Estratégia de Confiança Zero do DoD para o pilar de automação e orquestração

2024-04-16

A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.

Use os links a seguir para acessar as seções do guia.

6 Automação e orquestração

Esta seção contém orientações e recomendações da Microsoft para atividades de Confiança Zero do DoD no pilar de automação e orquestração. Para saber mais, confira Visibilidade, automação e orquestração com a Confiança Zero.

6.1 Ponto de decisão política (PDP) e orquestração de políticas

O Microsoft Sentinel tem orquestração, automação e resposta de segurança (SOAR) por meio de recursos baseados em nuvem. Automatize a detecção e as respostas a ataques cibernéticos. O Sentinel integra-se com o Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure e plataformas que não são da Microsoft. Essas integrações extensíveis permitem que o Sentinel coordene ações de detecção e resposta de segurança cibernética em todas as plataformas, aumentando a eficácia e a eficiência das operações de segurança.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.1.1 Inventário e desenvolvimento de políticas As organizações DoD trabalham com as Organizações para catalogar e inventariar políticas e padrões de segurança cibernética existentes. As políticas são atualizadas e criadas em atividades interpilares conforme necessário para atender à funcionalidade crítica do ZT Target. Resultados: - As políticas foram coletadas em referência à conformidade e ao risco aplicáveis (por exemplo, RMF, NIST) - As políticas foram revisadas para os Pilares e Capacidades ausentes de acordo com o ZTRA - As áreas de políticas ausentes são atualizadas para atender aos recursos por ZTRA	Microsoft Purview Compliance Manager Use o Microsoft Purview Compliance Manager para avaliar e gerenciar a conformidade em um ambiente multinuvem. - Gerenciador de Conformidade - Azure, Dynamics 365, Microsoft Purview - Suporte a várias nuvens Microsoft Defender para Nuvem Use os recursos de conformidade regulatória do Defender para Nuvem para exibir e melhorar a conformidade com as iniciativas da Política do Azure em um ambiente multicloud. - Melhorar a conformidade normativa - FedRAMP High Regulatory Compliance - NIST SP 800-53 Rev. 5 Regulatory Compliance - CMMC Regulatory Compliance Microsoft Sentinel O hub de conteúdo do Sentinel tem soluções para visualizar e medir o progresso com requisitos de segurança específicos do domínio. - Catálogo do hub de conteúdo do Sentinel - DoD ZT Sentinel workbook - NIST SP 800-53 solution
`Target` 6.1.2 Perfil de acesso à organização As organizações DoD desenvolvem perfis de acesso básicos para acesso DAAS de missão/tarefa e não missão/tarefa usando os dados dos pilares Usuário, Dados, Rede e Dispositivo. O DoD Enterprise trabalha com as organizações para desenvolver um perfil de segurança empresarial usando os perfis de segurança organizacionais existentes para criar uma abordagem de acesso comum ao DAAS. Uma abordagem em fases pode ser usada em organizações para limitar o risco ao acesso DAAS de missão/tarefa crítica depois que o(s) perfil(s) de segurança for(em) criado(s). Resultados: - Perfil(s) com escopo da organização são criado(s) para determinar o acesso ao DAAS usando recursos dos pilares Usuário, Dados, Rede e Dispositivo - O padrão inicial de acesso ao perfil corporativo é desenvolvido para acesso ao DAAS - Quando possível, o(s) perfil(s) da organização utiliza(m) os serviços disponíveis da empresa nos pilares Usuário, Dados, Rede e Dispositivo	Acesso condicional Defina conjuntos de políticas padronizados do DoD com Acesso Condicional. Inclua a força da autenticação, a conformidade do dispositivo, também o usuário e os controles de risco de entrada. - Acesso condicional
`Target` 6.1.3 Perfil de Segurança Empresarial – Parte 1 O perfil de Segurança Empresarial abrange inicialmente os pilares Usuário, Dados, Rede e Dispositivo. Os perfis de segurança organizacional existentes são integrados para acesso DAAS que não seja de missão/tarefa. Resultados: - Os perfis corporativos são criados para acessar o DAAS usando recursos dos pilares Usuário, Dados, Rede e Dispositivo - Os perfis de organização não essenciais para a missão/tarefa são integrados ao(s) perfil(s) corporativo(s) usando uma abordagem padronizada	Atividade completa 6.1.2. API do Microsoft Graph Use a API do Microsoft Graph para gerenciar e implantar políticas de Acesso Condicional, configurações de acesso entre locatários e outras definições de configuração do Microsoft Entra. - Acesso programático - Configurações de acesso entre locatários Recursos e serviços da API - Graph
`Advanced` 6.1.4 Perfil de Segurança Empresarial – Parte 2 O número mínimo de Perfis de Segurança Empresarial que permitem acesso à mais ampla gama de DAAS entre pilares dentro das Organizações DoD. Os perfis da organização de missão/tarefa são integrados com o(s) perfil(s) de segurança empresarial e as exceções são gerenciadas em uma abordagem metódica baseada em risco. Resultados: - Os perfis empresariais foram reduzidos e simplificados para suportar a mais ampla gama de acesso ao DAAS - Quando apropriado, os perfis críticos de missão/tarefa foram integrados e suportados Os perfis da organização são considerados a exceção	Acesso condicional Use a pasta de trabalho de insights e relatórios de Acesso Condicional para ver como as políticas de Acesso Condicional afetam sua organização. Se possível, combine políticas. Um conjunto de políticas simplificado é mais fácil de gerenciar, solucionar problemas e testar novos recursos de Acesso Condicional. Você pode usar modelos de Acesso Condicional para criar políticas mais simples. - Insights e relatórios - Modelos Use a ferramenta What If e o modo somente relatório para solucionar problemas e avaliar novas políticas. - Solucionar problemas do modo Acesso Condicional - Somente Relatório Reduza a dependência da sua organização de locais de rede confiáveis. Use locais de país/região determinados por coordenadas GPS ou endereço IP para simplificar as condições de localização nas políticas de Acesso Condicional. - Condições de localização Atributos de segurança personalizados Use atributos de segurança personalizados e filtros de aplicativo em políticas de Acesso Condicional para definir o escopo da autorização de atributo de segurança atribuída a objetos de aplicativo, como confidencialidade. - Atributos de segurança personalizados - Filtrar aplicativos

6.2 Automação de processos críticos

A automação do Microsoft Sentinel executa tarefas normalmente executadas por analistas de segurança de nível 1. As regras de automação usam os Aplicativos Lógicos do Azure para ajudá-lo a desenvolver fluxos de trabalho detalhados e automatizados que aprimoram as operações de segurança. Por exemplo, enriquecimento de incidentes: link para fontes de dados externas para detectar atividades maliciosas.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.2.1 Análise de automação de tarefas As organizações DoD identificam e enumeram todas as atividades de tarefas que podem ser executadas manualmente e de modo automatizado. As atividades da tarefa são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para possível aposentadoria. Resultados: - Tarefas automatizadas são identificadas - Tarefas são enumeradas - Inventário e desenvolvimento de políticas	Atividade completa 6.1.1. Gerenciador de Recursos do Azure Use modelos ARM e Blueprints do Azure para automatizar implantações usando infraestrutura como código (IaC). - Modelos ARM - Planos do Azure Política do Azure Organize as atribuições da Política do Azure usando suas definições de iniciativa. - Definição da Política - Iniciativa do Azure Microsoft Defender para Nuvem Implantar padrões regulatórios e benchmarks do Defender para Nuvem. - Atribuir padrões de segurança Governança de ID do Microsoft Entra Definir catálogos de pacotes de acesso para estabelecer padrões para atribuições e revisões de pacotes de acesso. Desenvolva fluxos de trabalho do ciclo de vida de identidade usando os Aplicativos Lógicos do Azure para automatizar o joiner, o mover, o leaver e outras tarefas automatizadas. - Recursos de gerenciamento de direitos - Acesso de usuário externo - Implantação de revisão do Access - Criar fluxos de trabalho de ciclo de vida
`Target` 6.2.2 Integração empresarial e provisionamento de fluxo de trabalho – Parte 1 A empresa DoD estabelece integrações de linha de base na Solução de SOAR (orquestração de segurança, automação e resposta) necessária para habilitar a funcionalidade de ZTA no destino. As organizações do DoD identificam pontos de integração e priorizam os principais de acordo com a linha de base corporativa do DoD. As integrações críticas ocorrem atendendo aos principais serviços que permitem recursos de recuperação e proteção. Resultados: – Implementar integrações empresariais completas – Identificar as principais integrações – Identificar requisitos de recuperação e proteção	Microsoft Sentinel Conectar fontes de dados relevantes ao Sentinel para habilitar regras de análise. Inclua conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de segurança com o Azure Monitor Agent (AMA) e outras fontes de dados API, Syslog ou CEF (Common Event Format). - Conectores de dados do Sentinel - UEBA no Sentinel Microsoft Defender XDR Configure integrações de componentes implantados do Microsoft Defender XDR e conecte o Microsoft Defender XDR ao Sentinel. - Conectar dados do Defender XDR ao Sentinel Consulte a orientação 2.7.2 da Microsoft em Dispositivo. Use o Defender XDR para caçar, investigar, alertar e responder a ameaças - Investigação e resposta automatizadas
`Advanced` 6.2.3 Integração empresarial e provisionamento de fluxo de trabalho – Parte 2 As Organizações DoD integram os serviços restantes para atender aos requisitos de linha de base e aos requisitos avançados de funcionalidade de ZTA, conforme apropriado por ambiente. O provisionamento de serviços é integrado e automatizado em fluxos de trabalho quando necessário, atendendo às funcionalidades de destino da ZTA. \ Resultados: – Serviços identificados – O provisionamento de serviços é implementado	Microsoft Defender XDR o Microsoft Defender XDR protege identidades, dispositivos, dados e aplicativos. Use o Defender XDR para configurar integrações de componentes - Instalação da ferramenta XDR - Correções do Defender XDR Microsoft Sentinel Conectar novas fontes de dados ao Sentinel e habilitar regras de análise padrão e personalizadas. - SOAR no Sentinel

6.3 Aprendizado de máquina

O Microsoft Defender XDR e o Microsoft Sentinel usam IA (inteligência artificial), ML (machine learning) e inteligência contra ameaças para detectar e responder a ameaças avançadas. Use integrações do Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional para usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança e o ML da Microsoft, Preparando para o copiloto de segurança nas nuvens do governo dos EUA.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 6.3.1 Implementar ferramentas de ML de marcação e classificação de dados
As organizações DoD utilizam os padrões e requisitos existentes de marcação e classificação de dados para adquirir soluções de Machine Learning, conforme necessário. A(s) solução(ões) de Machine Learning são implementadas em organizações e repositórios de dados marcados e classificados existentes são usados para estabelecer linhas de base. A(s) solução(ões) de aprendizado de máquina aplica tags de dados em uma abordagem supervisionada para melhorar continuamente a análise.

Resultado:
- As ferramentas de marcação e classificação de dados implementadas são integradas às ferramentas de ML Microsoft Purview
Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e do lado do cliente (aplicativos do Microsoft Office) e no Mapa de Dados do Microsoft Purview.
- Rótulos de dados de sensibilidade no Mapa de Dados

Consulte as diretrizes 4.3.4 e 4.3.5 da Microsoft em Dados.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.3.1 Implementar ferramentas de ML de marcação e classificação de dados As organizações DoD utilizam os padrões e requisitos existentes de marcação e classificação de dados para adquirir soluções de Machine Learning, conforme necessário. A(s) solução(ões) de Machine Learning são implementadas em organizações e repositórios de dados marcados e classificados existentes são usados para estabelecer linhas de base. A(s) solução(ões) de aprendizado de máquina aplica tags de dados em uma abordagem supervisionada para melhorar continuamente a análise. Resultado: - As ferramentas de marcação e classificação de dados implementadas são integradas às ferramentas de ML	Microsoft Purview Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e do lado do cliente (aplicativos do Microsoft Office) e no Mapa de Dados do Microsoft Purview. - Rótulos de dados de sensibilidade no Mapa de Dados Consulte as diretrizes 4.3.4 e 4.3.5 da Microsoft em Dados.

6.4 Inteligência artificial

O Microsoft Defender XDR e o Microsoft Sentinel usam IA (inteligência artificial), ML (machine learning) e inteligência contra ameaças para detectar e responder a ameaças avançadas. As integrações entre o Microsoft Defender XDR, o Microsoft Intune, o Microsoft Entra ID Protection e o Acesso Condicional ajudam você a usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança e IA da Microsoft, Preparando-se para o copiloto de segurança nas nuvens do governo dos EUA.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Advanced 6.4.1 Implementar ferramentas de automação de IA
As organizações DoD identificam áreas de aprimoramento com base em técnicas de machine learning existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos.

Resultados:
– Desenvolver requisitos de ferramenta de IA
– Adquirir e implementar ferramentas de IA O Fusion no Microsoft Sentinel
Fusion é uma regra avançada de análise de detecção de ataques em vários estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que detecta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Ele identifica comportamentos anômalos e atividades suspeitas de outra forma difíceis de capturar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade.
- Detecção avançada de ataque multiestágio
- Anomalias personalizáveis
- Regras de análise de detecção de anomalias

Proteção do Microsoft Entra ID
A proteção de identidade usa algoritmos de ML (machine learning) para detectar e corrigir riscos baseados em identidade. Habilite a Proteção contra IDs do Microsoft Entra para criar políticas de Acesso Condicional para o risco de entrada e de usuário.
- Proteção contra IDs do Microsoft Entra
- Configurar e habilitar políticas de risco

Proteção contra DDoS do Azure
Proteção contra DDoS do Azure usa a criação de perfil de tráfego inteligente para saber mais sobre o tráfego do aplicativo e ajustar o perfil conforme o tráfego muda.
- Proteção contra DDoS do Azure

Advanced 6.4.2 IA orientada pela análise toma decisões de modificações de A&O
As Organizações DoD que utilizam funções de machine learning existentes implementam e usam tecnologia de IA, como redes neurais, para conduzir decisões de automação e orquestração. A tomada de decisão é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor o risco.

Resultado:
- A IA é capaz de fazer alterações em atividades automatizadas de fluxo de trabalho Microsoft Sentinel
Habilite regras analíticas para detectar ataques avançados de vários estágios com anomalias do Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e manuais para resposta de segurança.

Veja as orientações da Microsoft em 6.2.3 e 6.4.1.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Advanced` 6.4.1 Implementar ferramentas de automação de IA As organizações DoD identificam áreas de aprimoramento com base em técnicas de machine learning existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos. Resultados: – Desenvolver requisitos de ferramenta de IA – Adquirir e implementar ferramentas de IA	O Fusion no Microsoft Sentinel Fusion é uma regra avançada de análise de detecção de ataques em vários estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que detecta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Ele identifica comportamentos anômalos e atividades suspeitas de outra forma difíceis de capturar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade. - Detecção avançada de ataque multiestágio - Anomalias personalizáveis - Regras de análise de detecção de anomalias Proteção do Microsoft Entra ID A proteção de identidade usa algoritmos de ML (machine learning) para detectar e corrigir riscos baseados em identidade. Habilite a Proteção contra IDs do Microsoft Entra para criar políticas de Acesso Condicional para o risco de entrada e de usuário. - Proteção contra IDs do Microsoft Entra - Configurar e habilitar políticas de risco Proteção contra DDoS do Azure Proteção contra DDoS do Azure usa a criação de perfil de tráfego inteligente para saber mais sobre o tráfego do aplicativo e ajustar o perfil conforme o tráfego muda. - Proteção contra DDoS do Azure
`Advanced` 6.4.2 IA orientada pela análise toma decisões de modificações de A&O As Organizações DoD que utilizam funções de machine learning existentes implementam e usam tecnologia de IA, como redes neurais, para conduzir decisões de automação e orquestração. A tomada de decisão é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor o risco. Resultado: - A IA é capaz de fazer alterações em atividades automatizadas de fluxo de trabalho	Microsoft Sentinel Habilite regras analíticas para detectar ataques avançados de vários estágios com anomalias do Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e manuais para resposta de segurança. Veja as orientações da Microsoft em 6.2.3 e 6.4.1.

6.5 Orquestração, automação e resposta de segurança (SOAR)

O Microsoft Defender XDR tem recursos de detecção e resposta com detecções padrão e personalizáveis. Estenda o recurso usando regras de análise do Microsoft Sentinel para acionar ações de orquestração, automação e resposta de segurança (SOAR) com os Aplicativos Lógicos do Azure.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.5.1 Análise de automação de resposta As organizações DoD identificam e enumeram todas as atividades de resposta que são executadas manualmente e de modo automatizado. As atividades de resposta são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para possível aposentadoria. Resultado: - Atividades de resposta automatizadas são identificadas - As atividades de resposta são enumeradas	Microsoft Defender XDR Microsoft Defender XDR tem ações de resposta automática e manual para incidentes de arquivo e dispositivo. - Incidentes no Defender XDR
`Target` 6.5.2 Implementar ferramentas de SOAR A empresa DoD que trabalha com as Organizações desenvolve um conjunto padrão de requisitos de ferramentas de SOAR (orquestração de segurança, automação e resposta) para habilitar funções de ZTA de nível de destino. As organizações do DoD usam requisitos aprovados para adquirir e implementar a solução SOAR. As integrações de infraestrutura básica para futuras funcionalidades do SOAR foram concluídas. Resultados: - Desenvolver requisitos para a ferramenta SOAR - Adquirir a ferramenta SOAR	Microsoft Defender XDR Use os recursos de resposta padrão do Microsoft Defender XDR. Veja a orientação 6.5.1 da Microsoft. Microsoft Sentinel O Sentinel usa Aplicativos Lógicos do Azure para funcionalidade SOAR. Use Aplicativos Lógicos para criar e executar fluxos de trabalho automatizados com pouco ou nenhum código. Use Aplicativos Lógicos para se conectar e interagir com recursos fora do Microsoft Sentinel. - Guias estratégicos com regras de automação - Automatizar a resposta a ameaças com guias estratégicos
`Advanced` 6.5.3 Implementar guias estratégicos As organizações DoD revisam todos os guias estratégicos existentes para identificar a automação futura. Os processos manuais e automatizados existentes ausentes dos guias estratégicos têm guias estratégicos desenvolvidos. Os guias estratégicos são priorizados para que a automação seja integrada às atividades de fluxos de trabalho automatizados que abrangem processos críticos. Processos manuais sem guias estratégicos são autorizados usando uma abordagem metódica baseada em risco. Resultados: – Quando possível, automatize guias estratégicos com base no de recursos de fluxos de trabalho automatizados – guias estratégicos manuais são desenvolvidos e implementados	Microsoft Sentinel Examinar os processos de segurança atuais e usar as práticas recomendadas no MICROSOFT Cloud Adoption Framework (CAF). Para estender os recursos do SOAR, crie e personalize guias estratégicos. Comece com modelos de guia estratégico do Sentinel. - Operações de segurança - Guias estratégicos do SOC - Process Framework a partir de modelos

6.6 Padronização da API

A API do Microsoft Graph tem uma interface padrão para interagir com os serviços de nuvem da Microsoft. O Gerenciamento de API do Azure pode proteger as APIs hospedadas pela sua organização.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.6.1 Análise de conformidade de ferramentas As ferramentas e as soluções de automação e orquestração são analisadas quanto à conformidade e às funcionalidades com base no padrão e nos requisitos da interface programática da empresa DoD. Quaisquer outras ferramentas ou soluções são identificadas para suportar os padrões e requisitos de interface programática. Resultados: – o status da API é determinado como conformidade ou não conformidade com os padrões de API – As ferramentas a serem usadas são identificadas	API de segurança do Microsoft Graph Microsoft Defender, Microsoft Sentinel e Microsoft Entra têm APIs documentadas. - API de segurança - Trabalhar com o Microsoft Graph - APIs de proteção de identidade Siga as práticas recomendadas para APIs desenvolvidas pela sua organização. - Interface de programação de aplicativos - design de API web RESTful
`Target` 6.6.2 Chamadas e esquemas de API padronizados – Parte 1 As organizações DoD trabalham com as organizações para estabelecer um padrão de interface programática (por exemplo, API) e requisitos conforme necessário para habilitar as funcionalidades de destino ZTA. As organizações do DoD atualizam as interfaces programáticas para o novo padrão e exigem ferramentas recém-adquiridas/desenvolvidas para atender ao novo padrão. As ferramentas incapazes de atender ao padrão são permitidas por exceção usando uma abordagem metódica baseada em risco. Resultados: - Chamadas e esquemas iniciais são implementados - Ferramentas não compatíveis são substituídas	Atividade completa 6.6.1 Gerenciamento de API do Azure Usar o Gerenciamento de API do Azure como um gateway de API para se comunicar com APIs e criar um esquema de acesso consistente para várias APIs. - Gerenciamento de API do Azure Ferramentas de Automação do Azure Orquestrar ações de Confiança Zero usando as ferramentas da Automação do Azure. - Integração e automação no Azure
`Target` 6.6.3 Chamadas de API e esquemas padronizados – Parte 2 As organizações DoD concluem a migração para o novo padrão de interface programática. As ferramentas marcadas para desativação na atividade anterior são desativadas e as funções são migradas para ferramentas modernizadas. Os esquemas aprovados são adotados com base no padrão/requisitos do DoD Enterprise. Resultado: – todas as chamadas e esquemas são implementados	Microsoft Sentinel Usar o Sentinel como um mecanismo de orquestração para disparar e executar ações em ferramentas de automação citadas neste documento. - Automatizar a resposta a ameaças com guias estratégicos

6.7 Centro de operações de segurança (SOC) e resposta a incidentes (RI)

O Microsoft Sentinel é uma solução de gerenciamento de casos para investigar e gerenciar incidentes de segurança. Para automatizar ações de resposta de segurança, conecte soluções de inteligência de ameaças, implante soluções Sentinel, habilite UEBAs (análise de comportamento de entidade do usuário) e crie manuais com os Aplicativos Lógicos do Azure.

Saiba como aumentar a maturidade do SOC, consulte Investigação de incidentes e gerenciamento de casos do Sentinel.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 6.7.1 Enriquecimento de fluxo de trabalho – Parte 1 A empresa DoD trabalha com organizações para estabelecer um padrão de resposta a incidentes de segurança cibernética usando as melhores práticas do setor, como o NIST. As organizações do DoD utilizam o padrão corporativo para determinar fluxos de trabalho de resposta a incidentes. São identificadas fontes externas de enriquecimento para integração futura. Resultados: – Eventos de ameaça são identificados – Fluxos de trabalho para eventos de ameaça são desenvolvidos	Conectores de dados do Microsoft Sentinel Enriqueça os fluxos de trabalho do Sentinel conectando o Microsoft Defender Threat Intelligence ao Sentinel. - Conector de dados para soluções de inteligência contra ameaças do Defender Microsoft Sentinel Usar as soluções Sentinel para revisar as práticas recomendadas do setor. - Solução NIST 800-53 - Solução CMMS 2.0 - Pastas de trabalho do DoD ZT Sentinel - Conteúdo e soluções do Sentinel
`Target` 6.7.2 Enriquecimento de fluxo de trabalho – Parte 2 As organizações DoD identificam e estabelecem fluxos de trabalho estendidos para tipos adicionais de resposta a incidentes. As fontes de dados de enriquecimento inicial são usadas para fluxos de trabalho existentes. Fontes adicionais de enriquecimento são identificadas para integrações futuras. Resultados: - Fluxos de trabalho para eventos de ameaças avançadas são desenvolvidos - Eventos de ameaças avançadas são identificados	Microsoft Sentinel Use detecção avançada de ataques em vários estágios no Fusion e regras de análise de detecção de anomalias UEBA no Microsoft Sentinel para acionar manuais automatizados de resposta de segurança. Veja as orientações da Microsoft 6.2.3 e 6.4.1 nessa seção. Para enriquecer os fluxos de trabalho do Sentinel, conecte o Microsoft Defender Threat Intelligence e outras soluções de plataformas de inteligência de ameaças ao Microsoft Sentinel. - Conecte plataformas de inteligência de ameaças ao Sentinel - Conecte o Sentinel a feeds de inteligência de ameaças STIX/TAXII Consulte a orientação 6.7.1 da Microsoft.
`Advanced` 6.7.3 Enriquecimento de fluxo de trabalho – Parte 3 As organizações DoD usam fontes de dados de enriquecimento final em fluxos de trabalho básicos e estendidos de resposta a ameaças. Resultados: - Os dados de enriquecimento foram identificados - Os dados de enriquecimento são integrados aos fluxos de trabalho	Microsoft Sentinel Adicionar entidades para melhorar os resultados de inteligência de ameaças no Sentinel. - Tarefas para gerenciar incidentes no Sentinel - Enriquecer entidades com dados de geolocalização Enriquecer fluxos de trabalho de investigação e gerencie incidentes no Sentinel. - Tarefas para gerenciar incidentes no Sentinel - Enriquecer entidades com dados de geolocalização
`Advanced` 6.7.4 Fluxo de trabalho automatizado As organizações DoD se concentram na automação de funções e guias estratégicos de SOAR (orquestração de segurança, automação e resposta). Os processos manuais dentro das operações de segurança são identificados e totalmente automatizados possível. Os processos manuais restantes são desativados quando possível ou marcados para exceção usando uma abordagem baseada em risco. Resultados: - Os processos de fluxo de trabalho são totalmente automatizados - Processos manuais foram identificados - Os processos restantes são marcados como exceções e documentados	Guias estratégicos do Microsoft Sentinel guias estratégicos do Sentinel são baseados em Aplicativos Lógicos, um serviço de nuvem que agenda, automatiza e orquestra tarefas e fluxos de trabalho em sistemas empresariais. Crie guias estratégicos de resposta com modelos, implante soluções do hub de conteúdo do Sentinel. Crie regras de análise personalizadas e ações de resposta com os Aplicativos Lógicos do Azure. - Guias estratégicos do Sentinel de modelos - Automatizar a resposta a ameaças com guias estratégicos - Catálogo do hub de conteúdo do Sentinel - Aplicativos Lógicos do Azure

Próximas etapas

Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD: