本部分包含 Microsoft 对设备要素中的 CISA 零信任成熟度模型给出的指导和建议。
2 台设备
CISA 将设备标识为连接到网络的资产,包括服务器、台式机和笔记本电脑、打印机、移动电话、物联网(IoT)设备、网络设备等。 资产包括硬件、软件、固件等。若要了解详细信息,请参阅 通过零信任保护端点。
使用以下链接转到指南的各个部分。
2.1 功能:政策执行和合规情况监控
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业在设备上接收自报告的设备特征(例如密钥、令牌、用户等),但强制机制有限。 企业有一个初步的基本流程,用于批准软件使用,并将更新和配置更改推送到设备。 |
Microsoft Intune,Microsoft Configuration Manager Microsoft Intune 系列产品是一个用于管理设备的集成解决方案。 使用 Intune 设备清单、设备配置更改和软件更新功能。 使用 Microsoft Configuration Manager,启用云连接以实现设备管理的现代化和简化。 使用第三方移动设备管理(MDM)解决方案可以将设备管理与 Intune 合并。 - Intune - 配置管理器 - 云附加 - Intune 迁移指南 - Intune 支持的操作系统和浏览器 |
| 高级成熟度状态 企业已验证见解(即,管理员可以检查和验证设备上的数据),以便对设备进行初始访问,并为大多数设备和虚拟资产强制实施合规性。 企业使用自动化方法来管理设备和虚拟资产、批准软件以及识别漏洞并安装修补程序。 |
Intune 配置策略以评估设备的符合性和配置要求。 管理员可在 Intune 管理中心和设备合规性报告中查看见解并验证受管理设备的数据。 - Intune 管理中心 - Intune 中的设备配置文件 设置自动注册,以便初次访问设备。 利用 Intune 强化合规性。 - Intune 中的设备注册 - 自动注册 若要管理批准的软件,请使用 Intune 配置 Windows Defender 应用程序控制策略。 - WDAC 和 AppLocker - 部署 WDAC 策略 来控制数据访问以及移动设备上的应用共享方式,请配置应用保护策略。 - 应用保护策略 - 创建和部署应用保护策略 - 移动应用管理和应用保护 - Windows Autopilot Microsoft Defender for Endpoint 将 Defender for Endpoint 与 Intune 集成,以识别漏洞并修正托管 Intune 设备。 在 Intune 中配置 Defender for Endpoint Microsoft Defender for Cloud 保护和管理 Azure 虚拟资产,这是云原生应用程序保护平台(CNAPP)。 使用安全措施和做法保护基于云的应用程序免受网络威胁和漏洞的影响。 Defender for Cloud Defender for Cloud,Azure Arc 若要管理配置,请使用 Azure Arc 将非 Azure 资产(包括虚拟)连接到 Defender for Cloud。 - Azure Arc - 将已启用 Azure Arc 的服务器连接到 Defender for Cloud Defender for IoT Defender for IoT 是一种统一的安全解决方案,用于识别物联网(IoT)和操作技术(OT)设备、漏洞和威胁。 使用 Defender for IoT 保护 IoT 和 OT 环境,以及没有安全代理或完整操作系统的设备。 Defender for IoT |
| 最佳成熟度模型 Enterprise 持续验证见解,并在设备和虚拟资产的整个生命周期内强制实施合规性。 企业跨所有企业环境(包括虚拟资产)集成设备、软件、配置和漏洞管理。 |
Microsoft Entra 条件访问 配置条件访问,以便根据设备合规性状态持续执行应用程序和数据访问。 配置在整个设备生存期内适用。 要求只有合规的设备才能访问资源。 - 条件访问 - 在策略中授予控制措施,并要求合规设备 Microsoft Defender 漏洞管理 使用 Defender 漏洞管理来持续监视和获取建议。 启用安全评分和曝光评分以实现基于风险的优先级管理。 DVM 持续清点已安装的软件(应用)、数字证书、硬件、固件,以及浏览器扩展。 - Defender 漏洞管理 - 监视设备风险和合规性 Microsoft Defender for Cloud,Defender for Servers 在 Defender for Cloud 中的 Defender for Servers 为运行在 Azure、Amazon Web Services(AWS)、Google Cloud Platform(GCP)和本地环境中的 Windows 和 Linux 计算机提供威胁检测和高级防御。 Defender for Servers |
2.2 功能:资产和供应链风险管理
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业跟踪所有物理资产和某些虚拟资产,并通过根据联邦建议建立策略和控制基线来管理供应链风险(例如 NIST SCRM)。 |
Microsoft Intune 使用 Intune 查看有关托管设备的信息:硬件规范、已安装的应用和符合性状态。 集中式视图有助于监视设备运行状况、确保符合公司策略和管理设备配置。 Intune Defender for Endpoint Defender for Endpoint 补充 Intune,其中包含受 Defender for Endpoint 保护的已列出清单的设备。 集成 Intune 和 Defender for Endpoint 以跟踪物理资产和虚拟资产。 设备库存 采用结合供应链策略的 Microsoft 软件和云服务,以帮助根据联邦建议管理基线。 此操作支持负责任的采购和供应链完整性。 供应链 |
| 高级成熟度状态 企业开始通过自动化流程开发物理和虚拟资产的综合企业视图,这些流程可以跨多个供应商运行,以验证收购、跟踪开发周期并提供第三方评估。 |
Microsoft Intune 使用 Intune 在 Windows、macOS、iOS、Android 等操作系统上注册和管理设备。注册会创建设备的集中清单,包括硬件规范、已安装的应用和符合性状态。 若要简化设备载入,请实现自动设备注册,例如 Windows Autopilot 和 Apple 设备注册计划(DEP)。 - 移动到 Intune - 在 Intune 中注册设备 Microsoft Defender for Endpoint 部署 Defender for Endpoint,以实现自动化的企业级物理和虚拟资产视图,包括已安装的软件。 查看有关生成安全警报的设备(包括域、风险级别和操作系统)的见解。 使用发现功能在网络中查找非托管设备。 设备发现使用载入的网络终结点来收集、探测或扫描非管理的设备。 在 Microsoft Defender 漏洞管理中使用“漏洞”页面,按 CVE ID 查找已知的常见漏洞和暴露 (CVE),包括第三方评估。 - Defender 漏洞管理、软件清单 - 组织中的漏洞 |
| 最佳成熟度状态 企业对供应商和服务提供商的所有资产具有全面、实时或近乎实时的视图,可自动执行其供应链风险管理(适用),构建可容忍供应链故障的操作,并纳入最佳做法。 |
Microsoft Entra 条件访问 配置条件访问策略,以要求使用 Intune 或支持的移动设备管理 (MDM) 集成合作伙伴来管理的合规的设备。 此控制可确保提供实时或接近实时的资产视图。 - 在策略中授予控制,要求设备合规 - Intune 中的第三方设备合规合作伙伴 Intune,Microsoft Defender for Endpoint 启用 Defender for Endpoint 和 Intune 以建立服务到服务连接。 使用 Intune 将要管理的设备载入 Defender for Endpoint。 载入可实现实时或近乎实时的资产视图。 Defender for Endpoint 中的威胁分析提供来自Microsoft安全研究人员的威胁情报。 安全团队使用它来支持自动化风险管理,包括供应链风险。 - 在 Intune 中配置 Defender for Endpoint - 使用 Defender for Endpoint 应对新兴威胁 Defender for IoT Defender for IoT 识别物联网(IoT)和操作技术(OT)设备、漏洞和威胁。 使用 Defender for IoT 保护 IoT 和 OT 环境,包括没有安全代理的设备。 Defender for IoT Microsoft Defender 外部攻击面管理 Defender EASM 通过联机基础结构的外部视图持续发现和映射数字攻击图面。 安全和 IT 团队确定未知因素、确定风险优先级、缓解威胁,还可以将漏洞和暴露控制扩展到防火墙之外。 攻击面洞察是通过漏洞和基础设施数据生成的。 发现重要关注领域。 Defender EASM |
2.3 函数:资源访问
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业要求某些设备或虚拟资产报告特征,然后使用此信息批准资源访问。 |
Microsoft Entra ID 使用 Microsoft Entra ID 注册最终用户设备。 从 Microsoft Entra 管理中心管理设备标识。 - Microsoft Entra 加入的设备 - 混合加入设备 - 已注册设备 Microsoft Entra 条件访问 在“条件访问”策略中使用位置等设备信号来做出安全决策。 使用基于设备属性的筛选器来包括和排除策略。 - 条件 - 设备筛选器 |
| 高级成熟度状态 企业的初始资源访问会考虑已验证的设备或虚拟资产见解。 |
Microsoft Intune、Microsoft Defender for Endpoint 使用 Intune 管理设备、部署 Defender for Endpoint 和配置设备符合性策略。 请参阅 第 2.1 节 功能:策略强制执行和合规性;高级成熟度状态。 条件访问 创建需要混合或合规设备的条件访问策略。 将设备或虚拟资产的见解纳入资源访问决策中。 请参阅 2.1 功能:策略强制和符合性。 Microsoft Entra 应用程序 集成应用,并使用 Microsoft Entra ID 管理用户访问。 请参阅 第1.1节 功能:身份验证。 Microsoft Entra 应用代理 部署应用代理或安全混合访问(SHA)合作伙伴解决方案,以通过零信任网络访问(ZTNA)为本地和旧应用程序实现条件访问。Microsoft Entra 的 SHA |
| 最佳成熟度状态 企业的资源访问考虑设备和虚拟资产中的实时风险分析。 |
Microsoft Entra ID Protection 配置 Microsoft Entra ID Protection 以检测有风险的用户和登录事件,包括设备风险。 使用登录和用户风险条件,使策略与风险级别保持一致。 需要多重身份验证(MFA)进行有风险的登录。 - ID 保护 - 部署 ID 保护 Microsoft Intune,Microsoft Defender for Endpoint 启用 Defender for Endpoint 和 Intune 以建立服务到服务连接。 使用 Intune 将受管理设备载入 Defender for Endpoint,以实现实时或近乎实时的资产视图。 使用 Defender for Endpoint,根据风险分数,使用威胁风险信号阻止访问设备。 Microsoft建议允许访问具有中等风险分数或更低风险的设备。 - 在 Intune 中配置 Defender for Endpoint - Defender 漏洞管理 - 监视设备风险和合规性 条件访问 在条件访问中创建合规设备策略。 在设备和虚拟资产中使用实时风险分析进行资源访问决策。 请参阅 第2.1节 功能:策略执行与合规 |
2.4 功能:设备威胁检测
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业有一些自动化过程,用于向设备和虚拟资产部署和更新威胁防护功能,同时实施有限的策略和合规性监视集成。 |
Microsoft Defender for Endpoint 为最终用户设备部署 Defender for Endpoint。 部署 Defender for Endpoint Defender for Cloud 若要自动执行将威胁防护功能部署到 Azure 虚拟资产的过程,请将 Defender for Endpoint 与 Defender for Cloud 集成。 Defender for Endpoint 集成 |
| 高级成熟度状态 企业开始将威胁防护功能合并到设备和虚拟资产的集中式解决方案中,并将其中大部分功能与策略强制和合规性监视集成。 |
Microsoft Intune 配置 Microsoft Intune 以用于设备合规性策略。 包括 Defender for Endpoint 计算机风险分数,以实现策略合规性。 Intune 设备合规性策略 将 Defender for Endpoint 与 Intune 集成,作为 Mobile Threat Defense (MTD) 解决方案。 对于由 Microsoft Configuration Manager 管理的传统设备,请配置云连接。 - Intune 中的 Defender for Endpoint - 配置 Intune 中的 Defender for Endpoint - 云附加 Defender XDR 试点并部署 Defender XDR 组件和服务。 Defender XDR 配置已部署的 Microsoft Defender XDR 组件的集成。 - 包含 Defender for Cloud 应用的 Defender for Endpoint - Defender for Identity 和 Defender for Cloud 应用 - Purview 信息保护和 Defender for Cloud 应用 Azure Arc 使用已启用 Azure Arc 的服务器来管理和保护 Windows 和 Linux 物理服务器。 同时保护 Azure 外部的虚拟机(VM)。 为 Azure 外部托管的服务器部署 Azure Arc。 将启用 Arc 的服务器加入到受 Defender for Server 保护的订阅中。 - 已启用 Azure Arc 的服务器 - Azure Connected Machine 代理 Defender for Cloud 为 Azure 中带有 VM 的订阅启用 Defender for Servers。 Defender for Server 方案包括用于服务器的 Defender for Cloud。 Defender for Servers |
| 最佳成熟度状态 企业具有针对所有设备和虚拟资产的高级功能部署的集中式威胁防护安全解决方案,以及设备威胁防护、策略实施和合规性监视的统一方法。 |
Defender XDR 若要为设备和虚拟资产启用高级功能,可将 Defender XDR 集成到安全操作策略中。 - Defender XDR 和安全操作 - 高级搜寻 在 Defender XDR 中,警报是源自威胁检测活动的信号。 信号指示环境中的恶意或可疑事件。 警报可以指示更广泛的复杂攻击。 相关警报聚合并关联到构成事件(表示攻击)。 Defender XDR Microsoft Sentinel 配置 Defender XDR 的 Sentinel 数据连接器中的警报、事件和关联。 启用分析规则。 - 发现和管理 Sentinel - 将 Defender XDR 数据连接到 Sentinel - Sentinel 和 Defender XDR for Zero Trust Microsoft Defender 威胁智能 Defender TI 可聚合并丰富在一个易于使用的界面中查看的关键数据源。 将威胁指标(IoC)与相关文章、攻击者档案和漏洞相关联。 分析师使用 Defender TI 与分析师协作。 Defender TI |
2.5 函数:可见性和分析
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业在可用时使用数字标识符(例如接口地址、数字标记)以及设备的手动清单和终结点监视。 某些企业设备和虚拟资产处于自动分析(例如基于软件的扫描)下,以基于风险进行异常检测。 |
Microsoft Intune,Microsoft Defender for Endpoint 每个设备都有数字身份标识符。 企业可以使用某些设备和虚拟资产,根据风险试点自动分析以检测异常情况。 请参阅 2.1 功能:政策执行与合规。 |
| 高级成熟度状态 企业自动化进行库存收集(包括对所有标准用户设备的终端监控,例如台式机、笔记本电脑、移动电话、平板电脑及其虚拟资产)和异常检测,以识别未经授权的设备。 |
Defender for Endpoint 要检测未经授权的设备,请自动收集库存并检测异常。 设备发现 Intune 要查看受管理设备的相关详细信息,请使用 Intune 设备库存。 - Intune 中的设备详细信息 - Intune 中的终结点安全性 - 请参阅第 2.1 节 功能:策略执行与合规性。 |
| 最佳成熟度状态 企业可自动收集所有网络连接设备和虚拟资产的状态,同时与标识相关联,进行终结点监控,并执行异常情况检测,为资源访问提供信息。 企业跟踪针对异常情况预配和/或取消预配虚拟资产的模式。 |
Microsoft Entra 条件访问 配置条件访问策略,以要求与网络连接设备相容。 Intune 管理设备,或由受支持的移动设备管理(MDM)集成合作伙伴来管理。 此控制要求设备在 Intune 中注册,以自动化执行状态收集、端点监控和异常检测,从而通知资源访问。 - 在条件访问中授予控制,要求合规设备 - Intune 支持第三方设备合规性合作伙伴 Microsoft Defender XDR 要检测来自用户、设备和应用程序的异常情况,请部署并集成 Defender XDR 中的组件。 - Defender XDR - 部署支持的设备 - 具有 Defender XDR 的 Zero Trust Microsoft Entra ID 保护 通过与其他 Defender XDR 组件集成,ID 保护异常情况检测功能得到了增强。 ID 保护中的风险 条件访问 配置基于身份风险的条件访问策略,为用户和登录风险提供支持,包括异常情况检测。 要求对有风险的登录进行防钓鱼多重身份验证 (MFA)。若要监视效果,请创建一个策略以阻止仅报告模式下的高风险用户。 基于风险的访问策略 Microsoft Sentinel 中的 Fusion 连接所需的数据源到 Sentinel 并以启用高级的多阶段攻击检测功能。 - 将数据源连接到 Sentinel - 高级多阶段攻击检测 |
2.6 功能:自动化和编排
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业开始使用工具和脚本自动执行设备和虚拟资产预配、配置、注册和/或取消预配的过程 |
Microsoft Intune 开始自动化来预配、配置和取消预配设备。 Intune Microsoft Entra ID 实现 Microsoft Entra ID 以简化设备注册。 自动执行设备注册 Microsoft Defender for Endpoint 应用基本安全配置来管理设备保护。 Defender for Endpoint Microsoft Sentinel 使用 Sentinel 监视设备状态。 Sentinel |
| 高级成熟度状态 企业已实施监控和执行机制,以识别并手动断开或隔离不合规(易受攻击、未验证的证书;未注册的 mac 地址)设备和虚拟资产。 |
Intune 强制实施合规性策略并管理设备配置。 Intune 中的合规性策略 Defender for Endpoint 借助高级威胁保护来检测和应对漏洞和合规性问题。 Defender for Endpoint 中威胁检测和响应 Sentinel 使用 Sentinel 进行高级数据收集、分析和警报,以支持监视和执行。 Sentinel 中的高级监视 |
| 最佳成熟度状态 企业具有预配、注册、监视、隔离、修正和取消预配设备和虚拟资产的完全自动化流程。 |
Intune 自动化设备生命周期:预配、注册、监视和取消预配。 在 Intune 中实现设备生命周期自动化 Microsoft Entra ID 为实现统一的方法,将设备管理与身份验证和访问控制集成。 将设备管理与 Microsoft Entra 集成 Microsoft Defender XDR 使用 Defender XDR 进行高级和自动化的威胁检测和响应。 使用 Defender XDR 进行高级威胁检测 Sentinel 使用 Sentinel 自动化监视、合规性强制和事件响应。 使用 Sentinel 实现自动化 |
2.7 职能:治理
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
| 初始成熟度状态 企业设置并强制实施新设备的采购、非传统计算设备和虚拟资产生命周期以及定期对设备进行监视和扫描的策略。 |
Microsoft Intune 为新设备采购和生命周期创建策略。 确保基本配置和管理。 Intune Microsoft Defender for Endpoint 定期监视和扫描设备,以识别漏洞和合规性问题。 Defender for Endpoint Sentinel 实施监视和扫描做法,以查看设备状态和潜在问题。 Sentinel |
| 高级成熟度状态 企业为设备和虚拟资产的生命周期设置企业范围的策略,包括它们的枚举和责任,并具有一些自动化强制机制。 问责,以及一些自动执行机制。 |
Intune 定义并强制实施设备和虚拟资产的综合生命周期管理策略。Intune 中的合规性策略 Defender for Endpoint 通过自动化强制机制和高级监控来增强安全性和合规性。 威胁检测和响应 Sentinel 使用 Sentinel 进行详细的设备枚举和问责。 尽可能与自动化执行集成。 高级监视 |
| 最佳成熟度状态 企业自动执行所有联网设备和虚拟资产生命周期的策略。 |
Intune 自动化设备和虚拟资产生命周期管理:采购、配置、监控和取消预配。 使用 Intune 实现设备生命周期自动化 Microsoft Entra ID 为实现无缝的设备和资产管理,请将生命周期策略与标识和访问管理进行集成。 集成设备管理 Microsoft Defender XDR 使用 Defender XDR 在设备和资产之间实现自动化和高级威胁检测、响应及执行。 高级威胁检测 Sentinel Sentinel 自动化监视、合规性实施和企业范围的生命周期管理。 使用 Sentinel 实现自动化 |
后续步骤
为 CISA 零信任成熟度模型配置Microsoft云服务。