Strategie nulová důvěra (Zero Trust) doD pro pilíř viditelnosti a analýzy

2025-06-21

Strategie a plán nulová důvěra (Zero Trust) doD popisuje cestu pro partnery oddělení obrany a průmyslové základny (DIB) k přijetí nového rámce kybernetické bezpečnosti založeného na nulová důvěra (Zero Trust) principech. nulová důvěra (Zero Trust) eliminuje tradiční hranice a předpoklady důvěryhodnosti, což umožňuje efektivnější architekturu, která vylepšuje zabezpečení, uživatelské prostředí a výkon.

Tato příručka obsahuje doporučení pro aktivity 152 nulová důvěra (Zero Trust) v plánu provádění funkcí doD nulová důvěra (Zero Trust). Oddíly odpovídají sedmi pilířům modelu nulová důvěra (Zero Trust) DoD.

Pomocí následujících odkazů přejděte na části příručky.

7 Viditelnost a analýzy

Tato část obsahuje pokyny a doporučení Microsoftu pro aktivity doD nulová důvěra (Zero Trust) v pilíři viditelnosti a analýzy. Další informace najdete v tématu Viditelnost, automatizace a orchestrace pomocí nulová důvěra (Zero Trust).

7.1 Protokolování veškerého provozu

Microsoft Sentinel je škálovatelný cloudový systém pro správu událostí zabezpečení (SIEM). Sentinel je také řešení pro orchestraci zabezpečení, automatizaci a reakci (SOAR) pro zpracování velkých objemů dat z různých zdrojů. Datové konektory Sentinelu ingestují data mezi uživateli, zařízeními, aplikacemi a infrastrukturou, místně i v několika cloudech.

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Target` 7.1.1 Aspekty škálováníOrganizace DoD provádějí analýzu, která určuje aktuální a budoucí potřeby škálování. Škálování se analyzuje podle běžných metod osvědčených postupů v odvětví a pilířů ZT. Tým spolupracuje se stávajícími skupinami BCP (Business Continuity Planning) a Plánování zotavení po havárii (DPR) a zjišťuje potřeby distribuovaného prostředí v nouzových situacích a s růstem organizací. Výsledky: - Dostatečná infrastruktura na místě – Distribuované prostředí zavedené – Dostatečná šířka pásma pro síťový provoz	Služba Microsoft Sentinel Sentinel používá pracovní prostor služby Log Analytics k ukládání dat protokolu zabezpečení pro účely analýzy. Log Analytics je platforma jako služba (PaaS) v Azure. Není k dispozici žádná infrastruktura pro správu ani sestavování. - Azure Monitor s využitím agenta Azure Monitoru pro virtuální počítače, také síťová zařízení v místním prostředí a v jiných cloudech. - Zabezpečení Windows události s AMA - Streamovací protokoly ve formátu splňovala požadavky na šířku pásma pro Monitorování zabezpečení Microsoftu 365 a cloudového zabezpečení pro místní servery.- - - má vyspělé programy pro správu provozní kontinuity pro více odvětví. Zkontrolujte řízení kontinuity podnikových procesů a rozdělení odpovědností. - Pokyny ke správě - kontinuity podnikových procesů – Spolehlivost
`Target` 7.1.2 Analýza protokolůOrganizace DoD identifikují a upřednostňují zdroje protokolů a toků (např. brány firewall, detekce koncových bodů a odezva, Active Directory, přepínače, směrovače atd.) a vyvíjejí plán pro shromažďování protokolů s vysokou prioritou, nejprve s nízkou prioritou. Otevřený standardní formát protokolu je dohodnut na úrovni DoD Enterprise s organizacemi a implementovaný v budoucích požadavcích na nákupy. Stávající řešení a technologie se průběžně migrují do formátu. Výsledky: - Standardizované formáty protokolů - Pravidla vyvinutá pro každý formát protokolu	Datové konektory Microsoft Sentinelu připojují k Sentinelu relevantní zdroje dat. Povolte a nakonfigurujte analytická pravidla. Datové konektory používají standardizované formáty protokolů. - Monitorování nulová důvěra (Zero Trust) architektury zabezpečení – Vytváření vlastních konektorů - – Pokyny Microsoftu 6.2.2 najdete v tématu Standardizujte protokolování pomocí formátu CEF (Common Event Format), oborového standardu používaného dodavateli zabezpečení pro interoperabilitu událostí mezi platformami. Syslog použijte pro systémy, které nepodporují protokoly v CEF. - CEF s konektorem Služby Azure Monitor pro ingestování syslogu služby Sentinel - s využitím rozšířeného modelu zabezpečení (ASIM) (Public Preview) ke shromažďování a zobrazování dat z více zdrojů s normalizovaným schématem. -
`Target` 7.1.3 Analýza protokolůBěžné aktivity uživatelů a zařízení jsou identifikovány a upřednostňovány na základě rizika. Aktivity, které se považují za nejjednodušnější a rizikové analýzy, se vytvořily pomocí různých zdrojů dat, jako jsou protokoly. Trendy a vzory se vyvíjejí na základě analýz shromážděných za účelem zobrazení aktivit v delších časových obdobích. Výsledky: - Vývoj analýz na aktivitu – Identifikace aktivit pro analýzu	Úplná aktivita 7.1.2. XDR v programu Microsoft Defender XDR v programu Microsoft Defender je jednotná sada ochrany před porušením zabezpečení a po porušení zabezpečení, která koordinuje detekci, prevenci, vyšetřování a reakci nativně napříč koncovými body, identitami, e-maily a aplikacemi. Použijte XDR v programu Defender k ochraně před sofistikovanými útoky a reagování na ně. - Prozkoumejte výstrahy - USA – Vývoj vlastních analytických dotazů a vizualizace shromážděných dat pomocí sešitů -

7.2 Informace o zabezpečení a správa událostí

XDR v programu Microsoft Defender a Microsoft Sentinel spolupracují na detekci, upozorňování a reakci na bezpečnostní hrozby. XDR v programu Microsoft Defender detekuje hrozby napříč Microsoftem 365, identitami, zařízeními, aplikacemi a infrastrukturou. XR v programu Defender generuje výstrahy na portálu Microsoft Defender. Připojte výstrahy a nezpracovaná data z XDR v programu Microsoft Defender ke službě Sentinel a využijte pokročilá analytická pravidla ke korelaci událostí a generování incidentů pro vysoce věrná upozornění.

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Target` 7.2.1 Upozornění na hrozbu Pt1 Organizace DoD využívají existující řešení pro správu událostí a informací o zabezpečení (SIEM) k vývoji základních pravidel a výstrah pro běžné události hrozeb (malware, phishing atd.). Výstrahy nebo aktivaci pravidel se předávají do paralelní aktivity "Id prostředku a korelace výstrah" pro automatizaci odpovědí. Výsledek: - Pravidla vyvinutá pro korelaci hrozeb	XDR v programu Microsoft Defender XDR v programu Microsoft Defender obsahuje výstrahy pro hrozby zjištěné napříč koncovými body více platforem, identitami, e-mailem, nástroji pro spolupráci, aplikacemi a cloudovou infrastrukturou. Platforma agreguje související výstrahy do incidentů automaticky, aby se zjednodušila kontrola zabezpečení. - Přečtěte si pokyny microsoftu ve .
`Target` 7.2.2 Upozornění na hrozby Pt2 Organizace DoD rozšiřují výstrahy na hrozby v řešení SIEM (Security Information and Event Management), aby zahrnovaly datové kanály Cyber Threat Intelligence (CTI). Pravidla odchylek a anomálií se vyvíjejí v SYSTÉMU SIEM za účelem detekce pokročilých hrozeb. Výsledek: - Vývoj analýz pro detekci odchylek	Informační kanály analýzy kybernetických hrozeb (CTI) služby Microsoft Sentinel - Analýza hrozeb Viz pokyny Microsoftu 6.7.1 a 6.7.2 v automatizaci a orchestraci. Řešení Microsoft Sentinel používají analytická pravidla a sešity v centru obsahu Microsoft Sentinel. - pravidla naplánované analýzy, která detekují odchylky, vytvářejí incidenty a aktivují orchestraci zabezpečení, automatizaci a reakce (SOAR).
`Advanced` 7.2.3 Upozornění na hrozby Pt3 Upozorňování na hrozby je rozšířeno tak, aby zahrnovalo pokročilé zdroje dat, jako je rozšířená detekce a reakce (XDR), analýza chování uživatelů a entit (UEBA) a monitorování aktivit uživatelů (UAM). Tyto pokročilé zdroje dat se používají k vývoji vylepšených detekcí neobvyklých a vzorových aktivit. Výsledky: - Identifikace aktivačních událostí – Implementace aktivačních zásad	Datové konektory Microsoft Sentinel připojují XDR v programu Microsoft Defender ke službě Sentinel za účelem agregace výstrah, incidentů a nezpracovaných dat. - Připojte XDR defenderu ke službě Sentinel Microsoft Sentinelu můžete snížit šum pomocí pravidel , který koreluje výstrahy pro pokročilé vícefázové útoky. - motorů najdete v pokynech Microsoftu 6.4.1 v .
`Target` 7.2.4 ID prostředku a korelace výstrahOrganizace DoD vyvíjejí základní pravidla korelace pomocí dat prostředků a výstrah. Reakce na běžné události hrozeb (např. malware, phishing atd.) se automatizují v rámci řešení SIEM (Security Information and Event Management). Výsledek: - Pravidla vyvinutá pro odpovědi založené na ID prostředku	XDR v programu Microsoft Defender XDR v programu Microsoft Defender koreluje signály napříč koncovými body pro více platforem, identitami, e-mailem, nástroji pro spolupráci, aplikacemi a cloudovou infrastrukturou. Nakonfigurujte samoobslužné opravy pomocí automatizovaných možností prošetření a reakce v programu Microsoft Defender. - Automatizované šetření v programu Microsoft Defender a - reakce na entity Microsoft Sentinelu, které se přejdou nebo vygenerují službou Sentinel, obsahují položky dat, které Sentinel klasifikuje do entit: uživatelské účty, hostitelé, soubory, procesy, IP adresy, adresy URL. Stránky entit slouží k zobrazení informací o entitách, analýze chování a vylepšení vyšetřování. - Klasifikace a analýza dat pomocí entit - Prošetřování stránek entit
`Target` 7.2.5 Směrné plány uživatelů a zařízeníOrganizace DoD vyvíjejí přístupy standardních hodnot uživatelů a zařízení na základě podnikových standardů DoD pro příslušný pilíř. Atributy, které se využívají při zaklánění, se načítají z celopodnikových standardů vyvinutých v aktivitách napříč pilíři. Výsledek: - Identifikace standardních hodnot uživatele a zařízení	Datové konektory Microsoft Sentinelu Vytvoří směrný plán příjmu dat pro Sentinel. Minimálně uveďte microsoft Entra ID a konektory XDR v programu Microsoft Defender, nakonfigurujte standardní analytická pravidla a povolte analýzu chování entit uživatelů (UEBA). - Připojte XDR Defenderu ke službě Sentinel - pro správu pracovních prostorů Služby Sentinel napříč několika tenanty. Rozšíření služby Sentinel mezi pracovními prostory a tenanty -

7.3 Běžné analýzy zabezpečení a rizik

XDR v programu Microsoft Defender má standardní detekce hrozeb, analýzy a upozorňování. Pomocí přizpůsobitelných analytických pravidel v téměř reálném čase v Microsoft Sentinelu můžete pomoct korelovat, zjišťovat a generovat výstrahy pro anomálie napříč připojenými zdroji dat.

Popis a výsledek aktivity DoD Pokyny a doporučení Microsoftu

Target 7.3.1 Implementace analytických nástrojů
Organizace DoD pořují a implementují základní analytické nástroje zaměřené na cyber. Vývoj analýz má prioritu na základě rizika a složitosti a nejprve hledá snadnou analýzu, která má dopad na dopad. Průběžný vývoj analýz se zaměřuje na požadavky na pilíře, aby lépe splňoval požadavky na vytváření sestav.

Výsledky:
- Vývoj požadavků pro analytické prostředí
– Nákup a implementace analytických nástrojů Microsoft Defender XDR a Microsoft SentinelKonfigurujte integraci XDR a Sentinelu v programu Microsoft Defender.

- Microsoft Defender XDR Sentinel a XDR
- defenderu pro nulová důvěra (Zero Trust)

Target 7.3.2 Vytvoření chování standardních hodnot
uživateleS využitím analýz vyvinutých pro uživatele a zařízení v paralelní aktivitě jsou směrné plány vytvořeny v technickém řešení. Tyto směrné plány se použijí na identifikovanou sadu uživatelů na základě počátečního rizika a pak se rozšíří na větší uživatelskou základnu organizace DoD. Použité technické řešení je integrované s funkcemi strojového učení k zahájení automatizace.

Výsledky:
- Identifikace uživatelů pro směrný plán
– Vytvoření směrných plánů založených na ML Integrovaná automatizovaná detekce a reakce v programu Microsoft Defender XDR v programu Microsoft Defender XDR
je frontline obrany. Pokyny v pilířích uživatele a zařízení stanoví základní chování a vynucuje zásady pomocí signálů XDR v programu Microsoft Defender v Microsoft Intune (dodržování předpisů zařízením) a podmíněném přístupu (kompatibilní riziko zařízení a identity).

Podívejte se na pokyny Microsoftu v uživatelském a zařízení.

Analytická pravidla
Microsoft Sentinelu používají Službu Sentinel ke korelaci událostí, detekci hrozeb a aktivaci akcí reakce. Připojte relevantní zdroje dat ke službě Sentinel a vytvořte pravidla analýzy téměř v reálném čase, která detekují hrozby během příjmu dat.
- Detekce hrozeb

Viz pokyny Microsoftu ve verzi 7.2.5.

Poznámkové bloky
Microsoft Sentinelu vytvářejí přizpůsobené modely ML pro analýzu dat služby Sentinel pomocí poznámkových bloků Jupyter a platformy byo-ML (Bring-your-own-Machine-Learning).
- BYO-ML do poznámkových bloků Jupyter služby Sentinel
- a MSTICPy

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Target` 7.3.1 Implementace analytických nástrojů Organizace DoD pořují a implementují základní analytické nástroje zaměřené na cyber. Vývoj analýz má prioritu na základě rizika a složitosti a nejprve hledá snadnou analýzu, která má dopad na dopad. Průběžný vývoj analýz se zaměřuje na požadavky na pilíře, aby lépe splňoval požadavky na vytváření sestav. Výsledky: - Vývoj požadavků pro analytické prostředí – Nákup a implementace analytických nástrojů	Microsoft Defender XDR a Microsoft SentinelKonfigurujte integraci XDR a Sentinelu v programu Microsoft Defender. - Microsoft Defender XDR Sentinel a XDR - defenderu pro nulová důvěra (Zero Trust)
`Target` 7.3.2 Vytvoření chování standardních hodnot uživateleS využitím analýz vyvinutých pro uživatele a zařízení v paralelní aktivitě jsou směrné plány vytvořeny v technickém řešení. Tyto směrné plány se použijí na identifikovanou sadu uživatelů na základě počátečního rizika a pak se rozšíří na větší uživatelskou základnu organizace DoD. Použité technické řešení je integrované s funkcemi strojového učení k zahájení automatizace. Výsledky: - Identifikace uživatelů pro směrný plán – Vytvoření směrných plánů založených na ML	Integrovaná automatizovaná detekce a reakce v programu Microsoft Defender XDR v programu Microsoft Defender XDR je frontline obrany. Pokyny v pilířích uživatele a zařízení stanoví základní chování a vynucuje zásady pomocí signálů XDR v programu Microsoft Defender v Microsoft Intune (dodržování předpisů zařízením) a podmíněném přístupu (kompatibilní riziko zařízení a identity). Podívejte se na pokyny Microsoftu v uživatelském a zařízení. Analytická pravidla Microsoft Sentinelu používají Službu Sentinel ke korelaci událostí, detekci hrozeb a aktivaci akcí reakce. Připojte relevantní zdroje dat ke službě Sentinel a vytvořte pravidla analýzy téměř v reálném čase, která detekují hrozby během příjmu dat. - Detekce hrozeb Viz pokyny Microsoftu ve verzi 7.2.5. Poznámkové bloky Microsoft Sentinelu vytvářejí přizpůsobené modely ML pro analýzu dat služby Sentinel pomocí poznámkových bloků Jupyter a platformy byo-ML (Bring-your-own-Machine-Learning). - BYO-ML do poznámkových bloků Jupyter služby Sentinel - a MSTICPy

7.4 Analýza chování uživatelů a entit

XDR v programu Microsoft Defender a Microsoft Sentinel detekují anomálie pomocí analýzy chování entit uživatelů (UEBA). Detekce anomálií ve službě Sentinel pomocí analytických pravidel fúze, UEBA a strojového učení (ML). Sentinel se také integruje s Azure Notebooks (Jupyter Notebook) pro funkce bring-your-own-Machine-Learning (BYO-ML) a vizualizace.

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Target` 7.4.1 Směrný plán a profilace Pt1 S využitím analýz vyvinutých pro uživatele a zařízení v paralelní aktivitě se vytvářejí běžné profily pro typické typy uživatelů a zařízení. Analýzy převzaté ze základního vkládání se aktualizují, aby se podívaly na větší kontejnery a profily. Výsledky: - Vývoj analýz pro detekci měnících se podmínek hrozeb – Identifikace profilů hrozeb uživatelů a zařízení	Program XDR v programu Microsoft Defender najdete na portálu Microsoft Defenderu, kde najdete jednotné zobrazení incidentů, výstrah, sestav a analýz hrozeb. Pomocí bezpečnostního skóre Microsoftu můžete vyhodnotit a zlepšit stav zabezpečení. Vytvořte vlastní detekce pro monitorování událostí zabezpečení v XDR v programu Microsoft Defender a reagování na ně. - Portál - k vizualizaci a monitorování dat. Vytvořte vlastní analytická pravidla a povolte detekci anomálií k identifikaci a upozorňování na měnící se podmínky hrozeb. - Vizualizace a monitorování vlastních analýz dat - za účelem detekce hrozeb - Přizpůsobení anomálií pro detekci hrozeb
`Advanced` 7.4.2 Směrný plán a profilace Pt2 Organizace DoD rozšiřují směrné plány a profily tak, aby zahrnovaly nespravované a nestandardní typy zařízení, včetně internetu věcí (IoT) a provozní technologie (OT) prostřednictvím monitorování výstupu dat. Tato zařízení se znovu profilují na základě standardizovaných atributů a případů použití. Analýzy se aktualizují, aby zvážily nové směrné plány a profily, které odpovídajícím způsobem umožňují další detekce a odpovědi. Pro zvýšené monitorování na základě rizika se automaticky upřednostňují konkrétní rizikové uživatele a zařízení. Detekce a reakce jsou integrované s funkcemi napříč pilíři. Výsledky: - Přidání profilů hrozeb pro zařízení IoT a OT – Vývoj a rozšíření analýz – Rozšíření profilů hrozeb na jednotlivé uživatele a zařízení	Microsoft Defender XDR – Zjišťování a zabezpečení nespravovaných zařízení pomocí Microsoft Defenderu for Endpoint - Připojení tenanta zjišťování - zařízení pro podporu zásad zabezpečení koncových bodů ze - kontroluje - nespravované zařízení s Windows ověřené - kontrolou v programu Microsoft Defender for IoT Deploy Defender for IoT v sítích provozní technologie (OT). Defender pro IoT podporuje monitorování zařízení bez agentů pro cloudové, místní a hybridní sítě OT. Povolte režim učení pro základní hodnoty vašeho prostředí a připojte Defender for IoT k Microsoft Sentinelu. - Defender for IoT for Organizations - OT monitoring - Learned baseline of OT alerts - Connect Defender for IoT with Sentinel Investigate entities with Entity pages -
`Advanced` 7.4.3 Podpora standardních hodnot UEBA Pt1 Analýza chování uživatelů a entit (UEBA) v rámci organizací DoD rozšiřuje monitorování na pokročilé analýzy, jako je Strojové učení (ML). Tyto výsledky se znovu prověřují a vrací do algoritmů ML, aby se zlepšila detekce a odezva. Výsledek: - Implementace analýz založených na ML pro detekci anomálií	Úplná aktivita 7.3.2 Analytická pravidlaMicrosoft Sentinelu Sentinel používají dva modely k vytvoření standardních hodnot a detekci anomálií, UEBA a strojového učení. - Zjištěné anomálie UEBA detekuje anomálie UEBA na základě dynamických standardních hodnot entit. - ML identifikují neobvyklé chování pomocí šablon standardních analytických pravidel.-
`Advanced` 7.4.4 Podpora standardních hodnot UEBA Pt2 Analýza chování uživatelů a entit (UEBA) v rámci organizací DoD dokončí své rozšíření pomocí tradičních výsledků založených na strojovém učení (ML), které se mají předávat do algoritmů umělé inteligence (AI). Detekce založené na umělé inteligenci jsou zpočátku pod dohledem, ale nakonec využívají pokročilé techniky, jako jsou neurální sítě, operátory UEBA nejsou součástí procesu učení. Výsledek: - Implementace analýz založených na ML pro detekci anomálií (detekce AI pod dohledem)	Fúze v Microsoft Sentinelu používá pokročilou detekci útoků s více fázemi v pravidle fúzní analýzy ve službě Sentinel. Fusion je korelační modul trénovaný v ML, který detekuje útoky s více fázemi a pokročilé trvalé hrozby (APT). Identifikuje kombinace neobvyklého chování a podezřelých aktivit, jinak je obtížné je zachytit. - Pokročilé zjišťování útoků s více fázemi vytvářejí vlastní přizpůsobené modely ML pro analýzu dat Microsoft Sentinelu pomocí poznámkových bloků Jupyter a platformy - byo-ML (Bring-your-own-Machine-Learning).BYO-ML do poznámkových bloků Jupyter služby Sentinel - a MSTICPy

Integrace analýzy hrozeb 7.5

Analýza hrozeb v programu Microsoft Defender zefektivňuje třídění, reakce na incidenty, proaktivní vyhledávání hrozeb, správa ohrožení zabezpečení a analýzu kybernetických hrozeb (CTI) od odborníků na hrozby Microsoftu a dalších zdrojů. Microsoft Sentinel se připojuje k Analýza hrozeb v programu Microsoft Defender a zdrojům CTI třetích stran.

Popis a výsledek aktivity DoD Pokyny a doporučení Microsoftu

Target 7.5.1 Cyber Threat Intelligence Program Pt1
DoD Enterprise spolupracuje s organizacemi na vývoj a programovou politiku CTI (Cyber Threat Intelligence). Organizace využívají tuto dokumentaci k vývoji organizačních týmů CTI s klíčovými účastníky mise a úkolů. Týmy CTI integrují běžné informační kanály dat se službou SIEM (Security Information and Event Management), aby se zlepšilo upozorňování a reakce. Integrace s body vynucení zařízení a sítě (např. brány firewall, sady zabezpečení koncových bodů atd.) se vytvářejí za účelem základního monitorování dat řízených CTI.

Výsledky:
- Tým pro analýzu kybernetických hrozeb je zavedený s důležitými zúčastněnými stranami
– Informační kanály SIEM využívají veřejné a standardní informační kanály CTI k upozorňování – základní integrační body existují se zařízeními a body vynucování
sítě (např. NGAV, NGFW, NG-IPS). Analýza hrozeb v programu Microsoft Defender Připojit analýzu hrozeb Defenderu a další informační kanály analýzy hrozeb do služby Sentinel.
- Analýza hrozeb
- v programu Defender – Povolení datového konektoru pro platformy Analýzy hrozeb
- prostředků se službou Microsoft Sentinel

Sentinel s bránou firewall webových aplikací Azure Firewall

-

Target 7.5.2 Cyber Threat Intelligence Program Pt2
Organizace DoD rozšiřují své týmy pro analýzu kybernetických hrozeb (CTI), aby podle potřeby zahrnovaly nové zúčastněné strany. Ověřené, privátní a řízené datové kanály CTI jsou integrované do systému SIEM (Security Information and Event Management) a body vynucení z pilířů Zařízení, Uživatel, Síť a Data.

Výsledky:
- Tým pro analýzu kybernetických hrozeb je zavedený s rozšířenými zúčastněnými stranami, jak je to vhodné
– Řízený a soukromý informační kanál využívá SIEM a další vhodné analytické nástroje pro upozorňování a monitorování
– Integrace se používá pro rozšířené body vynucování v rámci pilířů zařízení, uživatelů, sítí a dat (UEBA, UAM). Datové konektory Microsoft Sentinel spravují
síťové prostředky v Azure pomocí rozhraní REST API. Vytvořte základní integraci s body vynucení sítě pomocí playbooků Sentinelu a Logic Apps.
- Reakce na hrozby operací REST
- pro další body vynucení sítě v úložišti playbooku Sentinel.

-

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Target` 7.5.1 Cyber Threat Intelligence Program Pt1 DoD Enterprise spolupracuje s organizacemi na vývoj a programovou politiku CTI (Cyber Threat Intelligence). Organizace využívají tuto dokumentaci k vývoji organizačních týmů CTI s klíčovými účastníky mise a úkolů. Týmy CTI integrují běžné informační kanály dat se službou SIEM (Security Information and Event Management), aby se zlepšilo upozorňování a reakce. Integrace s body vynucení zařízení a sítě (např. brány firewall, sady zabezpečení koncových bodů atd.) se vytvářejí za účelem základního monitorování dat řízených CTI. Výsledky: - Tým pro analýzu kybernetických hrozeb je zavedený s důležitými zúčastněnými stranami – Informační kanály SIEM využívají veřejné a standardní informační kanály CTI k upozorňování – základní integrační body existují se zařízeními a body vynucování sítě (např. NGAV, NGFW, NG-IPS).	Analýza hrozeb v programu Microsoft Defender Připojit analýzu hrozeb Defenderu a další informační kanály analýzy hrozeb do služby Sentinel. - Analýza hrozeb - v programu Defender – Povolení datového konektoru pro platformy Analýzy hrozeb - prostředků se službou Microsoft Sentinel Sentinel s bránou firewall webových aplikací Azure Firewall -
`Target` 7.5.2 Cyber Threat Intelligence Program Pt2 Organizace DoD rozšiřují své týmy pro analýzu kybernetických hrozeb (CTI), aby podle potřeby zahrnovaly nové zúčastněné strany. Ověřené, privátní a řízené datové kanály CTI jsou integrované do systému SIEM (Security Information and Event Management) a body vynucení z pilířů Zařízení, Uživatel, Síť a Data. Výsledky: - Tým pro analýzu kybernetických hrozeb je zavedený s rozšířenými zúčastněnými stranami, jak je to vhodné – Řízený a soukromý informační kanál využívá SIEM a další vhodné analytické nástroje pro upozorňování a monitorování – Integrace se používá pro rozšířené body vynucování v rámci pilířů zařízení, uživatelů, sítí a dat (UEBA, UAM).	Datové konektory Microsoft Sentinel spravují síťové prostředky v Azure pomocí rozhraní REST API. Vytvořte základní integraci s body vynucení sítě pomocí playbooků Sentinelu a Logic Apps. - Reakce na hrozby operací REST - pro další body vynucení sítě v úložišti playbooku Sentinel. -

7.6 Automatizované dynamické zásady

Zásobník zabezpečení Microsoftu používá strojové učení (ML) a umělou inteligenci (AI) k ochraně identit, zařízení, aplikací, dat a infrastruktury. Díky XDR a podmíněnému přístupu v programu Microsoft Defender vytvářejí detekce ML agregované úrovně rizika pro uživatele a zařízení.

Pomocí rizika zařízení označte zařízení jako nevyhovující. Úroveň rizika identit umožňuje organizacím vyžadovat metody ověřování odolné proti útokům phishing, vyhovující zařízení, zvýšenou frekvenci přihlašování a další. Pomocí rizikových podmínek a řízení podmíněného přístupu vynucujte automatizované a dynamické zásady přístupu.

Popis a výsledek aktivity DoD Pokyny a doporučení Microsoftu

Advanced 7.6.1 Přístup k
síti s podporou umělé inteligenceOrganizace DoD využívají profily zabezpečení infrastruktury SDN a podnikového zabezpečení k povolení přístupu k síti řízené umělou inteligencí (AI) nebo strojovému učení (ML). Analýzy z předchozích aktivit slouží k výuce algoritmů AI/ML, které zlepšují rozhodování.

Výsledek:
- Přístup k síti je řízený AI na základě analýzy prostředí. Automatické přerušení útoků V programu Microsoft Defender XDR
v programu Microsoft Defender omezuje laterální pohyb. Tato akce snižuje účinky útoku ransomwaru. Výzkumní pracovníci v oblasti zabezpečení Microsoftu používají modely AI k oddálit složitost pokročilých útoků pomocí XDR v programu Defender. Řešení koreluje signály s vysoce důvěryhodnými incidenty a identifikuje a obsahuje útoky v reálném čase.
-

provozovaného člověkem)- používá Azure Firewall k vizualizaci aktivit brány firewall, detekci hrozeb pomocí funkcí vyšetřování AI, korelaci aktivit a automatizaci akcí reakce.
-

Advanced 7.6.2 Dynamické řízení
přístupu s podporou umělé inteligenceOrganizace DoD využívají předchozí dynamický přístup založený na pravidlech k výuce algoritmů umělé inteligence (AI) / Strojového učení (ML) k rozhodování o přístupu k různým prostředkům. Algoritmy aktivity "Přístup k síti s podporou AI" se aktualizují, aby umožňovaly širší rozhodování pro všechny DAAS.

Výsledek:
- JIT/JEA jsou integrovány s AI Podmíněný přístup
vyžaduje úroveň rizika počítače v programu Microsoft Defender for Endpoint v zásadách dodržování předpisů v Microsoft Intune. V zásadách podmíněného přístupu používejte dodržování předpisů zařízením a rizikové podmínky ochrany Microsoft Entra ID Protection.
- Zásady dodržování zásad
- přístupu na základě rizik pro nastavení pravidel pro zařízení

spravovaná pomocí služby Intune Privileged Identity Management
používají úroveň rizika ochrany identit a signály dodržování předpisů zařízením k definování kontextu ověřování pro privilegovaný přístup. Vyžadovat kontext ověřování pro požadavky PIM k vynucení zásad pro přístup

za běhu (JIT).Přečtěte si pokyny Microsoftu 7.6.1 v této části a 1.4.4 v části Uživatel.

Popis a výsledek aktivity DoD	Pokyny a doporučení Microsoftu
`Advanced` 7.6.1 Přístup k síti s podporou umělé inteligenceOrganizace DoD využívají profily zabezpečení infrastruktury SDN a podnikového zabezpečení k povolení přístupu k síti řízené umělou inteligencí (AI) nebo strojovému učení (ML). Analýzy z předchozích aktivit slouží k výuce algoritmů AI/ML, které zlepšují rozhodování. Výsledek: - Přístup k síti je řízený AI na základě analýzy prostředí.	Automatické přerušení útoků V programu Microsoft Defender XDR v programu Microsoft Defender omezuje laterální pohyb. Tato akce snižuje účinky útoku ransomwaru. Výzkumní pracovníci v oblasti zabezpečení Microsoftu používají modely AI k oddálit složitost pokročilých útoků pomocí XDR v programu Defender. Řešení koreluje signály s vysoce důvěryhodnými incidenty a identifikuje a obsahuje útoky v reálném čase. - provozovaného člověkem)- používá Azure Firewall k vizualizaci aktivit brány firewall, detekci hrozeb pomocí funkcí vyšetřování AI, korelaci aktivit a automatizaci akcí reakce. -
`Advanced` 7.6.2 Dynamické řízení přístupu s podporou umělé inteligenceOrganizace DoD využívají předchozí dynamický přístup založený na pravidlech k výuce algoritmů umělé inteligence (AI) / Strojového učení (ML) k rozhodování o přístupu k různým prostředkům. Algoritmy aktivity "Přístup k síti s podporou AI" se aktualizují, aby umožňovaly širší rozhodování pro všechny DAAS. Výsledek: - JIT/JEA jsou integrovány s AI	Podmíněný přístup vyžaduje úroveň rizika počítače v programu Microsoft Defender for Endpoint v zásadách dodržování předpisů v Microsoft Intune. V zásadách podmíněného přístupu používejte dodržování předpisů zařízením a rizikové podmínky ochrany Microsoft Entra ID Protection. - Zásady dodržování zásad - přístupu na základě rizik pro nastavení pravidel pro zařízení spravovaná pomocí služby Intune Privileged Identity Management používají úroveň rizika ochrany identit a signály dodržování předpisů zařízením k definování kontextu ověřování pro privilegovaný přístup. Vyžadovat kontext ověřování pro požadavky PIM k vynucení zásad pro přístup za běhu (JIT).Přečtěte si pokyny Microsoftu 7.6.1 v této části a 1.4.4 v části Uživatel.

Další kroky

Konfigurace cloudových služeb Microsoftu pro strategii nulová důvěra (Zero Trust) DoD:

Sdílet prostřednictvím

Strategie nulová důvěra (Zero Trust) doD pro pilíř viditelnosti a analýzy

7 Viditelnost a analýzy

7.1 Protokolování veškerého provozu

7.2 Informace o zabezpečení a správa událostí

7.3 Běžné analýzy zabezpečení a rizik

7.4 Analýza chování uživatelů a entit

Integrace analýzy hrozeb 7.5

7.6 Automatizované dynamické zásady

Další kroky

Váš názor

Další materiály