoft Security-forskare använder AI-modeller för att motverka komplexiteten i avancerade attacker med hjälp av Defender XDR. Lösningen korrelerar signaler till incidenter med hög konfidens för att identifiera och begränsa attacker i realtid.
- Attack-avbrott

Nätverksskyddsfunktioner i Microsoft Defender SmartScreen och webbskydd utökas till operativsystemet för att blockera kommando- och kontrollattacker (C2).
- Skydda nätverket
- AI för att störa ransomware-attacker som drivs av människor)

Microsoft Sentinel
Använd Azure Firewall för att visualisera brandväggsaktiviteter, identifiera hot med AI-undersökningsfunktioner, korrelera aktiviteter och automatisera svarsåtgärder.
- Azure Firewall med Sentinel

Advanced 7.6.2 AI-aktiverad dynamisk åtkomstkontroll
DoD-organisationer använder tidigare regelbaserad dynamisk åtkomstkontroll för att lära AI/ML-algoritmer att fatta åtkomstbeslut till olika resurser. Aktivitetsalgoritmerna "AI-aktiverad nätverksåtkomst" uppdateras för att möjliggöra bredare beslutsfattande för alla DAAS.

Resultat:
- JIT/JEA är integrerade med AI Villkorlig åtkomst
Kräv risknivå för enheter i Microsoft Defender för Endpoint i Microsoft Intune efterlevnadsprinciper. Använd enhetsefterlevnad och Microsoft Entra ID Protection riskvillkor i principer för villkorsstyrd åtkomst.
- Risk-baserade åtkomstprinciper
- Efterlevnadsprinciper för att ange regler för Intune-hanterade enheter

Privileged Identity Management
Använd risknivå för identitetsskydd och enhetsefterlevnadssignaler för att definiera en autentiseringskontext för privilegierad åtkomst. Kräv autentiseringskontext för PIM-begäranden för att framtvinga principer för just-In-time-åtkomst (JIT).

Se Microsofts vägledning 7.6.1 i det här avsnittet och 1.4.4 i Användare.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Advanced` 7.6.1 AI-Enabled Network Access DoD-organisationer använder SDN-infrastruktur- och företagssäkerhetsprofiler för att aktivera artificiell intelligens (AI)/Machine Learning (ML) driven nätverksåtkomst. Analys från tidigare aktiviteter används för att lära AI/ML-algoritmerna att förbättra beslutsfattandet. Resultat: – Nätverksåtkomsten är AI-driven baserat på miljöanalys	Microsoft Defender XDR Automatiska angreppsstörningar i Microsoft Defender XDR begränsar lateral rörelse. Den här åtgärden minskar effekterna av en utpressningstrojanattack. Microsoft Security-forskare använder AI-modeller för att motverka komplexiteten i avancerade attacker med hjälp av Defender XDR. Lösningen korrelerar signaler till incidenter med hög konfidens för att identifiera och begränsa attacker i realtid. - Attack-avbrott Nätverksskyddsfunktioner i Microsoft Defender SmartScreen och webbskydd utökas till operativsystemet för att blockera kommando- och kontrollattacker (C2). - Skydda nätverket - AI för att störa ransomware-attacker som drivs av människor) Microsoft Sentinel Använd Azure Firewall för att visualisera brandväggsaktiviteter, identifiera hot med AI-undersökningsfunktioner, korrelera aktiviteter och automatisera svarsåtgärder. - Azure Firewall med Sentinel
`Advanced` 7.6.2 AI-aktiverad dynamisk åtkomstkontroll DoD-organisationer använder tidigare regelbaserad dynamisk åtkomstkontroll för att lära AI/ML-algoritmer att fatta åtkomstbeslut till olika resurser. Aktivitetsalgoritmerna "AI-aktiverad nätverksåtkomst" uppdateras för att möjliggöra bredare beslutsfattande för alla DAAS. Resultat: - JIT/JEA är integrerade med AI	Villkorlig åtkomst Kräv risknivå för enheter i Microsoft Defender för Endpoint i Microsoft Intune efterlevnadsprinciper. Använd enhetsefterlevnad och Microsoft Entra ID Protection riskvillkor i principer för villkorsstyrd åtkomst. - Risk-baserade åtkomstprinciper - Efterlevnadsprinciper för att ange regler för Intune-hanterade enheter Privileged Identity Management Använd risknivå för identitetsskydd och enhetsefterlevnadssignaler för att definiera en autentiseringskontext för privilegierad åtkomst. Kräv autentiseringskontext för PIM-begäranden för att framtvinga principer för just-In-time-åtkomst (JIT). Se Microsofts vägledning 7.6.1 i det här avsnittet och 1.4.4 i Användare.

Nästa steg

Konfigurera Microsofts molntjänster för DoD Zero Trust-strategin:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-03-26

DoD Zero Trust strategi för synlighet och strategipelaren för analys

7 Synlighet och analys

7.1 Logga all trafik

7.2 Säkerhetsinformation och händelsehantering

7.3 Vanliga säkerhets- och riskanalyser

7.4 Analys av användar- och entitetsbeteende

7.5 Hotinformationsintegrering

7.6 Automatiserade dynamiska principer

Nästa steg

Feedback

Ytterligare resurser