Estrategia de confianza cero de DoD para el pilar de visibilidad y análisis

2025-06-21

La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.

Use los vínculos siguientes para ir a las secciones de la guía.

7 Visibilidad y análisis

Esta sección contiene orientaciones y recomendaciones de Microsoft para las actividades de confianza cero del DoD en el pilar de visibilidad y análisis. Para obtener más información, consulte Visibilidad, automatización y orquestación con Confianza cero.

7.1 Registrar todo el tráfico

Microsoft Sentinel es un sistema de administración de eventos de información de seguridad (SIEM) escalable y nativo de la nube. Además, Sentinel es una solución de orquestación de seguridad, automatización y respuesta (SOAR) para controlar grandes volúmenes de datos de varios orígenes. Los conectores de datos de Sentinel ingieren datos entre usuarios, dispositivos, aplicaciones e infraestructura, locales y en varias nubes.

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Target` 7.1.1 Consideraciones de escalado Las organizaciones DoD realizan análisis para determinar las necesidades actuales y futuras de escalado. El escalado se analiza siguiendo los métodos de procedimientos recomendados comunes del sector y los pilares ZT. El equipo trabaja con grupos existentes de planificación de continuidad empresarial (BCP) y planeamiento de recuperación ante desastres (DPR) para determinar las necesidades del entorno distribuido en situaciones de emergencia y a medida que crecen las organizaciones. Resultados: - Infraestructura suficiente establecida - Entorno distribuido establecido - Ancho de banda suficiente para el tráfico de red	Microsoft Sentinel Sentinel usa un área de trabajo de Log Analytics para almacenar los datos de registro de seguridad para su análisis. Log Analytics es una plataforma como servicio (PaaS) en Azure. No hay ninguna infraestructura para administrar ni compilar. - Arquitectura del área de trabajo - Procedimientos recomendados para la arquitectura del área de trabajo - Reducción de costos de Sentinel Agente de Azure Monitor Transmisión de registros mediante Azure Monitor Agent para máquinas virtuales (VM) y dispositivos de red locales y en otras nubes. - Eventos de seguridad de Windows con AMA - Transmisión de registros en formato CEF y Syslog - Recopilación de datos - Punto de referencia de rendimiento del agente de Azure Monitor - Ingesta escalable Infraestructura de red Garantizar que la infraestructura de red cumple los requisitos de ancho de banda para Microsoft 365 y la supervisión de seguridad basada en la nube para servidores locales. - Conectividad de red de Microsoft 365 - Planificación y ajuste del rendimiento de la red - Azure ExpressRoute - Requisitos de red del agente de la máquina conectada Administración de continuidad empresarial en Azure Azure cuenta con programas maduros de administración de continuidad empresarial para múltiples sectores. Revisar la administración de la continuidad empresarial y la división de responsabilidades. - Administración de continuidad empresarial - Guía de confiabilidad
`Target` 7.1.2 Análisis de registros Las organizaciones DoD identifican y priorizan los orígenes de registro y flujo (por ejemplo, firewalls, detección de puntos de conexión y respuesta, Active Directory, conmutadores, enrutadores, etc.) y desarrollan un plan para la recopilación de registros de alta prioridad primero y prioridad baja. Se acuerda un formato de registro estándar del sector abierto en el nivel de DoD Enterprise con las organizaciones y se implementa en futuros requisitos de adquisición. Las soluciones y tecnologías existentes se migran al formato de forma continua. Resultados: - Formatos de registro estandarizados - Reglas desarrolladas para cada formato de registro	Conectores de datos de Microsoft Sentinel Conectar orígenes de datos pertinentes a Sentinel. Habilitar y configurar reglas de análisis. Los conectores de datos usan formatos de registro estandarizados. - Supervisión de arquitecturas de seguridad de confianza cero - Creación de conectores personalizados - API de ingesta de registros en Azure Monitor Consulte la guía de Microsoft 6.2.2 sobre Automatización y orquestación. Normalizar el registro con el formato de evento común (CEF), un estándar del sector que usan los proveedores de seguridad para la interoperabilidad de eventos entre plataformas. Use Syslog para sistemas que no admiten registros en CEF. - CEF con el conector de Azure Monitor para Sentinel - Ingesta de mensajes Syslog y CEF en Sentinel con Azure Monitor Uso de Advanced Security Information Model (ASIM) (versión preliminar pública) para recopilar y ver datos de varios orígenes con un esquema normalizado. - ASIM para normalizar los datos
`Target` 7.1.3 Análisis de registro Las actividades comunes de usuario y dispositivo se identifican y priorizan en función del riesgo. Las actividades consideradas más sencillas y arriesgadas cuentan con análisis creados a partir de distintos orígenes de datos, como los registros. Las tendencias y los patrones se desarrollan en función del análisis recopilado para examinar las actividades durante períodos de tiempo más largos. Resultados: - Desarrollo de análisis por actividad - Identificación de actividades que se van a analizar	Actividad completa 7.1.2. Microsoft Defender XDR Microsoft Defender XDR es un conjunto de defensa empresarial unificado previo y posterior a la vulneración que coordina la detección, prevención, investigación y respuesta de forma nativa entre puntos de conexión, identidades, correo electrónico y aplicaciones. Use Defender XDR para protegerse y responder a ataques sofisticados. - Investigue las alertas - Confianza cero con Defender XDR - Defender XDR para la administración pública de EE. UU. Desarrolle consultas de análisis personalizadas y visualice los datos recopilados mediante libros. - -

7.2 Administración de eventos e información de seguridad

Microsoft Defender XDR y Microsoft Sentinel trabajan juntos para detectar, alertar y responder a amenazas de seguridad. Microsoft Defender XDR detecta amenazas en Microsoft 365, identidades, dispositivos, aplicaciones e infraestructura. Defender XDR genera alertas en el portal de Microsoft Defender. Conecte alertas y datos sin procesar de Microsoft Defender XDR a Sentinel y use reglas de análisis avanzadas para correlacionar eventos y generar incidentes para alertas de alta fidelidad.

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Target` 7.2.1 Alertas de amenazas Parte1 Las organizaciones de DoD utilizan la solución existente de administración de eventos e información de seguridad (SIEM) para desarrollar reglas y alertas básicas para eventos comunes de amenazas (malware, suplantación de identidad, etc.). Las alertas o desencadenadores de reglas se introducen en la actividad paralela "Id. de activo y correlación de alertas" a la automatización de las respuestas. Resultado: - Se desarrollan reglas para la correlación de amenazas	Microsoft Defender XDR Microsoft Defender XDR tiene alertas de amenazas detectadas en puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. La plataforma agrega automáticamente las alertas relacionadas en incidentes para agilizar la revisión de la seguridad. - Investigar alertas Reglas de análisis de Microsoft Sentinel Habilite reglas de análisis estándar para orígenes de datos conectados y cree reglas de análisis personalizadas para detectar amenazas en Sentinel. Consulte las directrices de Microsoft en 7.1.3.
`Target` 7.2.2 Alertas de amenazas Parte2 Las organizaciones de DoD expanden alertas de amenazas en la solución de administración de eventos e información de seguridad (SIEM) para incluir fuentes de distribución de datos de Inteligencia sobre amenazas cibernéticas (CTI). Las reglas de desviación y anomalía se desarrollan en el SIEM para detectar amenazas avanzadas. Resultado: - Desarrollo de análisis para detectar desviaciones	Inteligencia sobre amenazas de Microsoft Sentinel Conectar inteligencia sobre amenazas cibernéticas (CTI) a Sentinel. - Inteligencia sobre amenazas Consulte la guía de Microsoft 6.7.1 y 6.7.2 en Automatización y orquestación.. Soluciones de Microsoft Sentinel Use reglas de análisis y libros en el centro de contenido de Microsoft Sentinel. - Contenido y soluciones de Microsoft Sentinel Reglas de análisis de Microsoft Sentinel Cree reglas de análisis programadas para detectar desviaciones, crear incidentes y desencadenar acciones de orquestación, automatización y respuesta de seguridad (SOAR). - Reglas de análisis personalizadas para detectar amenazas
`Advanced` 7.2.3 Alertas de amenazas Parte3 Se expande para incluir orígenes de datos avanzados, como Detección extendida y respuesta (XDR), Análisis de comportamiento de usuario y entidad (UEBA) y Supervisión de actividad de usuario (UAM). Estos orígenes de datos avanzados se usan para desarrollar detecciones anómalas y de actividad de patrones mejoradas. Resultados: - Identificación de eventos anómalos desencadenadores - Implementación de la directiva de desencadenamiento	Conectores de datos de Microsoft Sentinel Conexión de Microsoft Defender XDR a Sentinel para agregar alertas, incidentes y datos sin procesar. - Conexión de Defender XDR a Sentinel Anomalías personalizables de Microsoft Sentinel Uso de plantillas de anomalías personalizables de Microsoft Sentinel para reducir el ruido con reglas de detección de anomalías - Anomalías personalizables para detectar amenazas El motor de Fusion correlaciona alertas para ataques avanzados de varias fases. - Consulte la guía de Microsoft 6.4.1 en
`Target` 7.2.4 Id. de recurso y correlación de alertas Las organizaciones de DoD desarrollan reglas de correlación básicas mediante datos de activos y alertas. La respuesta a eventos comunes de amenazas (por ejemplo, malware, phishing, etc.) se automatiza dentro de la solución Administración de eventos e información de seguridad (SIEM). Resultado: - Se desarrollan reglas para respuestas basadas en identificadores de recursos	Microsoft Defender XDR Microsoft Defender XDR correlaciona las señales entre puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. Configure la recuperación automática con las funcionalidades de investigación y respuesta automatizadas. - Microsoft Defender XDR - Alertas de investigación y respuesta automatizadas Entidades de Microsoft Sentinel a las que va o generan Las alertas enviadas a Sentinel o generadas por Sentinel contienen elementos de datos que Sentinel clasifica en entidades: cuentas de usuario, hosts, archivos, procesos, direcciones IP, URL. Use páginas de entidades para ver información de entidad, analizar el comportamiento y mejorar las investigaciones. - Clasificación y análisis de datos mediante entidades - Investigar páginas de entidad
`Target` 7.2.5 Líneas base de usuario y dispositivo Las organizaciones de DoD desarrollan enfoques de línea de base de usuario y dispositivo en función de los estándares empresariales de DoD para el pilar adecuado. Los atributos utilizados en la base se extraen de los estándares de toda la empresa desarrollados en actividades entre pilares. Resultado: - Identificación de líneas base de usuario y dispositivo	Conectores de datos de Microsoft Sentinel Establecer una línea base de ingesta de datos para Sentinel. Como mínimo, incluya Microsoft Entra ID y conectores de Microsoft Defender XDR, configure reglas de análisis estándar y habilite el análisis de comportamiento de entidades de usuario (UEBA). - Conexión de Defender XDR a Sentinel - Habilite UEBA Azure Lighthouse Configure Azure Lighthouse para administrar áreas de trabajo de Sentinel en varios inquilinos. - Ampliar Sentinel entre áreas de trabajo e inquilinos - Operaciones multiinquilino para organizaciones de defensa

7.3 Análisis de riesgos y seguridad comunes

Microsoft Defender XDR tiene detecciones de amenazas estándar, análisis y alertas. Use reglas de análisis casi en tiempo real personalizables de Microsoft Sentinel para ayudar a correlacionar, detectar y generar alertas para anomalías en los orígenes de datos conectados.

Descripción y resultado de la actividad DoD Guía y recomendaciones de Microsoft

Target 7.3.1 Implementación de herramientas de análisis
Las organizaciones de DoD adquieren e implementan herramientas básicas de análisis centrados en ciberamenazas. En primer lugar, el desarrollo de análisis se prioriza en función del riesgo y la complejidad que buscan análisis fáciles de impacto. El desarrollo de análisis continuo se centra en los requisitos de Pilar para satisfacer mejor las necesidades de informes.

Resultados:
- Desarrollo de requisitos para de entorno analítico
- Adquisición e implementación de herramientas analíticas Microsoft Defender XDR y Microsoft SentinelConfigure la integración de Microsoft Defender XDR y Sentinel.

-
-

Target 7.3.2 Establecimiento de comportamientos de línea base de usuario
Al usar el análisis desarrollado para usuarios y dispositivos en una actividad paralela, las líneas base se establecen en una solución técnica. Estas líneas base se aplican a un conjunto identificado de usuarios en función del riesgo inicialmente y, a continuación, se expanden a la base de usuarios de la organización de DoD más grande. La solución técnica que se usa se integra con la funcionalidad de aprendizaje automático para comenzar la automatización.

Resultados:
- Identificación de usuarios para línea base
- Establecimiento de líneas base basadas en ML Microsoft Defender XDR
La detección y respuesta automatizada integrada de Microsoft Defender XDR es una primera línea de defensa. Las instrucciones de los pilares usuario y dispositivo establecen el comportamiento de línea de base y aplican directivas con señales Microsoft Defender XDR en Microsoft Intune (cumplimiento de dispositivos) y acceso condicional (riesgo de identidad y dispositivo compatibles).

Consulte las instrucciones de Microsoft Usuario and Dispositivo.

Reglas de análisis de Microsoft Sentinel
Use Sentinel para correlacionar eventos, detectar amenazas y desencadenar acciones de respuesta. Conecte los orígenes de datos pertinentes a Sentinel y cree reglas de análisis casi en tiempo real para detectar amenazas durante la ingesta de datos.
- Detectar amenazas

Consulte las instrucciones de Microsoft en la sección 7.2.5.

Cuadernos de Microsoft Sentinel
Crear modelos de aprendizaje automático personalizados para analizar datos de Sentinel mediante cuadernos de Jupyter Notebook y la plataforma bring-your-own-Machine-Learning (BYO-ML).
- BYO-ML en Sentinel
- Cuadernos de Jupyter y MSTICPy

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Target` 7.3.1 Implementación de herramientas de análisis Las organizaciones de DoD adquieren e implementan herramientas básicas de análisis centrados en ciberamenazas. En primer lugar, el desarrollo de análisis se prioriza en función del riesgo y la complejidad que buscan análisis fáciles de impacto. El desarrollo de análisis continuo se centra en los requisitos de Pilar para satisfacer mejor las necesidades de informes. Resultados: - Desarrollo de requisitos para de entorno analítico - Adquisición e implementación de herramientas analíticas	Microsoft Defender XDR y Microsoft SentinelConfigure la integración de Microsoft Defender XDR y Sentinel. - -
`Target` 7.3.2 Establecimiento de comportamientos de línea base de usuario Al usar el análisis desarrollado para usuarios y dispositivos en una actividad paralela, las líneas base se establecen en una solución técnica. Estas líneas base se aplican a un conjunto identificado de usuarios en función del riesgo inicialmente y, a continuación, se expanden a la base de usuarios de la organización de DoD más grande. La solución técnica que se usa se integra con la funcionalidad de aprendizaje automático para comenzar la automatización. Resultados: - Identificación de usuarios para línea base - Establecimiento de líneas base basadas en ML	Microsoft Defender XDR La detección y respuesta automatizada integrada de Microsoft Defender XDR es una primera línea de defensa. Las instrucciones de los pilares usuario y dispositivo establecen el comportamiento de línea de base y aplican directivas con señales Microsoft Defender XDR en Microsoft Intune (cumplimiento de dispositivos) y acceso condicional (riesgo de identidad y dispositivo compatibles). Consulte las instrucciones de Microsoft Usuario and Dispositivo. Reglas de análisis de Microsoft Sentinel Use Sentinel para correlacionar eventos, detectar amenazas y desencadenar acciones de respuesta. Conecte los orígenes de datos pertinentes a Sentinel y cree reglas de análisis casi en tiempo real para detectar amenazas durante la ingesta de datos. - Detectar amenazas Consulte las instrucciones de Microsoft en la sección 7.2.5. Cuadernos de Microsoft Sentinel Crear modelos de aprendizaje automático personalizados para analizar datos de Sentinel mediante cuadernos de Jupyter Notebook y la plataforma bring-your-own-Machine-Learning (BYO-ML). - BYO-ML en Sentinel - Cuadernos de Jupyter y MSTICPy

7.4 Análisis de comportamiento de usuarios y entidades

Microsoft Defender XDR y Microsoft Sentinel detectan anomalías mediante el análisis de comportamiento de entidades de usuario (UEBA). Detecte anomalías en Sentinel con reglas de análisis de Fusion, UEBA y aprendizaje automático (ML). Además, Sentinel se integra con Azure Notebooks (Jupyter Notebook) para bring-your-own-Machine-Learning (BYO-ML) y la funcionalidad de visualización.

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Target` 7.4.1 Línea base y generación de perfiles Parte1 Al usar el análisis desarrollado para usuarios y dispositivos en una actividad paralela, se crean perfiles comunes para tipos de usuario y dispositivo típicos. Los análisis tomados de la línea base se actualizan para ver los contenedores y perfiles más grandes. resultados: - Desarrollo de análisis para detectar condiciones de amenaza cambiantes - Identificación de perfiles de amenazas de usuario y dispositivo	Microsoft Defender XDR Visite el portal de Microsoft Defender para obtener una vista unificada de incidentes, alertas, informes y análisis de amenazas. Use la puntuación de seguridad de Microsoft para evaluar y mejorar la posición de seguridad. Cree detecciones personalizadas para supervisar y responder a eventos de seguridad en Microsoft Defender XDR. - Portal de Microsoft Defender - Evaluar la posición de seguridad con la puntuación de seguridad - Detecciones personalizadas Microsoft Sentinel Usar libros para visualizar y supervisar datos. Cree reglas de análisis personalizadas y habilite la detección de anomalías para identificar y alertar sobre las condiciones de amenaza cambiantes. - Visualizar y supervisar datos - Análisis personalizado para detectar amenazas - Personalizar anomalías para detectar amenazas
`Advanced` 7.4.2 Línea de base y generación de perfiles Parte2 Las organizaciones de DoD expanden líneas base y perfiles para incluir tipos de dispositivos no administrados y no estándar, incluidos Internet de las cosas (IoT) y la tecnología operativa (OT) mediante la supervisión de la salida de datos. Estos dispositivos se vuelven a generar perfiles basados en atributos estandarizados y casos de uso. Los análisis se actualizan para tener en cuenta las nuevas líneas base y los perfiles, lo que permite más detecciones y respuestas. Los usuarios y dispositivos de riesgo específicos se priorizan automáticamente para aumentar la supervisión en función del riesgo. La detección y la respuesta se integran con funcionalidades de pilar cruzado. resultados: - Adición de perfiles de amenazas para dispositivos IoT y OT - Desarrollo y ampliación de análisis - Extensión de perfiles de amenazas a usuarios y dispositivos individuales	Microsoft Defender XDR Detectar y proteger dispositivos no administrados con Microsoft Defender para punto de conexión. - Detección de dispositivos - Asociación de inquilinos para admitir directivas de seguridad de puntos de conexión de Intune - Seguridad de dispositivos administrados y no administrados - Análisis de dispositivos de red autenticados - Examen de dispositivos Windows no administrados Microsoft Defender para IoT Implementar sensores de Defender para IoT en redes de tecnología operativa (OT). Defender para IoT admite la supervisión de dispositivos sin agente para redes de OT híbridas, locales y en la nube. Habilite el modo de aprendizaje para una línea base del entorno y conecte Defender para IoT a Microsoft Sentinel. - Defender para IoT para organizaciones - Supervisión de OT - Línea base aprendida de alertas de OT - Conectar Defender para IoT con Sentinel - Investigación de entidades con páginas de entidad
`Advanced` 7.4.3 Compatibilidad de línea base UEBA Parte1 El análisis de comportamiento de usuarios y entidades (UEBA) dentro de organizaciones de DoD expande la supervisión a análisis avanzados, como Machine Learning (ML). Estos resultados se revisan y devuelven a los algoritmos de aprendizaje automático para mejorar la detección y la respuesta. Resultado: - Implementación del análisis basado en ML para detectar anomalías	Actividad completa 7.3.2. reglas de análisis de Microsoft Sentinel Sentinel usa dos modelos para crear líneas base y detectar anomalías, UEBA y aprendizaje automático. - Anomalías detectadas Anomalías de UEBA UEBA detecta anomalías basadas en líneas base de entidad dinámicas. - Habilitar UEBA - Anomalías de UEBA Anomalías de Aprendizaje automático Las anomalías de ML identifican un comportamiento inusual con plantillas de regla de análisis estándar. - Anomalías de ML
`Advanced` 7.4.4 Compatibilidad de línea base UEBA Parte2 El análisis de comportamiento de usuarios y entidades (UEBA) dentro de las organizaciones de DoD completa su expansión mediante el uso de resultados basados en aprendizaje automático (ML) tradicionales para incorporarse a algoritmos de inteligencia artificial (IA). Inicialmente, las detecciones basadas en IA se supervisan, pero en última instancia se usan técnicas avanzadas como redes neuronales, los operadores UEBA no forman parte del proceso de aprendizaje. Resultado: - Implementación del análisis basado en ML para detectar anomalías (detecciones de IA supervisadas)	Fusion en Microsoft Sentinel Use la detección avanzada de ataques de varias fases en la regla de análisis de Fusion, en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases y amenazas persistentes avanzadas (APT). Identifica combinaciones de comportamientos anómalos y actividades sospechosas, de lo contrario, difíciles de detectar. - Detección avanzada de ataques de varias fases Cuadernos de Microsoft Sentinel Cree sus propios modelos de ML personalizados para analizar los datos de Microsoft Sentinel mediante cuadernos de Jupyter Notebook y la plataforma bring-your-own-Machine-Learning (BYO-ML). - BYO-ML en Sentinel - Cuadernos de Jupyter Notebook y MSTICPy

7.5 Integración de inteligencia sobre amenazas

La inteligencia sobre amenazas de Microsoft Defender simplifica la evaluación de prioridades, la respuesta a incidentes, la búsqueda de amenazas, la administración de vulnerabilidades y la inteligencia sobre amenazas cibernéticas (CTI) de expertos en amenazas de Microsoft y otros orígenes. Microsoft Sentinel se conecta a la inteligencia sobre amenazas de Microsoft Defender y a orígenes CTI de terceros.

Descripción y resultado de la actividad DoD Guía y recomendaciones de Microsoft

Target 7.5.1 Programa de Inteligencia de amenazas cibernéticas Parte1
La empresa de DoD trabaja con las organizaciones para desarrollar una política, estándar y proceso del programa de Inteligencia sobre amenazas cibernéticas (CTI). Las organizaciones usan esta documentación para desarrollar equipos CTI de la organización con las principales partes interesadas de la misión o tarea. Los equipos de CTI integran fuentes comunes de datos con la administración de eventos e información de seguridad (SIEM) para mejorar las alertas y la respuesta. Se crean integraciones con puntos de cumplimiento de dispositivos y redes (por ejemplo, firewalls, conjuntos de seguridad de puntos de conexión, etc.) para llevar a cabo la supervisión básica de los datos controlados por CTI.

Resultados:
- El equipo de inteligencia sobre amenazas cibernética está en vigor con las partes interesadas críticas
- Las fuentes de CTI públicas y de línea base se están utilizando por SIEM para alertar
- Existen puntos de integración básicos con puntos de cumplimiento de dispositivos y redes (por ejemplo, NGAV, NGFW, NG-IPS) Inteligencia sobre amenazas de Microsoft Defender
Conectar inteligencia sobre amenazas de Defender y otras fuentes de inteligencia sobre amenazas a Sentinel.
- Inteligencia sobre amenazas de Defender
- Habilitar el conector de datos para inteligencia sobre amenazas de Defender
- Conectar plataformas de inteligencia sobre amenazas a Sentinel

Redes de Azure
Integrar recursos de red con Microsoft Sentinel.
- Sentinel con Azure Web App Firewall
- Azure Firewall con Sentinel

Target 7.5.2 Programa de Inteligencia de amenazas cibernéticas Parte2
Las organizaciones de DoD expanden sus equipos de Inteligencia sobre amenazas cibernéticas (CTI) para incluir nuevas partes interesadas según corresponda. Las fuentes de datos CTI autenticadas, privadas y controladas se integran en la administración de eventos e información de seguridad (SIEM) y los puntos de cumplimiento de los pilares Dispositivo, Usuario, Red y Datos.

resultados:
- El equipo de inteligencia sobre amenazas cibernéticas está implementado con las partes interesadas extendidas según sea necesario
- La fuente privada y controlada están siendo utilizadas por SIEM y otras herramientas de análisis adecuadas para alertas y supervisión
- La integración está en vigor para los puntos de cumplimiento extendidos dentro de los pilares de dispositivo, usuario, red y datos (UEBA, UAM) Conectores de datos de Microsoft Sentinel
Administración de recursos de red en Azure con la API de REST. Establezca la integración básica con puntos de cumplimiento de red mediante cuadernos de estrategias de Sentinel y Logic Apps.
- Operaciones REST de red virtual
- Respuesta a amenazas con cuadernos de estrategias de Sentinel

Buscar cuadernos de estrategias para otros puntos de cumplimiento de red en el repositorio de cuadernos de estrategias de Sentinel.
- Cuadernos de estrategias de Sentinel en GitHub

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Target` 7.5.1 Programa de Inteligencia de amenazas cibernéticas Parte1 La empresa de DoD trabaja con las organizaciones para desarrollar una política, estándar y proceso del programa de Inteligencia sobre amenazas cibernéticas (CTI). Las organizaciones usan esta documentación para desarrollar equipos CTI de la organización con las principales partes interesadas de la misión o tarea. Los equipos de CTI integran fuentes comunes de datos con la administración de eventos e información de seguridad (SIEM) para mejorar las alertas y la respuesta. Se crean integraciones con puntos de cumplimiento de dispositivos y redes (por ejemplo, firewalls, conjuntos de seguridad de puntos de conexión, etc.) para llevar a cabo la supervisión básica de los datos controlados por CTI. Resultados: - El equipo de inteligencia sobre amenazas cibernética está en vigor con las partes interesadas críticas - Las fuentes de CTI públicas y de línea base se están utilizando por SIEM para alertar - Existen puntos de integración básicos con puntos de cumplimiento de dispositivos y redes (por ejemplo, NGAV, NGFW, NG-IPS)	Inteligencia sobre amenazas de Microsoft Defender Conectar inteligencia sobre amenazas de Defender y otras fuentes de inteligencia sobre amenazas a Sentinel. - Inteligencia sobre amenazas de Defender - Habilitar el conector de datos para inteligencia sobre amenazas de Defender - Conectar plataformas de inteligencia sobre amenazas a Sentinel Redes de Azure Integrar recursos de red con Microsoft Sentinel. - Sentinel con Azure Web App Firewall - Azure Firewall con Sentinel
`Target` 7.5.2 Programa de Inteligencia de amenazas cibernéticas Parte2 Las organizaciones de DoD expanden sus equipos de Inteligencia sobre amenazas cibernéticas (CTI) para incluir nuevas partes interesadas según corresponda. Las fuentes de datos CTI autenticadas, privadas y controladas se integran en la administración de eventos e información de seguridad (SIEM) y los puntos de cumplimiento de los pilares Dispositivo, Usuario, Red y Datos. resultados: - El equipo de inteligencia sobre amenazas cibernéticas está implementado con las partes interesadas extendidas según sea necesario - La fuente privada y controlada están siendo utilizadas por SIEM y otras herramientas de análisis adecuadas para alertas y supervisión - La integración está en vigor para los puntos de cumplimiento extendidos dentro de los pilares de dispositivo, usuario, red y datos (UEBA, UAM)	Conectores de datos de Microsoft Sentinel Administración de recursos de red en Azure con la API de REST. Establezca la integración básica con puntos de cumplimiento de red mediante cuadernos de estrategias de Sentinel y Logic Apps. - Operaciones REST de red virtual - Respuesta a amenazas con cuadernos de estrategias de Sentinel Buscar cuadernos de estrategias para otros puntos de cumplimiento de red en el repositorio de cuadernos de estrategias de Sentinel. - Cuadernos de estrategias de Sentinel en GitHub

7.6 Directivas dinámicas automatizadas

La pila de seguridad de Microsoft usa aprendizaje automático (ML) e inteligencia artificial (IA) para proteger identidades, dispositivos, aplicaciones, datos e infraestructura. Con Microsoft Defender XDR y el acceso condicional, las detecciones de ML establecen niveles de riesgo agregados para usuarios y dispositivos.

Use el riesgo del dispositivo para marcar un dispositivo como no conforme. El nivel de riesgo de identidad permite a las organizaciones requerir métodos de autenticación resistentes a la suplantación de identidad, dispositivos compatibles, mayor frecuencia de inicio de sesión, etc. Use condiciones de riesgo y controles de acceso condicional para aplicar directivas de acceso dinámico automatizadas.

Descripción y resultado de la actividad DoD Guía y recomendaciones de Microsoft

Advanced 7.6.1 Acceso de red habilitado para IA
Las organizaciones de DoD usan la infraestructura de SDN y los perfiles de seguridad empresarial para habilitar el acceso a la red controlada por inteligencia artificial (IA)/Machine Learning (ML). El análisis de actividades anteriores se usa para enseñar a los algoritmos de inteligencia artificial y aprendizaje automático a mejorar la toma de decisiones.

resultado:
- El acceso a la red se basa en el análisis de entornos Microsoft Defender XDR
La interrupción automática del ataque en Microsoft Defender XDR limita el movimiento lateral. Esta acción reduce los efectos de un ataque ransomware. Los investigadores de seguridad de Microsoft usan modelos de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados mediante Defender XDR. La solución correlaciona las señales en incidentes de alta confianza para identificar y contener los ataques en tiempo real.
- Interrupciones de ataques

Las funcionalidades de protección de red en SmartScreen y protección web de Microsoft Defender se expanden al sistema operativo para bloquear los ataques de comando y control (C2).
- Proteger la red
- IA para interrumpir el ransomware operado por el usuario)

Microsoft Sentinel
Usar Azure Firewall para visualizar las actividades del firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta.
- Azure Firewall con Sentinel

Advanced 7.6.2 Control de acceso dinámico habilitado para IA
Las organizaciones de DoD usan el acceso dinámico basado en reglas anterior para enseñar algoritmos de inteligencia artificial (IA)/Machine Learning (ML) a fin de tomar decisiones de acceso a varios recursos. Los algoritmos de actividad "Acceso a redes habilitados para IA" se actualizan para permitir una toma de decisiones más amplia para todos los DAAS.

Resultado:
- JIT/JEA se integran con la inteligencia artificial Acceso condicional
Requerir el nivel de riesgo de la máquina de Microsoft Defender para punto de conexión en la directiva de cumplimiento de Microsoft Intune. Use el cumplimiento de dispositivos y las condiciones de riesgo de Protección contra identificadores de Entra de Microsoft en las directivas de acceso condicional.
- Directivas de acceso basadas en riesgos
- Directivas de cumplimiento para establecer reglas para dispositivos administrados de Intune

Privileged Identity Management
Usar las señales de riesgo de protección de identidad y cumplimiento de dispositivos para definir un contexto de autenticación para el acceso con privilegios. Requerir contexto de autenticación para las solicitudes PIM para aplicar directivas para el acceso Just-In-Time (JIT).

Consulte la guía de Microsoft 7.6.1 en esta sección y 1.4.4 en Usuario.

Descripción y resultado de la actividad DoD	Guía y recomendaciones de Microsoft
`Advanced` 7.6.1 Acceso de red habilitado para IA Las organizaciones de DoD usan la infraestructura de SDN y los perfiles de seguridad empresarial para habilitar el acceso a la red controlada por inteligencia artificial (IA)/Machine Learning (ML). El análisis de actividades anteriores se usa para enseñar a los algoritmos de inteligencia artificial y aprendizaje automático a mejorar la toma de decisiones. resultado: - El acceso a la red se basa en el análisis de entornos	Microsoft Defender XDR La interrupción automática del ataque en Microsoft Defender XDR limita el movimiento lateral. Esta acción reduce los efectos de un ataque ransomware. Los investigadores de seguridad de Microsoft usan modelos de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados mediante Defender XDR. La solución correlaciona las señales en incidentes de alta confianza para identificar y contener los ataques en tiempo real. - Interrupciones de ataques Las funcionalidades de protección de red en SmartScreen y protección web de Microsoft Defender se expanden al sistema operativo para bloquear los ataques de comando y control (C2). - Proteger la red - IA para interrumpir el ransomware operado por el usuario) Microsoft Sentinel Usar Azure Firewall para visualizar las actividades del firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall con Sentinel
`Advanced` 7.6.2 Control de acceso dinámico habilitado para IA Las organizaciones de DoD usan el acceso dinámico basado en reglas anterior para enseñar algoritmos de inteligencia artificial (IA)/Machine Learning (ML) a fin de tomar decisiones de acceso a varios recursos. Los algoritmos de actividad "Acceso a redes habilitados para IA" se actualizan para permitir una toma de decisiones más amplia para todos los DAAS. Resultado: - JIT/JEA se integran con la inteligencia artificial	Acceso condicional Requerir el nivel de riesgo de la máquina de Microsoft Defender para punto de conexión en la directiva de cumplimiento de Microsoft Intune. Use el cumplimiento de dispositivos y las condiciones de riesgo de Protección contra identificadores de Entra de Microsoft en las directivas de acceso condicional. - Directivas de acceso basadas en riesgos - Directivas de cumplimiento para establecer reglas para dispositivos administrados de Intune Privileged Identity Management Usar las señales de riesgo de protección de identidad y cumplimiento de dispositivos para definir un contexto de autenticación para el acceso con privilegios. Requerir contexto de autenticación para las solicitudes PIM para aplicar directivas para el acceso Just-In-Time (JIT). Consulte la guía de Microsoft 7.6.1 en esta sección y 1.4.4 en Usuario.

Pasos siguientes

Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD:

Compartir a través de

Estrategia de confianza cero de DoD para el pilar de visibilidad y análisis

7 Visibilidad y análisis

7.1 Registrar todo el tráfico

7.2 Administración de eventos e información de seguridad

7.3 Análisis de riesgos y seguridad comunes

7.4 Análisis de comportamiento de usuarios y entidades

7.5 Integración de inteligencia sobre amenazas

7.6 Directivas dinámicas automatizadas

Pasos siguientes

Comentarios

Recursos adicionales