Estratégia DoD Zero Trust para o pilar de automação e orquestração

2024-04-13

A Estratégia e o Roteiro do DoD Zero Trust traçam um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios do Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências do usuário e o desempenho da missão.

Este guia contém recomendações para as 152 atividades do Zero Trust no Roteiro de Execução de Capacidade do DoD Zero Trust. As seções correspondem aos sete pilares do modelo DoD Zero Trust.

Use os links a seguir para ir para as seções do guia.

6 Automação e orquestração

Esta seção contém orientações e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de automação e orquestração. Para saber mais, consulte visibilidade, automação e orquestração com o Zero Trust.

6.1 Ponto de decisão política (PDP) e orquestração de políticas

O Microsoft Sentinel tem orquestração, automação e resposta de segurança (SOAR) por meio de recursos baseados em nuvem. Automatize a deteção e as respostas a ataques cibernéticos. O Sentinel integra-se com o Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure e plataformas não Microsoft. Essas integrações extensíveis permitem que o Sentinel coordene ações de deteção e resposta de segurança cibernética em todas as plataformas, aumentando a eficácia e a eficiência das operações de segurança.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.1.1 Inventário de Políticas e Desenvolvimento A empresa do DoD trabalha com as organizações para catalogar e inventariar as políticas e padrões de segurança cibernética existentes. As políticas são atualizadas e criadas em atividades entre pilares, conforme necessário para atender à funcionalidade crítica do ZT Target. Resultados: - As políticas foram coletadas em referência à conformidade e ao risco aplicáveis (por exemplo, RMF, NIST) - As políticas foram revisadas para Pilares e Capacidades ausentes de acordo com o ZTRA- As áreas de políticas ausentes são atualizadas para atender aos recursos por ZTRA	Microsoft Purview Compliance ManagerUse o Microsoft Purview Compliance Manager para avaliar e gerenciar a conformidade em um ambiente multicloud. - Compliance Manager - Azure, Dynamics 365, Microsoft Purview - Use os recursos de conformidade regulatória do Defender for Cloud para exibir e melhorar a conformidade com as iniciativas da Política do Azure em um ambiente multicloud. - O hub de conteúdo Sentinel tem soluções para visualizar e medir o progresso com requisitos de segurança específicos do domínio.- - -
`Target` 6.1.2 Perfil de Acesso à OrganizaçãoAs organizações do DoD desenvolvem perfis básicos de acesso para acesso DAAS de missão/tarefa e não-missão/tarefa usando os dados dos pilares Usuário, Dados, Rede e dispositivo. O DoD Enterprise trabalha com as organizações para desenvolver um perfil de segurança empresarial usando os perfis de segurança organizacionais existentes para criar uma abordagem de acesso comum ao DAAS. Uma abordagem em fases pode ser usada nas organizações para limitar o risco ao acesso ao DAAS de missão/tarefa crítica assim que o(s) perfil(s) de segurança são criados. Resultados: - Os perfis com escopo da organização são criados para determinar o acesso ao DAAS usando recursos dos pilares Usuário, Dados, Rede e Dispositivo- O padrão inicial de acesso ao perfil empresarial é desenvolvido para acesso ao DAAS- Quando possível, o(s) perfil(s) da organização utiliza(m) os serviços disponíveis da empresa nos pilares Usuário, Dados, Rede e Dispositivo	Acesso condicional Defina conjuntos de políticas de DoD padronizados com Acesso condicional. Inclua força de autenticação, conformidade do dispositivo, também controles de risco de usuário e login. - Acesso condicional
`Target` 6.1.3 Perfil de Segurança Empresarial Pt1 O perfil de Segurança Empresarial abrange inicialmente os pilares Utilizador, Dados, Rede e Dispositivo. Os Perfis de Segurança Organizacional existentes são integrados para acesso ao DAAS que não seja de missão/tarefa. Resultados: - Perfil(s) Empresarial(is) são(são) criado(s) para acessar o DAAS usando recursos dos Pilares de Usuário, Dados, Rede e Dispositivo- Perfil(s) de organização não-missão/tarefa crítica( s) são integrados ao(s) perfil(s) empresarial(is) usando uma abordagem padronizada	Atividade completa 6.1.2. API do Microsoft Graph Use a API do Microsoft Graph para gerenciar e implantar políticas de Acesso Condicional, configurações de acesso entre locatários e outras definições de configuração do Microsoft Entra. - Acesso programático - Configurações de acesso entre locatários Recursos e serviços do API Graph -
`Advanced` 6.1.4 Perfil de Segurança Empresarial Pt2 O número mínimo de perfis de segurança corporativa existe concedendo acesso à mais ampla gama de DAAS em todos os pilares dentro das organizações do DoD. Os perfis de organização de missão/tarefa são integrados com o(s) Perfil(s) de Segurança Empresarial e as exceções são geridas numa abordagem metódica baseada no risco. Resultados: - Perfil(s) Empresarial(is) foram reduzido(s) e simplificado(s) para suportar a mais ampla gama de acesso ao DAAS- Quando apropriado(s) perfil(is) Missão/Tarefa Crítica(s) foram integrados e suportados Os perfis da Organização são considerados a exceção	Acesso Condicional Use a pasta de trabalho de relatórios e insights do Acesso Condicional para ver como as políticas de Acesso Condicional afetam sua organização. Se possível, combine políticas. Um conjunto de políticas simplificado é mais fácil de gerenciar, solucionar problemas e testar novos recursos de Acesso Condicional. Você pode usar modelos de Acesso Condicional para criar políticas mais simples. - Use a ferramenta E se e o modo somente relatório para solucionar problemas e avaliar novas políticas.- condicional Reduza a dependência da sua organização de locais de rede confiáveis. Use localizações de país/região determinadas por coordenadas GPS ou endereço IP para simplificar as condições de localização nas políticas de Acesso Condicional. - Condições de localização; Atributos de segurança personalizados Use atributos de segurança personalizados e filtros de aplicação em políticas de Acesso Condicional para delimitar o âmbito da autorização de atributos de segurança atribuídos a objetos de aplicação, como sensibilidade. Atributos de segurança personalizados - -

6.2 Automatização de processos críticos

A automação do Microsoft Sentinel executa tarefas normalmente executadas por analistas de segurança de nível 1. As regras de automação usam os Aplicativos Lógicos do Azure para ajudá-lo a desenvolver fluxos de trabalho detalhados e automatizados que aprimoram as operações de segurança. Por exemplo, enriquecimento de incidentes: link para fontes de dados externas para detetar atividades maliciosas.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.2.1 Análise de automação de tarefasAs organizações do DoD identificam e enumeram todas as atividades de tarefas que podem ser executadas manualmente e de forma automatizada. As atividades das tarefas são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para uma possível aposentadoria. Resultados: - Tarefas automatizáveis são identificadas - Tarefas são enumeradas - Inventário e desenvolvimento de políticas	Atividade completa 6.1.1. Azure Resource ManagerUse modelos ARM e Azure Blueprints para automatizar implantações usando infraestrutura como código (IaC). - Modelos - Organize atribuições de Política do Azure usando suas definições de iniciativa. Implantar padrões regulatórios e benchmarks do Defender for Cloud. - de ID do Microsoft Entra Defina catálogos de pacotes de acesso para estabelecer padrões para atribuições e revisões de pacotes de acesso. Desenvolva fluxos de trabalho do ciclo de vida da identidade usando os Aplicativos Lógicos do Azure para automatizar tarefas de marceneiro, movimentação, saída e outras tarefas automatizáveis. - Recursos de gestão de - direitos Acesso - de usuário externo Implantação - de revisão de acesso Criar fluxos de trabalho de ciclo de vida
`Target` 6.2.2 Integração Empresarial e Provisionamento de Fluxo de Trabalho Pt1 A empresa DoD estabelece integrações de linha de base dentro da solução SOAR (Security Orchestration, Automation and Response) necessária para habilitar a funcionalidade ZTA de nível de destino. As organizações do DoD identificam pontos de integração e priorizam os principais de acordo com a linha de base corporativa do DoD. Integrações críticas ocorrem atendendo aos principais serviços, permitindo recursos de recuperação e proteção. Resultados: - Implementar integrações empresariais completas - Identificar integrações importantes- Identificar requisitos de recuperação e proteção	O Microsoft Sentinel conecta fontes de dados relevantes ao Sentinel para habilitar regras de análise. Inclua conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID Protection, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de segurança com o Azure Monitor Agent (AMA) e outras fontes de dados de API, Syslog ou CEF (Common Event Format). - Conectores - Configure integrações de componentes implantados do Microsoft Defender XDR e conecte o Microsoft Defender XDR ao Sentinel. Consulte as orientações da Microsoft 2.7.2 em Use o Defender XDR para caçar, investigar, alertar e responder a ameaças-
`Advanced` 6.2.3 Integração Empresarial e Aprovisionamento de Workflow Pt2 As organizações do DoD integram os serviços restantes para atender aos requisitos de linha de base e aos requisitos avançados de funcionalidade do ZTA, conforme apropriado por ambiente. O provisionamento de serviços é integrado e automatizado em fluxos de trabalho quando necessário, atendendo às funcionalidades alvo do ZTA. - O provisionamento de serviços é implementado	Microsoft Defender XDR O Microsoft Defender XDR protege identidades, dispositivos, dados e aplicativos. Use o Defender XDR para configurar integrações de componentes, configuração - , conecte novas fontes de dados ao Sentinel e habilite regras de análise padrão e personalizadas. -

6.3 Aprendizagem automática

O Microsoft Defender XDR e o Microsoft Sentinel usam inteligência artificial (IA), aprendizado de máquina (ML) e inteligência de ameaças para detetar e responder a ameaças avançadas. Use integrações do Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection e Acesso Condicional para usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança da Microsoft e o ML, Preparando-se para o Copiloto de Segurança nas Nuvens do Governo dos EUA.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 6.3.1 Implementar ferramentas de marcação de dados e ML de
classificaçãoAs organizações do DoD utilizam os padrões e requisitos existentes de marcação e classificação de dados para adquirir soluções(ões) de Machine Learning, conforme necessário. A(s) solução(ões) de Machine Learning é implementada em organizações e os repositórios de dados marcados e classificados existentes são usados para estabelecer linhas de base. A(s) solução(ões) de aprendizado de máquina aplica(m) tags de dados em uma abordagem supervisionada para melhorar continuamente a análise.

Resultado:
- As ferramentas de marcação e classificação de dados implementadas são integradas com ferramentas de ML Microsoft Purview
Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e do lado do cliente (aplicativos do Microsoft Office) e no Mapa de Dados do Microsoft Purview.
- Rótulos de dados de sensibilidade no Mapa de

Dados Consulte as orientações da Microsoft 4.3.4 e 4.3.5 em Dados.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.3.1 Implementar ferramentas de marcação de dados e ML de classificaçãoAs organizações do DoD utilizam os padrões e requisitos existentes de marcação e classificação de dados para adquirir soluções(ões) de Machine Learning, conforme necessário. A(s) solução(ões) de Machine Learning é implementada em organizações e os repositórios de dados marcados e classificados existentes são usados para estabelecer linhas de base. A(s) solução(ões) de aprendizado de máquina aplica(m) tags de dados em uma abordagem supervisionada para melhorar continuamente a análise. Resultado: - As ferramentas de marcação e classificação de dados implementadas são integradas com ferramentas de ML	Microsoft Purview Configure a rotulagem automática no Microsoft Purview para o lado do serviço (Microsoft 365) e do lado do cliente (aplicativos do Microsoft Office) e no Mapa de Dados do Microsoft Purview. - Rótulos de dados de sensibilidade no Mapa de Dados Consulte as orientações da Microsoft 4.3.4 e 4.3.5 em Dados.

6.4 Inteligência artificial

O Microsoft Defender XDR e o Microsoft Sentinel usam inteligência artificial (IA), aprendizado de máquina (ML) e inteligência de ameaças para detetar e responder a ameaças avançadas. As integrações entre o Microsoft Defender XDR, o Microsoft Intune, a Proteção de ID do Microsoft Entra e o Acesso Condicional ajudam a usar sinais de risco para impor políticas de acesso adaptável.

Saiba mais sobre a pilha de segurança da Microsoft e a IA, Preparando-se para o Copiloto de Segurança nas Nuvens do Governo dos EUA.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Advanced 6.4.1 Implementar ferramentas
de automação de IAAs organizações do DoD identificam áreas de melhoria com base nas técnicas de machine learning existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos.

Resultados:
- Desenvolver requisitos
de ferramentas de IA- Adquirir e implementar ferramentas de IA O Fusion no Microsoft Sentinel
Fusion é uma regra avançada de análise de deteção de ataques em vários estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que deteta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Identifica comportamentos anómalos e atividades suspeitas de outra forma difíceis de apanhar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade.
- Deteção avançada de
- de ID do Microsoft Entra A proteção de identidade usa algoritmos de aprendizado de máquina (ML) para detetar e remediar riscos baseados em identidade. Habilite a Proteção de ID do Microsoft Entra para criar políticas de Acesso Condicional para risco de usuário e entrada.
- Proteção
- contra DDoS do Azure A Proteção contra DDoS do Azure usa o perfil de tráfego inteligente para saber mais sobre o tráfego do aplicativo e ajustar o perfil à medida que o tráfego muda.

Proteção contra DDoS do Azure

Advanced 6.4.2 AI Driven by Analytics decide modificações
A&OAs organizações do DoD que utilizam funções de aprendizado de máquina existentes implementam e usam a tecnologia de IA, como redes neurais, para impulsionar decisões de automação e orquestração. A tomada de decisões é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor os riscos.

Resultado:
- A IA é capaz de fazer alterações nas atividades automatizadas do fluxo de trabalho Microsoft Sentinel
Habilite regras analíticas para detetar ataques avançados de vários estágios com anomalias do Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e playbooks para resposta de segurança.

Consulte as orientações da Microsoft em 6.2.3 e 6.4.1.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Advanced` 6.4.1 Implementar ferramentas de automação de IAAs organizações do DoD identificam áreas de melhoria com base nas técnicas de machine learning existentes para Inteligência Artificial. As soluções de IA são identificadas, adquiridas e implementadas usando as áreas identificadas como requisitos. Resultados: - Desenvolver requisitos de ferramentas de IA- Adquirir e implementar ferramentas de IA	O Fusion no Microsoft Sentinel Fusion é uma regra avançada de análise de deteção de ataques em vários estágios no Sentinel. O Fusion é um mecanismo de correlação treinado por ML que deteta ataques de vários estágios ou ameaças persistentes avançadas (APTs). Identifica comportamentos anómalos e atividades suspeitas de outra forma difíceis de apanhar. Os incidentes são de baixo volume, alta fidelidade e alta gravidade. - Deteção avançada de - de ID do Microsoft Entra A proteção de identidade usa algoritmos de aprendizado de máquina (ML) para detetar e remediar riscos baseados em identidade. Habilite a Proteção de ID do Microsoft Entra para criar políticas de Acesso Condicional para risco de usuário e entrada. - Proteção - contra DDoS do Azure A Proteção contra DDoS do Azure usa o perfil de tráfego inteligente para saber mais sobre o tráfego do aplicativo e ajustar o perfil à medida que o tráfego muda. Proteção contra DDoS do Azure
`Advanced` 6.4.2 AI Driven by Analytics decide modificações A&OAs organizações do DoD que utilizam funções de aprendizado de máquina existentes implementam e usam a tecnologia de IA, como redes neurais, para impulsionar decisões de automação e orquestração. A tomada de decisões é movida para a IA tanto quanto possível, liberando a equipe humana para outros esforços. Utilizando padrões históricos, a IA fará mudanças antecipatórias no ambiente para reduzir melhor os riscos. Resultado: - A IA é capaz de fazer alterações nas atividades automatizadas do fluxo de trabalho	Microsoft Sentinel Habilite regras analíticas para detetar ataques avançados de vários estágios com anomalias do Fusion e UEBA no Microsoft Sentinel. Projete regras de automação e playbooks para resposta de segurança. Consulte as orientações da Microsoft em 6.2.3 e 6.4.1.

6.5 Orquestração, automação e resposta de segurança (SOAR)

O Microsoft Defender XDR tem recursos de deteção e resposta com deteções padrão e personalizáveis. Estenda a capacidade usando as regras de análise do Microsoft Sentinel para acionar ações de orquestração, automação e resposta de segurança (SOAR) com os Aplicativos Lógicos do Azure.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.5.1 Análise de automação de respostaAs organizações do DoD identificam e enumeram todas as atividades de resposta que são executadas manualmente e de forma automatizada. As atividades de resposta são organizadas em categorias automatizadas e manuais. As atividades manuais são analisadas para uma possível aposentadoria. Resultado: - As atividades de resposta automatizadas são identificadas - As atividades de resposta são enumeradas	Microsoft Defender XDR O Microsoft Defender XDR tem ações de resposta automáticas e manuais para incidentes de arquivos e dispositivos. - Incidentes no Defender XDR
`Target` 6.5.2 Implementar ferramentas SOARA empresa DoD que trabalha com organizações desenvolve um conjunto padrão de requisitos para orquestração de segurança, automação e ferramentas de resposta (SOAR) para habilitar funções ZTA de nível de destino. As organizações do DoD usam requisitos aprovados para adquirir e implementar a solução SOAR. As integrações de infraestrutura básica para futuras funcionalidades SOAR foram concluídas. Resultados: - Desenvolver requisitos para a ferramenta SOAR- Procure a ferramenta SOAR	Microsoft Defender XDR Use os recursos de resposta padrão do Microsoft Defender XDR. Consulte as orientações da Microsoft 6.5.1. O Microsoft Sentinel Sentinel usa os Aplicativos Lógicos do Azure para a funcionalidade SOAR. Use aplicativos lógicos para criar e executar fluxos de trabalho automatizados com pouco ou nenhum código. Use os Aplicativos Lógicos para se conectar e interagir com recursos fora do Microsoft Sentinel. - Playbooks com regras - de automação Automatize a resposta a ameaças com playbooks
`Advanced` 6.5.3 Implementar Playbooks As organizações do DoD analisam todos os manuais existentes para identificar a automação futura. Os processos manuais e automatizados existentes que faltam playbooks têm playbooks desenvolvidos. Os playbooks são priorizados para que a automação seja integrada com as atividades de Fluxos de Trabalho Automatizados que abrangem Processos Críticos. Os processos manuais sem manuais são autorizados através de uma abordagem metódica baseada no risco. Resultados: - Quando possível, automatize playbooks com base na capacidade de fluxos de trabalho automatizados- Playbooks manuais são desenvolvidos e implementados	Microsoft Sentinel Analise os processos de segurança atuais e use as práticas recomendadas no Microsoft Cloud Adoption Framework (CAF). Para estender os recursos SOAR, crie e personalize playbooks. Comece com os modelos de playbook do Sentinel. - Operações - de segurança SOC Process Framework - Playbooks de modelos

6.6 Padronização da API

A API do Microsoft Graph tem uma interface padrão para interagir com os serviços de nuvem da Microsoft. O Gerenciamento de API do Azure pode proteger APIs hospedadas pela sua organização.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.6.1 Análise de conformidade da ferramentaAs ferramentas e soluções de automação e orquestração são analisadas quanto à conformidade e aos recursos com base no padrão e nos requisitos da interface programática do DoD Enterprise. Mais ferramentas ou soluções são identificadas para suportar os padrões e requisitos de interface programática. Resultados: - O status da API é determinado em conformidade ou não conformidade com os padrões da API- As ferramentas a serem usadas são identificadas	API de segurança do Microsoft Graph O Microsoft Defender, o Microsoft Sentinel e o Microsoft Entra documentaram APIs. - - -
`Target` 6.6.2 Chamadas e esquemas padronizados de API Pt1 A empresa DoD trabalha com organizações para estabelecer um padrão de interface programática (por exemplo, API) e requisitos conforme necessário para habilitar as funcionalidades ZTA de destino. As organizações do DoD atualizam as interfaces programáticas para o novo padrão e exigem ferramentas recém-adquiridas/desenvolvidas para atender ao novo padrão. As ferramentas incapazes de cumprir a norma são permitidas por exceção, utilizando uma abordagem metódica baseada no risco. Resultados: - Chamadas iniciais e esquemas são implementados - Ferramentas não compatíveis são substituídas	Atividade completa 6.6.1. Gerenciamento deAPI do Azure Use o Gerenciamento de API do Azure como um gateway de API para se comunicar com APIs e criar um esquema de acesso consistente para várias APIs. - Gerenciamento de API do de automação do Azure Orquestre ações de confiança zero usando as ferramentas de automação do Azure. -
`Target` 6.6.3 Chamadas de API padronizadas e esquemas pt2 As organizações do DoD concluem a migração para o novo padrão de interface programática. As ferramentas marcadas para desativação na atividade anterior são desativadas e as funções são migradas para ferramentas modernizadas. Os esquemas aprovados são adotados com base nos padrões/requisitos do DoD Enterprise. Resultado: - Todas as chamadas e esquemas são implementados	Microsoft Sentinel Use o Sentinel como um mecanismo de orquestração para acionar e executar ações em ferramentas de automação citadas neste documento. - Automatize a resposta a ameaças com playbooks

6.7 Centro de operações de segurança (SOC) e resposta a incidentes (IR)

O Microsoft Sentinel é uma solução de gerenciamento de casos para investigar e gerenciar incidentes de segurança. Para automatizar ações de resposta de segurança, conecte soluções de inteligência contra ameaças, implante soluções Sentinel, habilite a análise de comportamento de entidade do usuário (UEBAs) e crie playbooks com os Aplicativos Lógicos do Azure.

Saiba como aumentar a maturidade do SOC, consulte Investigação de incidentes e gestão de casos do Sentinel.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 6.7.1 Enriquecimento do fluxo de trabalho Pt1 O DoD Enterprise trabalha com organizações para estabelecer um padrão de resposta a incidentes de segurança cibernética usando as práticas recomendadas do setor, como o NIST. As organizações do DoD utilizam o padrão corporativo para determinar fluxos de trabalho de resposta a incidentes. São identificadas fontes externas de enriquecimento para uma futura integração. - Fluxos de trabalho para eventos de ameaça são desenvolvidos	Os conectores de dados do Microsoft Sentinel enriquecem os fluxos de trabalho do Sentinel conectando o Microsoft Defender Threat Intelligence ao Sentinel. - Conector de dados para o Defender Threat Intelligence Microsoft Sentinel Use as soluções Sentinel para revisar as práticas recomendadas do setor. - NIST 800-53 Solução - CMMS 2.0 Pastas de trabalho - DoD ZT Sentinel Conteúdo e soluções do Sentinel -
`Target` 6.7.2 Enriquecimento do fluxo de trabalho Pt2 As organizações do DoD identificam e estabelecem fluxos de trabalho estendidos para tipos adicionais de resposta a incidentes. As fontes de dados de enriquecimento inicial são usadas para fluxos de trabalho existentes. São identificadas fontes adicionais de enriquecimento para futuras integrações. Resultados: - Fluxos de trabalho para eventos de ameaças avançadas são desenvolvidos - Eventos de ameaças avançadas são identificados	Microsoft Sentinel Use a deteção avançada de ataques em vários estágios no Fusion e as regras de análise de deteção de anomalias da UEBA no Microsoft Sentinel para acionar playbooks automatizados de resposta de segurança. Consulte as orientações da Microsoft 6.2.3 e 6.4.1 nesta seção. Para enriquecer os fluxos de trabalho do Sentinel, conecte o Microsoft Defender Threat Intelligence e outras soluções de plataformas de inteligência de ameaças ao Microsoft Sentinel. - Conectar plataformas de inteligência de ameaças ao Sentinel - Conecte o Sentinel aos feeds de inteligência de ameaças STIX/TAXII Consulte as orientações da Microsoft 6.7.1.
`Advanced` 6.7.3 Enriquecimento do fluxo de trabalho Pt3 As organizações do DoD usam fontes de dados de enriquecimento final em fluxos de trabalho básicos e estendidos de resposta a ameaças. - Os dados de enriquecimento são integrados nos fluxos de trabalho	Microsoft Sentinel Adicione entidades para melhorar os resultados de inteligência de ameaças no Sentinel. - Tarefas para gerenciar incidentes no Sentinel - de geolocalização Enriqueça fluxos de trabalho de investigação e gerencie incidentes no Sentinel. - Enriqueça entidades com dados de geolocalização -
`Advanced` 6.7.4 Fluxo de trabalho automatizadoAs organizações do DoD concentram-se em automatizar as funções e os manuais SOAR (Security Orchestration, Automation and Response). Os processos manuais dentro das operações de segurança são identificados e totalmente automatizados quanto possível. Os restantes processos manuais são desativados quando possível ou marcados para exceção utilizando uma abordagem baseada no risco. - Os processos restantes são marcados como exceções e documentados	Manuais do Microsoft Sentinel Os playbooks do Sentinel são baseados em Aplicativos Lógicos, um serviço de nuvem que agenda, automatiza e orquestra tarefas e fluxos de trabalho em sistemas corporativos. Crie playbooks de resposta com modelos, implante soluções a partir do hub de conteúdo do Sentinel. Crie regras de análise personalizadas e ações de resposta com os Aplicativos Lógicos do Azure. - Playbooks do Sentinel a partir de modelos -

Próximos passos

Configure os serviços de nuvem da Microsoft para a estratégia DoD Zero Trust: