DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。
本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。
使用以下各链接,转到指导的各节。
6 自动化和业务流程
本部分提供了 Microsoft 针对自动化和业务流程支柱中的 DoD 零信任活动的指导和建议。 若要了解详细信息,请参阅零信任模型下的可见性、自动化和编排。
6.1 策略决策点 (PDP) 和策略业务流程
Microsoft Sentinel 通过基于云的资源提供安全业务流程、自动化和响应 (SOAR)。 自动检测和响应网络攻击。 Sentinel 与 Microsoft Entra ID、Microsoft Defender XDR、Microsoft 365、Azure 和非 Microsoft 平台集成。 这些可扩展的集成使 Sentinel 能够跨平台协调网络安全检测和响应操作,从而提高安全运营的有效性和效率。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.1.1 策略清点与制定DoD 企业与各组织合作,对现有网络安全策略和标准进行编录和清点。 根据需要在跨支柱活动中更新和创建策略,以满足关键的 ZT 目标功能。 结果: - 已根据适用的合规性和风险(例如 RMF、NIST)收集策略 - 已根据 ZTRA 审查策略是否缺少支柱和功能 - 已根据 ZTRA 更新缺少的策略领域以满足功能 |
Microsoft Purview 合规性管理器 使用 Microsoft Purview 合规性管理器评估和管理多云环境中的合规性。 - 合规性管理器 - Azure、Dynamics 365、Microsoft Purview - 多云支持 Microsoft Defender for Cloud 使用 Defender for Cloud 法规合规性功能来查看和改进多云环境中 Azure Policy 计划的合规性。 - 提高监管合规性 - FedRAMP High 合规性 - NIST SP 800-53 Rev. 5 合规性 - CMMC 合规性 Microsoft Sentinel Sentinel 内容中心提供了可视化和衡量特定领域安全要求进度的解决方案。 - Sentinel 内容中心目录 - DoD ZT Sentinel 工作簿 - NIST SP 800-53 解决方案 |
Target 6.1.2 组织访问配置文件DoD 组织使用来自用户、数据、网络和设备支柱的数据为任务和非任务 DAAS 访问开发基本访问配置文件。 DoD 企业与各组织合作,使用现有的组织安全配置文件来开发企业安全配置文件,以创建 DAAS 的通用访问方法。 创建安全配置文件后,组织可以使用分阶段方法来限制任务关键 DAAS 访问的风险。 结果: - 已创建组织范围的配置文件,确定使用用户、数据、网络和设备支柱的功能对 DAAS 的访问权限 - 为访问 DAAS 制定了初始企业配置文件访问标准 - 如果可能,组织配置文件会利用用户、数据、网络和设备支柱中的企业可用服务 |
条件访问 使用条件访问定义标准化 DoD 策略集。 包括身份验证强度、设备符合性、用户和登录风险控制。 - 条件访问 |
Target 6.1.3 企业安全性配置文件 Pt1企业安全性配置文件最初涵盖用户、数据、网络和设备支柱。 现有的组织安全配置文件已集成,用于以下非任务 DAAS 访问。 结果: - 已创建企业配置文件,以使用用户、数据、网络和设备支柱的功能访问 DAAS - 使用标准化方法将非关键任务组织配置文件与企业配置文件集成 |
完成活动 6.1.2。 Microsoft Graph API 使用 Microsoft Graph API 管理和部署条件访问策略、跨租户访问设置和其他 Microsoft Entra 配置设置。 - 以编程方式访问 - 跨租户访问设置 API - Graph 功能和服务 |
Advanced 6.1.4 企业安全性配置文件 Pt2最少数量的企业安全性配置文件授予对 DoD 组织内跨支柱的最广泛 DAAS 的访问权限。 任务组织配置文件与企业安全配置文件集成,并以基于风险的系统方法管理异常情况。 结果: - 企业配置文件已减少和简化,以支持最广泛的 DAAS 访问 - 在适当的情况下,任务关键配置文件已被集成并支持组织配置文件被视为例外 |
条件访问 使用条件访问见解和报告工作簿查看条件访问策略对组织的影响。 如果可能,请合并策略。 简化的策略集更易于管理、故障排除和试点新的条件访问功能。 可以使用条件访问模板来简化策略。 - 见解和报表 - 模板 使用 What If 工具和仅限报告模式对新策略进行故障排除和评估。 - 排查条件访问 - 仅限报告模式 减少组织对受信任网络位置的依赖。 使用由 GPS 坐标或 IP 地址确定的国家/地区位置来简化条件访问策略中的位置条件。 - 位置条件 自定义安全属性 使用条件访问策略中的自定义安全属性和应用程序筛选器来限定分配给应用程序对象的安全属性授权的范围,例如敏感度。 - 自定义安全属性 - 筛选应用 |
6.2 关键流程自动化
Microsoft Sentinel 自动化执行通常由第 1 层安全分析师执行的任务。 自动化规则使用 Azure 逻辑应用来帮助开发可增强安全运营的详细自动化工作流。 例如,事件扩充:链接到外部数据源以检测恶意活动。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.2.1 任务自动化分析DoD 组织识别并枚举可以手动和自动方式执行的所有任务活动。 任务活动分为自动和手动类别。 分析手动活动是否可能停用。 结果: - 已识别可自动化执行的任务 - 已枚举任务 - 策略清点与制定 |
完成活动 6.1.1。 Azure 资源管理器 使用 ARM 模板和 Azure 蓝图通过基础架构即代码 (IaC) 实现自动化部署。 - ARM 模板 - Azure 蓝图 Azure Policy 使用计划定义组织 Azure Policy 分配。 - Azure Policy - 计划定义 Microsoft Defender for Cloud 部署 Defender for Cloud 监管标准和基准。 - 分配安全标准。 Microsoft Entra ID Governance 定义访问包目录以建立访问包分配和审查的标准。 使用 Azure 逻辑应用开发身份生命周期工作流,以自动执行入职者、调岗者、离职者和其他可自动执行的任务。 - 权利管理资源 - 外部用户访问权限 - 访问评审部署 - 创建生命周期工作流 |
Target 6.2.2 企业集成和工作流预配 Pt1DoD 企业在启用目标级别 ZTA 功能所需的安全业务流程、自动化和响应解决方案 (SOAR) 内建立基线集成。 DoD 组织根据 DoD 企业基线确定集成点并确定关键集成点的优先级。 关键集成发生在支持恢复和保护功能的关键服务上。 结果: - 实现全面的企业集成 - 确定关键集成 - 确定恢复和保护要求 |
Microsoft Sentinel 将相关数据源连接到 Sentinel 以启用分析规则。 包括 Microsoft 365、Microsoft Defender XDR、Microsoft Entra ID、Microsoft Entra ID 保护、Microsoft Defender for Cloud、Azure 防火墙、Azure 资源管理器、使用 Azure Monitor 代理 (AMA) 和其他 API、系统日志或通用事件格式 (CEF) 数据源的安全事件。 - Sentinel 数据连接器 - Sentinel 中的 UEBA Microsoft Defender XDR 配置已部署的 Microsoft Defender XDR 组件的集成并将 Microsoft Defender XDR 连接到 Sentinel。 - 将数据从 Defender XDR 连接到 Sentinel 请参阅设备中的 Microsoft 指南 2.7.2。 使用 Defender XDR 搜寻、调查、警报和响应威胁 - 自动调查和响应 |
Advanced 6.2.3 企业集成和工作流预配 Pt2DoD 组织根据环境集成剩余服务以满足基线要求和高级 ZTA 功能要求。 服务预配已集成并自动化到需要满足 ZTA 目标功能的工作流中。 结果: - 已识别服务 - 已实现服务预配 |
Microsoft Defender XDR Microsoft Defender XDR 保护标识、设备、数据和应用程序。 使用 Defender XDR 配置组件集成 - XDR 工具设置 - Defender XDR 修正 Microsoft Sentinel 将新数据源连接到 Sentinel 并启用标准和自定义分析规则。 - Sentinel 中的 SOAR |
6.3 机器学习
Microsoft Defender XDR 和 Microsoft Sentinel 使用人工智能 (AI)、机器学习 (ML) 和威胁情报来检测和响应高级威胁。 使用 Microsoft Defender XDR、Microsoft Intune、Microsoft Entra ID 保护和条件访问的集成,以使用风险信号强制实施自适应访问策略。
要了解 Microsoft 安全堆栈和 ML,请参阅为美国政府云中的安全 Copilot 做好准备。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.3.1 实现数据标记和分类 ML 工具DoD 组织利用现有的数据标记、分类标准和要求来根据需要采购机器学习解决方案。 机器学习解决方案在组织中实现,使用现有标记和分类数据存储库来建立基线。 机器学习解决方案以监督方法应用数据标记来不断改进分析。 结果: - 实现的数据标记和分类工具与机器学习工具集成 |
Microsoft Purview 在 Microsoft Purview 中为服务端 (Microsoft 365) 和客户端(Microsoft Office 应用)以及 Microsoft Purview 数据映射配置自动标记。 - 数据映射中的敏感度数据标签 请参阅数据中的 Microsoft 指南 4.3.4 和 4.3.5。 |
6.4 人工智能
Microsoft Defender XDR 和 Microsoft Sentinel 使用人工智能 (AI)、机器学习 (ML) 和威胁情报来检测和响应高级威胁。 Microsoft Defender XDR、Microsoft Intune、Microsoft Entra ID Protection 和条件访问之间的集成可帮助你使用风险信号强制实施自适应访问策略。
要了解 Microsoft 安全堆栈和 AI,请参阅为美国政府云中的安全 Copilot 做好准备。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Advanced 6.4.1 实现 AI 自动化工具DoD 组织根据现有的人工智能机器学习技术确定需要改进的领域。 根据要求,使用已确定的领域来确定、采购和实现 AI 解决方案。 结果: - 制定 AI 工具要求 - 采购和实现 AI 工具 |
Microsoft Sentinel 中的 Fusion Fusion 是 Sentinel 中的高级多阶段攻击检测分析规则。 Fusion 是一个经过 ML 训练的关联引擎,可检测多阶段攻击或高级持续性威胁 (APT)。 它可以识别难以捕获的异常行为和可疑活动。 事件数量少、保真度高且严重程度高。 - 高级多阶段攻击检测 - 可自定义的异常情况 - 异常情况检测分析规则 Microsoft Entra ID 保护 标识保护使用机器学习 (ML) 算法来检测和修正基于标识的风险。 启用 Microsoft Entra ID 保护来为用户和登录风险创建条件访问策略。 - Microsoft Entra ID 保护 - 配置并启用风险策略 Azure DDoS 防护 Azure DDoS 防护使用智能流量分析来了解应用程序流量并根据流量变化调整配置文件。 - Azure DDoS 防护 |
Advanced 6.4.2 由分析驱动的 AI 决定 A&O 修改DoD 组织利用现有机器学习功能并使用神经网络等 AI 技术来驱动自动化和业务流程决策。 决策尽可能地转移到 AI,从而解放人类员工从事其他工作。 利用历史模式,AI 将对环境做出预期变化,以更好地降低风险。 结果: - AI 能够对自动化工作流活动进行更改 |
Microsoft Sentinel 启用分析规则,以在 Microsoft Sentinel 中使用 Fusion 和 UEBA 异常检测高级多阶段攻击。 设计安全响应的自动化规则和手册。 请参阅 6.2.3 和 6.4.1 中的 Microsoft 指南。 |
6.5 安全业务流程、自动化和响应 (SOAR)
Microsoft Defender XDR 具有标准和可自定义检测的检测和响应功能。 使用 Microsoft Sentinel 分析规则,通过 Azure 逻辑应用触发安全业务流程、自动化和响应 (SOAR) 操作来扩展功能。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.5.1 响应自动化分析DoD 组织识别并枚举手动和自动执行的所有响应活动。 响应活动分为自动和手动类别。 分析手动活动是否可能停用。 结果: - 已识别自动化响应活动 - 已枚举响应活动 |
Microsoft Defender XDR Microsoft Defender XDR 针对文件和设备事件具有自动和手动响应操作。 - Defender XDR 中的事件 |
Target 6.5.2 实现 SOAR 工具DoD 企业与各组织合作开发了一套安全业务流程、自动化和响应 (SOAR) 工具的标准要求,以实现目标级别的 ZTA 功能。 DoD 组织使用批准的要求来采购和实施 SOAR 解决方案。 未来 SOAR 功能的基本基础结构集成已完成。 结果: - 制定 SOAR 工具的要求 - 采购 SOAR 工具 |
Microsoft Defender XDR 使用 Microsoft Defender XDR 标准响应功能。 请参阅 Microsoft 指南 6.5.1。 Microsoft Sentinel Sentinel 使用 Azure 逻辑应用来实现 SOAR 功能。 使用逻辑应用创建和运行自动化工作流,几乎无需使用代码。 使用逻辑应用连接到 Microsoft Sentinel 外部的资源并与之交互。 - 自动化规则的 playbook - 使用 playbook 自动化威胁响应 |
Advanced 6.5.3 实现 PlaybookDoD 组织审查所有现有的 playbook,以确定未来的自动化。 缺少 playbook 的现有手动和自动化过程已开发 playbook。 Playbook 优先考虑将自动化与涵盖关键流程的自动化工作流活动集成。 没有 playbook 的手动流程是使用基于风险的系统方法进行授权的。 结果: - 如果可能,根据自动化工作流功能自动执行 playbook - 制定并实施手动 playbook |
Microsoft Sentinel 查看当前的安全流程并使用 Microsoft 云采用框架 (CAF) 中的最佳做法。 若要扩展 SOAR 功能,请创建和自定义 playbook。 从 Sentinel playbook 模板开始。 - 安全操作 - SOC 进程框架 - 模板中的 Playbook |
6.6 API 标准化
Microsoft Graph API 具有与 Microsoft 云服务交互的标准界面。 Azure API 管理可以保护你的组织托管的 API。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.6.1 工具合规性分析根据 DoD 企业程序设计界面标准和要求,分析自动化和业务流程工具和解决方案的合规性和功能。 确定更多的工具或解决方案来支持程序设计界面标准和要求。 结果: - API 状态确定是否符合 API 标准 - 已确定要使用的工具 |
Microsoft Graph 安全性 API Microsoft Defender、Microsoft Sentinel 和 Microsoft Entra 已记录 API。 - 安全性 API - 使用 Microsoft Graph - 标识保护 API 遵循组织开发的 API 的最佳做法。 - 应用程序编程接口 - RESTful Web API 设计 |
Target 6.6.2 标准化 API 调用和架构 Pt1DoD 企业与组织合作,根据需要建立程序设计界面(例如 API)标准和要求,以实现目标 ZTA 功能。 DoD 组织为程序设计界面更新新标准,并强制要求新获取/开发的工具满足新标准。 使用基于风险的系统方法,可以例外地允许无法满足标准的工具。 结果: - 已实现初始调用和模式 - 已替换不合规工具 |
完成活动 6.6.1. Azure API 管理 使用 Azure API 管理作为 API 网关与 API 通信,并为各种 API 创建一致的访问架构。 - Azure API 管理 Azure 自动化工具 使用 Azure 自动化工具协调零信任操作。 - Azure 中的集成和自动化 |
Target 6.6.3 标准化 API 调用和架构 Pt2DoD 组织完成迁移到新的程序设计界面标准。 在上一活动中标记为停用的工具已停用,功能将迁移到新版工具。 根据 DoD 企业标准/要求采用已批准的架构。 结果: - 所有调用和架构都已实现 |
Microsoft Sentinel 使用 Sentinel 作为业务流程引擎来触发和执行本文档中引用的自动化工具中的操作。 - 使用 playbook 自动执行威胁响应 |
6.7 安全运营中心 (SOC) 和事件响应 (IR)
Microsoft Sentinel 是一种案例管理解决方案,用于调查和管理安全事件。 若要自动执行安全响应操作,请连接威胁情报解决方案、部署 Sentinel 解决方案、启用用户实体行为分析 (UEBA),以及使用 Azure 逻辑应用创建 playbook。
了解如何提高 SOC 成熟度,请参阅 Sentinel 事件调查和案例管理。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 6.7.1 工作流扩充 Pt1DoD 企业与组织合作,使用行业最佳做法(如 NIST)建立网络安全事件响应标准。 DoD 组织利用企业标准来确定事件响应工作流。 标识外部扩充源以供将来集成。 结果: - 已识别威胁事件 - 已开发威胁事件的工作流 |
Microsoft Sentinel 数据连接器 通过将 Microsoft Defender 威胁情报连接到 Sentinel 来扩充 Sentinel 工作流。 - 适用于 Defender 威胁情报的数据连接器 Microsoft Sentinel 解决方案 使用 Sentinel 解决方案来审查行业最佳做法。 - NIST 800-53 解决方案 - CMMS 2.0 解决方案 - DoD ZT Sentinel 工作簿 - Sentinel 内容和解决方案 |
Target 6.7.2 工作流扩充 Pt2DoD 组织为其他事件响应类型确定并建立扩展工作流。 初始扩充数据源用于现有工作流。 其他扩充源用于标识将来的集成。 结果: - 开发高级威胁事件的工作流 - 已识别高级威胁事件 |
Microsoft Sentinel 在 Fusion 中使用高级多阶段攻击检测和 Microsoft Sentinel 中的 UEBA 异常情况检测分析规则来触发自动安全响应 playbook。 请参阅本部分中的 Microsoft 指南 6.2.3 和 6.4.1。 若要扩充 Sentinel 工作流,请将 Microsoft Defender 威胁情报和其他威胁情报平台解决方案连接到 Microsoft Sentinel。 - 将威胁情报平台连接到 Sentinel - 将 Sentinel 连接到 STIX/TAXII 威胁情报源 请参阅 Microsoft 指南 6.7.1。 |
Advanced 6.7.3 工作流扩充 Pt3DoD 组织在基本和扩展威胁响应工作流中使用最终扩充数据源。 结果: - 已识别扩充数据 - 扩充数据已集成到工作流中 |
Microsoft Sentinel 添加实体以改进 Sentinel 中的威胁情报结果。 - 在 Sentinel 中管理事件的任务 - 使用地理位置数据扩充实体 在 Sentinel 扩充调查工作流并管理事件。 - - |
Advanced 6.7.4 自动化工作流DoD 组织专注于自动化安全业务流程、自动化和响应 (SOAR) 功能和 playbook。 安全运营中的手动过程可以识别并完全自动化。 剩余的手动流程将在可能的情况下停用,或者使用基于风险的方法标记为例外。 结果: - 工作流过程完全自动化 - 已确定手动流程 - 剩余流程标记为例外并记录 |
Microsoft Sentinel playbook Sentinel playbook 基于逻辑应用,这是一种跨企业系统计划、自动执行和协调任务和工作流的云服务。 使用模板生成响应 playbook,从 Sentinel 内容中心部署解决方案。 使用 Azure 逻辑应用生成自定义分析规则和响应操作。 - 来自模板的 Sentinel playbook - 使用 playbook 自动执行威胁响应 - Sentinel 内容中心目录 - Azure 逻辑应用 |
后续步骤
为 DoD 零信任策略配置 Microsoft 云服务: