자동화 및 오케스트레이션 핵심 요소에 대한 DoD 제로 트러스트 전략

2025-05-07

DoD 제로 트러스트 전략 및 로드맵은 국방부 구성 요소 및 DIB(국방 산업 기지) 파트너가 제로 트러스트 원칙에 따라 새로운 사이버 보안 프레임워크를 채택할 수 있는 경로를 간략하게 설명합니다. 제로 트러스트 기존의 경계 및 신뢰 가정을 제거하여 보안, 사용자 환경 및 임무 성능을 향상시키는 보다 효율적인 아키텍처를 지원합니다.

이 가이드에는 DoD 제로 트러스트 기능 실행 로드맵의 152 제로 트러스트 활동에 대한 권장 사항이 있습니다. 섹션은 DoD 제로 트러스트 모델의 7가지 핵심 요소에 해당합니다.

다음 링크를 사용하여 가이드의 섹션으로 이동합니다.

6 자동화 및 오케스트레이션

이 섹션에는 자동화 및 오케스트레이션 핵심 요소의 DoD 제로 트러스트 활동에 대한 Microsoft 지침과 권장 사항이 있습니다. 자세한 내용은 제로 트러스트 사용하여 표시 유형, 자동화 및 오케스트레이션을 참조하세요.

6.1 PDP(정책 결정 지점) 및 정책 오케스트레이션

Microsoft Sentinel에는 클라우드 기반 리소스를 통한 SOAR(보안 오케스트레이션, 자동화 및 응답)가 있습니다. 사이버 공격에 대한 탐지 및 대응을 자동화합니다. Sentinel은 Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure 및 비 Microsoft 플랫폼과 통합됩니다. 이러한 확장 가능한 통합을 통해 Sentinel은 플랫폼 간에 사이버 보안 검색 및 대응 작업을 조정하여 보안 운영의 효율성과 효율성을 높일 수 있습니다.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.1.1 정책 인벤토리 및 개발 DoD 엔터프라이즈는 조직과 협력하여 기존 사이버 보안 정책 및 표준을 카탈로그화하고 인벤토리를 작성합니다. 정책은 중요한 ZT 대상 기능을 충족하기 위해 필요에 따라 교차 핵심 활동에서 업데이트되고 생성됩니다. 결과: - 해당 규정 준수 및 위험(예: RMF, NIST) 을 참조하여 정책이 수집되었습니다. ZTRA 에 따라 누락된 핵심 요소 및 기능에 대한 정책이 검토되었습니다. 누락된 정책 영역은 ZTRA별 기능을 충족하도록 업데이트됩니다.	Microsoft Purview 준수 관리자는 Microsoft Purview 준수 관리자를 사용하여 다중 클라우드 환경에서 규정 준수를 평가하고 관리합니다. - 준수 관리자 - 클라우드용 Defender 규정 준수 기능을 사용하여 다중 클라우드 환경에서 Azure Policy 이니셔티브 준수를 보고 개선합니다. - 규정 준수 FedRAMP 높은 규정 준수 - 콘텐츠 허브에는 도메인별 보안 요구 사항을 사용하여 진행 상황을 시각화하고 측정하는 솔루션이 있습니다. - Sentinel 콘텐츠 허브 카탈로그 - DoD ZT Sentinel 통합 문서 - NIST SP 800-53 솔루션
`Target` 6.1.2 조직 액세스 프로필 DoD 조직은 사용자, 데이터, 네트워크 및 디바이스 핵심 요소의 데이터를 사용하여 임무/작업 및 비임무/태스크 DAAS 액세스를 위한 기본 액세스 프로필을 개발합니다. DoD Enterprise는 조직과 협력하여 기존 조직 보안 프로필을 사용하여 엔터프라이즈 보안 프로필을 개발하여 DAAS에 대한 일반적인 액세스 접근 방식을 만듭니다. 조직에서 단계적 접근 방식을 사용하여 보안 프로필이 만들어지면 중요 업무용 DAAS 액세스에 대한 위험을 제한할 수 있습니다. 결과: - 조직 범위 프로필은 사용자, 데이터, 네트워크 및 디바이스 핵심 요소의 기능을 사용하여 DAAS에 대한 액세스를 결정하기 위해 만들어집니다. 초기 엔터프라이즈 프로필 액세스 표준은 DAAS 에 액세스하기 위해 개발됩니다. 가능한 경우 조직 프로필은 사용자, 데이터, 네트워크 및 디바이스 핵심 요소에서 엔터프라이즈 사용 가능한 서비스를 활용합니다.	조건부 액세스 조건부 액세스를 사용하여 표준화된 DoD 정책 집합을 정의합니다. 인증 강도, 디바이스 준수, 사용자 및 로그인 위험 제어를 포함합니다. - 조건부 액세스
`Target` 6.1.3 Enterprise Security Profile Pt1 엔터프라이즈 보안 프로필은 처음에 사용자, 데이터, 네트워크 및 디바이스 핵심 요소를 다룹니다. 기존 조직 보안 프로필은 다음과 같은 비사업/태스크 DAAS 액세스를 위해 통합됩니다. 결과: - 엔터프라이즈 프로필은 사용자, 데이터, 네트워크 및 디바이스 기둥 의 기능을 사용하여 DAAS에 액세스하기 위해 만들어집니다. 업무 외/업무에 중요한 조직 프로필은 표준화된 접근 방식을 사용하여 엔터프라이즈 프로필과 통합됩니다.	작업 6.1.2를 완료합니다. Microsoft Graph API 는 Microsoft Graph API를 사용하여 조건부 액세스 정책, 테넌트 간 액세스 설정 및 기타 Microsoft Entra 구성 설정을 관리하고 배포합니다. - 프로그래밍 방식 액세스 - 테넌트 간 액세스 설정 API - Graph 기능 및 서비스
`Advanced` 6.1.4 엔터프라이즈 보안 프로필 Pt2 DoD 조직 내의 핵심 요소에서 가장 광범위한 DAAS에 대한 액세스 권한을 부여하는 최소 엔터프라이즈 보안 프로필 수가 존재합니다. 임무/작업 조직 프로필은 엔터프라이즈 보안 프로필과 통합되며 예외는 위험 기반의 체계적인 접근 방식으로 관리됩니다. 결과: DAAS 에 대한 광범위한 액세스를 지원하기 위해 엔터프라이즈 프로필이 축소되고 간소화되었습니다. 적절한 중요 업무용 프로필이 통합되고 지원되는 조직 프로필이 예외로 간주되는 경우	조건부 액세스 조건부 액세스 인사이트 및 보고 통합 문서를 사용하여 조건부 액세스 정책이 조직에 미치는 영향을 확인합니다. 가능하면 정책을 결합합니다. 간소화된 정책 집합은 새로운 조건부 액세스 기능을 보다 쉽게 관리, 문제 해결 및 파일럿할 수 있습니다. 조건부 액세스 템플릿을 사용하여 더 간단한 정책을 만들 수 있습니다. - 인사이트 및 보고서 - 템플릿은 What If 도구 및 보고서 전용 모드를 사용하여 새 정책의 문제를 해결하고 평가합니다. - 조건부 액세스 - 보고서 전용 모드 문제 해결: 신뢰할 수 있는 네트워크 위치에 대한 조직의 의존도를 줄입니다. GPS 좌표로 결정된 국가/지역 위치 또는 IP 주소를 사용하여 조건부 액세스 정책의 위치 조건을 간소화합니다. - 위치 조건 사용자 지정 보안 특성 조건부 액세스 정책에서 사용자 지정 보안 특성 및 애플리케이션 필터를 사용하여 민감도와 같은 애플리케이션 개체에 할당된 보안 특성 권한 부여의 범위를 지정합니다. - 사용자 지정 보안 특성 - 앱에 대한 필터

6.2 중요한 프로세스 자동화

Microsoft Sentinel 자동화는 일반적으로 계층 1 보안 분석가가 수행하는 작업을 실행합니다. 자동화 규칙은 Azure Logic Apps를 사용하여 보안 작업을 향상시키는 상세하고 자동화된 워크플로를 개발하는 데 도움이 됩니다. 예를 들어 인시던트 보강: 외부 데이터 원본에 연결하여 악의적인 활동을 검색합니다.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.2.1 작업 자동화 분석 DoD 조직은 수동 및 자동화된 방식으로 실행할 수 있는 모든 작업 활동을 식별하고 열거합니다. 작업 활동은 자동화된 수동 범주로 구성됩니다. 수동 활동은 사용 중지 가능성을 분석합니다. 결과: - 자동화 가능한 작업이 식별됨 - 작업이 열거됨 - 정책 인벤토리 및 개발	작업 6.1.1을 완료합니다. Azure Resource Manager 는 ARM 템플릿 및 Azure Blueprints를 사용하여 IaC(Infrastructure-as-code)를 사용하여 배포를 자동화합니다. - ARM 템플릿 는 이니셔티브 정의를 사용하여 Azure Policy 할당을 구성합니다.- 규정 표준 및 벤치마크를 클라우드용 Defender 배포합니다.- - 액세스 패키지 카탈로그를 정의하여 액세스 패키지 할당 및 검토에 대한 표준을 설정합니다. Azure Logic Apps를 사용하여 조인자, 이동기, 휴가자 및 기타 자동화 가능한 작업을 자동화하는 ID 수명 주기 워크플로를 개발합니다. - 권한 관리 리소스 - -
`Target` 6.2.2 엔터프라이즈 통합 및 워크플로 프로비저닝 Pt1 DoD 엔터프라이즈는 대상 수준 ZTA 기능을 사용하도록 설정하는 데 필요한 SOAR(보안 오케스트레이션, 자동화 및 응답 솔루션) 내에서 기준 통합을 설정합니다. DoD 조직은 통합 지점을 식별하고 DoD 엔터프라이즈 기준에 따라 주요 요소의 우선 순위를 지정합니다. 중요한 통합은 복구 및 보호 기능을 가능하게 하는 주요 서비스를 충족합니다. 결과: - 전체 엔터프라이즈 통합 구현 - 주요 통합 식별 - 복구 및 보호 요구 사항 식별	Microsoft Sentinel Connect 관련 데이터 원본을 Sentinel에 연결하여 분석 규칙을 사용하도록 설정합니다. Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, 클라우드용 Microsoft Defender, Azure Firewall, Azure Resource Manager, AMA(Azure Monitor 에이전트) 및 기타 API, Syslog 또는 CEF(Common Event Format) 데이터 원본을 사용하는 보안 이벤트에 대한 커넥터를 포함합니다. - Sentinel Microsoft Defender XDR의 Sentinel - UEBA는 배포된 Microsoft Defender XDR 구성 요소의 통합을 구성하고 Microsoft Defender XDR을 Sentinel에 연결합니다. Defender XDR의 데이터를 Sentinel 에 연결하려면 디바이스에서 Microsoft 지침 2.7.2를 - . Defender XDR을 사용하여 위협
`Advanced` 6.2.3 엔터프라이즈 통합 및 워크플로 프로비전 Pt2 DoD 조직은 환경별로 적절한 기준 요구 사항 및 고급 ZTA 기능 요구 사항을 충족하기 위해 나머지 서비스를 통합합니다. 서비스 프로비전은 ZTA 대상 기능을 충족해야 하는 워크플로에 통합되고 자동화됩니다. 결과: - 식별된 서비스 - 서비스 프로비저닝이 구현됨	Microsoft Defender XDR Microsoft Defender XDR은 ID, 디바이스, 데이터 및 애플리케이션을 보호합니다. Defender XDR을 사용하여 구성 요소 통합 - - Connect 새 데이터 원본을 Sentinel에 구성하고 표준 및 사용자 지정 분석 규칙을 사용하도록 설정합니다.

6.3 기계 학습

Microsoft Defender XDR 및 Microsoft Sentinel은 AI(인공 지능), ML(기계 학습) 및 위협 인텔리전스를 사용하여 고급 위협을 감지하고 대응합니다. Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection 및 조건부 액세스의 통합을 사용하여 위험 신호를 사용하여 적응형 액세스 정책을 적용합니다.

Microsoft 보안 스택 및 ML에 대해 알아보고 미국 정부 클라우드의 보안 코필로트를 준비합니다.

DoD 활동 설명 및 결과 Microsoft 지침 및 권장 사항

Target 6.3.1 데이터 태그 지정 및 분류 ML 도구
구현DoD 조직은 기존 데이터 태그 지정 및 분류 표준 및 요구 사항을 활용하여 필요에 따라 Machine Learning 솔루션을 조달합니다. Machine Learning 솔루션은 조직에서 구현되며 기존 태그가 지정되고 분류된 데이터 리포지토리는 기준을 설정하는 데 사용됩니다. 기계 학습 솔루션은 감독된 접근 방식으로 데이터 태그를 적용하여 분석을 지속적으로 개선합니다.

결과:
- 구현된 데이터 태그 지정 및 분류 도구는 ML 도구와 통합됩니다. Microsoft Purview
서비스 쪽(Microsoft 365) 및 클라이언트 쪽(Microsoft Office 앱) 및 Microsoft Purview 데이터 맵 Microsoft Purview에서 자동 레이블 지정을 구성합니다.
- 데이터 맵

의 민감도 데이터 레이블은 데이터에서 Microsoft 지침 4.3.4 및 4.3.5를 참조하세요.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.3.1 데이터 태그 지정 및 분류 ML 도구 구현DoD 조직은 기존 데이터 태그 지정 및 분류 표준 및 요구 사항을 활용하여 필요에 따라 Machine Learning 솔루션을 조달합니다. Machine Learning 솔루션은 조직에서 구현되며 기존 태그가 지정되고 분류된 데이터 리포지토리는 기준을 설정하는 데 사용됩니다. 기계 학습 솔루션은 감독된 접근 방식으로 데이터 태그를 적용하여 분석을 지속적으로 개선합니다. 결과: - 구현된 데이터 태그 지정 및 분류 도구는 ML 도구와 통합됩니다.	Microsoft Purview 서비스 쪽(Microsoft 365) 및 클라이언트 쪽(Microsoft Office 앱) 및 Microsoft Purview 데이터 맵 Microsoft Purview에서 자동 레이블 지정을 구성합니다. - 데이터 맵 의 민감도 데이터 레이블은 데이터에서 Microsoft 지침 4.3.4 및 4.3.5를 참조하세요.

6.4 인공 지능

Microsoft Defender XDR 및 Microsoft Sentinel은 AI(인공 지능), ML(기계 학습) 및 위협 인텔리전스를 사용하여 고급 위협을 감지하고 대응합니다. Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection 및 조건부 액세스 간의 통합은 위험 신호를 사용하여 적응형 액세스 정책을 적용하는 데 도움이 됩니다.

Microsoft 보안 스택 및 AI, 미국 정부 클라우드의 보안 코필로트 준비에 대해 알아봅니다.

DoD 활동 설명 및 결과 Microsoft 지침 및 권장 사항

Advanced 6.4.1 AI 자동화 도구
구현DoD 조직은 인공 지능에 대한 기존 기계 학습 기술을 기반으로 개선 영역을 식별합니다. AI 솔루션은 식별된 영역을 요구 사항으로 사용하여 식별, 조달 및 구현됩니다.

결과:
- AI 도구 요구 사항
개발 - AI 도구 조달 및 구현 Microsoft Sentinel
Fusion의 Fusion은 Sentinel의 고급 다단계 공격 탐지 분석 규칙입니다. Fusion은 다단계 공격 또는 APT(고급 영구 위협)를 감지하는 ML 학습 상관 관계 엔진입니다. 비정상적인 동작 및 의심스러운 활동을 식별합니다. 그렇지 않으면 catch하기 어렵습니다. 인시던트 볼륨이 낮고 충실도가 높으며 심각도가 높습니다.
- 고급 다단계 공격 검색
- 사용자 지정 가능한 변
- 칙 검색 분석 규칙

Microsoft Entra ID 보호
ID 보호는 ML(기계 학습) 알고리즘을 사용하여 ID 기반 위험을 검색하고 수정합니다. Microsoft Entra ID Protection을 사용하도록 설정하여 사용자 및 로그인 위험에 대한 조건부 액세스 정책을 만듭니다.
- Microsoft Entra ID Protection
- 구성 및 위험 정책

사용 Azure DDoS Protection
은 지능형 트래픽 프로파일링을 사용하여 애플리케이션 트래픽에 대해 알아보고 트래픽이 변경될 때 프로필을 조정합니다.
- Azure DDoS Protection

Advanced 6.4.2 Analytics에서 구동하는 AI가 A&O 수정을 결정합니다.
기존 기계 학습 기능을 활용하는 DoD 조직은 신경망과 같은 AI 기술을 구현하고 사용하여 자동화 및 오케스트레이션 결정을 추진합니다. 의사 결정은 가능한 한 AI로 이동되어 다른 노력을 위해 인력을 확보합니다. 과거 패턴을 활용하여 AI는 위험을 더 잘 줄이기 위해 환경에서 예상적인 변화를 만들 것입니다.

결과:
- AI가 자동화된 워크플로 활동을 변경할 수 있습니다. Microsoft Sentinel
분석 규칙을 사용하여 Microsoft Sentinel에서 Fusion 및 UEBA 변칙을 사용하여 고급 다단계 공격을 검색합니다. 보안 응답을 위한 자동화 규칙 및 플레이북을 디자인합니다.

6.2.3 및 6.4.1에서 Microsoft 지침을 참조하세요.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Advanced` 6.4.1 AI 자동화 도구 구현DoD 조직은 인공 지능에 대한 기존 기계 학습 기술을 기반으로 개선 영역을 식별합니다. AI 솔루션은 식별된 영역을 요구 사항으로 사용하여 식별, 조달 및 구현됩니다. 결과: - AI 도구 요구 사항 개발 - AI 도구 조달 및 구현	Microsoft Sentinel Fusion의 Fusion은 Sentinel의 고급 다단계 공격 탐지 분석 규칙입니다. Fusion은 다단계 공격 또는 APT(고급 영구 위협)를 감지하는 ML 학습 상관 관계 엔진입니다. 비정상적인 동작 및 의심스러운 활동을 식별합니다. 그렇지 않으면 catch하기 어렵습니다. 인시던트 볼륨이 낮고 충실도가 높으며 심각도가 높습니다. - 고급 다단계 공격 검색 - 사용자 지정 가능한 변 - 칙 검색 분석 규칙 Microsoft Entra ID 보호 ID 보호는 ML(기계 학습) 알고리즘을 사용하여 ID 기반 위험을 검색하고 수정합니다. Microsoft Entra ID Protection을 사용하도록 설정하여 사용자 및 로그인 위험에 대한 조건부 액세스 정책을 만듭니다. - Microsoft Entra ID Protection - 구성 및 위험 정책 사용 Azure DDoS Protection 은 지능형 트래픽 프로파일링을 사용하여 애플리케이션 트래픽에 대해 알아보고 트래픽이 변경될 때 프로필을 조정합니다. - Azure DDoS Protection
`Advanced` 6.4.2 Analytics에서 구동하는 AI가 A&O 수정을 결정합니다. 기존 기계 학습 기능을 활용하는 DoD 조직은 신경망과 같은 AI 기술을 구현하고 사용하여 자동화 및 오케스트레이션 결정을 추진합니다. 의사 결정은 가능한 한 AI로 이동되어 다른 노력을 위해 인력을 확보합니다. 과거 패턴을 활용하여 AI는 위험을 더 잘 줄이기 위해 환경에서 예상적인 변화를 만들 것입니다. 결과: - AI가 자동화된 워크플로 활동을 변경할 수 있습니다.	Microsoft Sentinel 분석 규칙을 사용하여 Microsoft Sentinel에서 Fusion 및 UEBA 변칙을 사용하여 고급 다단계 공격을 검색합니다. 보안 응답을 위한 자동화 규칙 및 플레이북을 디자인합니다. 6.2.3 및 6.4.1에서 Microsoft 지침을 참조하세요.

6.5 SOAR(보안 오케스트레이션, 자동화 및 응답)

Microsoft Defender XDR에는 표준 및 사용자 지정 가능한 검색 기능이 있는 검색 및 응답 기능이 있습니다. Microsoft Sentinel 분석 규칙을 사용하여 Azure Logic Apps를 사용하여 SOAR(보안 오케스트레이션, 자동화 및 응답) 작업을 트리거하여 기능을 확장합니다.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.5.1 응답 자동화 분석 DoD 조직은 수동 및 자동화된 방식으로 실행되는 모든 응답 활동을 식별하고 열거합니다. 응답 활동은 자동화된 수동 범주로 구성됩니다. 수동 활동은 사용 중지 가능성을 분석합니다. 결과: - 자동화 가능한 응답 활동이 식별됨 - 응답 활동이 열거됩니다.	Microsoft Defender XDR Microsoft Defender XDR에는 파일 및 디바이스 인시던트에 대한 자동 및 수동 응답 작업이 있습니다. - Defender XDR의 인시던트
`Target` 6.5.2 SOAR 도구 구현조직과 함께 작업하는 DoD 엔터프라이즈는 대상 수준 ZTA 함수를 사용하도록 설정하는 SOAR(보안 오케스트레이션, 자동화 및 응답) 도구에 대한 표준 요구 사항 집합을 개발합니다. DoD 조직은 승인된 요구 사항을 사용하여 SOAR 솔루션을 조달하고 구현합니다. 향후 SOAR 기능을 위한 기본 인프라 통합이 완료되었습니다. 결과: - SOAR 도구 에 대한 요구 사항 개발 - SOAR 도구 조달	Microsoft Defender XDR 은 Microsoft Defender XDR 표준 응답 기능을 사용합니다. Microsoft 지침 6.5.1을 참조하세요. Microsoft Sentinel Sentinel은 SOAR 기능에 Azure Logic Apps를 사용합니다. Logic Apps를 사용하여 코드가 거의 또는 전혀 없는 자동화된 워크플로를 만들고 실행합니다. Logic Apps를 사용하여 Microsoft Sentinel 외부의 리소스에 연결하고 상호 작용합니다. - 자동화 규칙이 - 있는 플레이북은 플레이북을 사용하여 위협 대응 자동화
`Advanced` 6.5.3 플레이북 구현DoD 조직은 모든 기존 플레이북을 검토하여 향후 자동화를 식별합니다. 플레이북이 누락된 기존 수동 및 자동화된 프로세스에는 플레이북이 개발되었습니다. 플레이북은 자동화가 중요한 프로세스를 다루는 자동화된 워크플로 활동과 통합되도록 우선 순위가 지정됩니다. 플레이북이 없는 수동 프로세스는 위험 기반의 체계적인 접근 방식을 사용하여 권한이 부여됩니다. 결과: - 가능하면 자동화된 워크플로 기능을 기반으로 플레이북 자동화 - 수동 플레이북이 개발 및 구현됩니다.	Microsoft Sentinel 은 현재 보안 프로세스를 검토하고 Microsoft CAF(클라우드 채택 프레임워크)에서 모범 사례를 사용합니다. SOAR 기능을 확장하려면 플레이북을 만들고 사용자 지정합니다. Sentinel 플레이북 템플릿으로 시작합니다. - 템플릿에서 - 보안 작업 SOC 프로세스 프레임워크 - 플레이북

6.6 API 표준화

Microsoft Graph API에는 Microsoft 클라우드 서비스와 상호 작용하는 표준 인터페이스가 있습니다. Azure API Management는 조직에서 호스트하는 API를 보호할 수 있습니다.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.6.1 도구 준수 분석 자동화 및 오케스트레이션 도구 및 솔루션은 DoD Enterprise 프로그래밍 인터페이스 표준 및 요구 사항에 따라 규정 준수 및 기능을 분석합니다. 프로그래밍 방식 인터페이스 표준 및 요구 사항을 지원하기 위해 더 이상 도구 또는 솔루션이 식별됩니다. 결과: - API 상태가 API 표준을 준수하거나 준수하지 않는 것으로 확인됨 - 사용할 도구가 식별됨	Microsoft Graph 보안 API Microsoft Defender, Microsoft Sentinel 및 Microsoft Entra는 API를 문서화했습니다. - - 보안 API Microsoft Graph - 를 사용하는 경우 조직에서 개발한 API에 대한 모범 사례를 따릅니다. - -
`Target` 6.6.2 표준화된 API 호출 및 스키마 Pt1 DoD 엔터프라이즈는 조직과 협력하여 필요에 따라 프로그래밍 인터페이스(예: API) 표준 및 요구 사항을 설정하여 대상 ZTA 기능을 사용하도록 설정합니다. DoD 조직은 프로그래밍 방식 인터페이스를 새 표준으로 업데이트하고 새로 획득/개발된 도구가 새 표준을 충족하도록 요구합니다. 표준을 충족할 수 없는 도구는 위험 기반의 체계적인 접근 방식을 사용하는 예외에 의해 허용됩니다. 결과: - 초기 호출 및 스키마가 구현됨 - 비준수 도구가 대체됨	작업 6.6.1을 완료합니다. Azure API Management는 API 게이트웨이로 Azure API Management를 사용하여 API와 통신하고 다양한 API에 대한 일관된 액세스 스키마를 만듭니다. - Azure API Management 사용하여 제로 트러스트 작업을 오케스트레이션합니다. -
`Target` 6.6.3 표준화된 API 호출 및 스키마 Pt2 DoD 조직은 새 프로그래밍 인터페이스 표준으로 마이그레이션을 완료합니다. 이전 작업에서 서비스 해제로 표시된 도구는 사용 중지되고 함수는 현대화된 도구로 마이그레이션됩니다. 승인된 스키마는 DoD Enterprise 표준/요구 사항에 따라 채택됩니다. 결과: - 모든 호출 및 스키마가 구현됩니다.	Microsoft Sentinel 은 Sentinel을 오케스트레이션 엔진으로 사용하여 이 문서에서 인용한 자동화 도구에서 작업을 트리거하고 실행합니다. - 플레이북을 사용하여 위협 대응 자동화

6.7 SOC(보안 운영 센터) 및 IR(인시던트 대응)

Microsoft Sentinel은 보안 인시던트를 조사하고 관리하는 사례 관리 솔루션입니다. 보안 대응 작업을 자동화하려면 위협 인텔리전스 솔루션을 연결하고, Sentinel 솔루션을 배포하고, UEBA(사용자 엔터티 동작 분석)를 사용하도록 설정하고, Azure Logic Apps를 사용하여 플레이북을 만듭니다.

SOC 완성도를 높이는 방법을 알아보려면 Sentinel 인시던트 조사 및 사례 관리를 참조하세요.

DoD 활동 설명 및 결과	Microsoft 지침 및 권장 사항
`Target` 6.7.1 워크플로 보강 Pt1 DoD 엔터프라이즈는 조직과 협력하여 NIST와 같은 업계 모범 사례를 사용하여 사이버 보안 인시던트 대응 표준을 수립합니다. DoD 조직은 엔터프라이즈 표준을 활용하여 인시던트 대응 워크플로를 결정합니다. 보강의 외부 원본은 향후 통합을 위해 식별됩니다. 결과: - 위협 이벤트가 식별됨 - 위협 이벤트에 대한 워크플로가 개발됨	Microsoft Sentinel 데이터 커넥터는Microsoft Defender 위협 인텔리전스 Sentinel에 연결하여 Sentinel 워크플로를 보강합니다. - Defender Threat Intelligence Microsoft Sentinel 솔루션용 데이터 커넥터는 Sentinel 솔루션을 사용하여 업계 모범 사례를 검토합니다. - NIST 800-53 솔루션 - CMMS 2.0 솔루션 - DoD ZT Sentinel 통합 문서 - Sentinel 콘텐츠 및 솔루션
`Target` 6.7.2 워크플로 보강 Pt2 DoD 조직은 추가 인시던트 대응 유형에 대한 확장 워크플로를 식별하고 설정합니다. 초기 보강 데이터 원본은 기존 워크플로에 사용됩니다. 추가 보강 원본은 향후 통합을 위해 식별됩니다. 결과: - Advanced Threat 이벤트에 대한 워크플로가 개발됨 - Advanced Threat 이벤트가 식별됨	Microsoft Sentinel은 Microsoft Sentinel 에서 Fusion의 고급 다단계 공격 검색 및 UEBA 변칙 검색 분석 규칙을 사용하여 자동화된 보안 응답 플레이북을 트리거합니다. 이 섹션에서는 Microsoft 지침 6.2.3Sentinel 워크플로를 보강하려면 Microsoft Defender 위협 인텔리전스 및 기타 위협 인텔리전스 플랫폼 솔루션을 Microsoft Sentinel에 연결합니다. Connect Sentinel에 위협 인텔리전스 플랫폼 연결은 Microsoft 지침 6.7.1을 참조하세요. -
`Advanced` 6.7.3 워크플로 보강 Pt3 DoD 조직은 기본 및 확장된 위협 대응 워크플로에서 최종 보강 데이터 원본을 사용합니다. 결과: - 보강 데이터가 식별되었습니다 . 보강 데이터는 워크플로에 통합됩니다.	Microsoft Sentinel Sentinel 에서 위협 인텔리전스 결과를 개선하기 위해 엔터티를 추가합니다. - Enrich 엔터티의 인시던트 관리 및 Sentinel- -
`Advanced` 6.7.4 자동화된 워크플로 DoD 조직은 SOAR(보안 오케스트레이션, 자동화 및 응답) 함수 및 플레이북을 자동화하는 데 집중합니다. 보안 작업 내의 수동 프로세스는 가능한 한 식별되고 완전히 자동화됩니다. 나머지 수동 프로세스는 가능하면 서비스 해제되거나 위험 기반 접근 방식을 사용하여 예외로 표시됩니다. 결과: - 워크플로 프로세스가 완전히 자동화됨 - 수동 프로세스가 식별되었습니다 . 나머지 프로세스는 예외로 표시되고 문서화됩니다.	Microsoft Sentinel 플레이북 Sentinel 플레이북은 엔터프라이즈 시스템 전반에서 작업 및 워크플로를 예약, 자동화 및 오케스트레이션하는 클라우드 서비스인 Logic Apps를 기반으로 합니다. 템플릿을 사용하여 응답 플레이북을 빌드하고 Sentinel 콘텐츠 허브에서 솔루션을 배포합니다. Azure Logic Apps를 사용하여 사용자 지정 분석 규칙 및 응답 작업을 빌드합니다. - 템플릿 - 의 Sentinel 플레이북은 플레이북 Sentinel 콘텐츠 허브 카탈로그 - 위협 대응 자동화

다음 단계

DoD 제로 트러스트 전략에 대한 Microsoft 클라우드 서비스를 구성합니다.