DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。
本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。
使用以下各链接,转到指导的各节。
2 设备
本节包含 Microsoft 对设备支柱中 DoD 零信任活动的指导和建议。 若要了解详细信息,请参阅使用零信任保护终结点。
2.1 设备清单
Microsoft Intune 和 Microsoft Defender for Endpoint 配置、评估运行状况并发现设备的软件漏洞。 使用 Microsoft Entra ID 和 Microsoft Intune 集成来强制实施合规的设备策略进行资源访问。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.1.1 设备运行状况工具差距分析DoD 组织开发环境中的设备手动清单。 清单中跟踪的设备属性支持 ZTA 目标级别中概述的功能。 结果: - 为每个具有所有者的组织创建设备手动清单 |
Microsoft Entra ID 使用 Microsoft Entra ID 注册最终用户设备,并从 Microsoft Entra 管理中心管理设备标识。 “设备概述”页跟踪设备资产、管理状态、操作系统、联接类型和所有者。 - 已注册设备 - 混合联接的设备 - 列出设备 - 管理设备标识 Microsoft Entra Connect Sync 使用 Connect Sync 将 Active Directory 托管设备与 Microsoft Entra ID 同步。 - 混合联接的设备 Microsoft Intune 从 Microsoft Intune 管理中心查看有关受管理设备的设备信息。 使用收集诊断远程操作从 Windows 设备检索诊断。 - 设备详细信息 - Windows 设备诊断 Microsoft Endpoint Configuration Manager 使用共同管理将 Configuration Manager 部署附加到 Microsoft 365 云。 - 共同管理 Microsoft Defender for Endpoint 在 Microsoft Defender 门户中查看 Defender for Endpoint 保护的设备。 - 设备清单 |
Target 2.1.2 NPE/PKI,管理下的设备DoD 组织利用 DoD Enterprise PKI 解决方案/服务将 x509 证书部署到所有受支持和管理的设备。 其他支持 x509 证书的 Nonperson 实体 (NPE) 在 PKI 和/或 IdP 系统中分配。 结果: - 非人员实体通过组织 PKI 和组织 IDP 进行管理 |
Microsoft Intune 添加 Intune 证书连接器,以便在终结点上预配证书。 - 证书连接器 - 用于身份验证的证书 使用 Intune 网络配置文件来帮助受管理设备向网络进行身份验证。 添加简单的证书注册协议 (SCEP) 证书。 - 设备 Wi-Fi 设置 - Windows 设备有线网络设置 将 Intune 与网络访问控制 (NAC) 合作伙伴集成,以保护设备访问本地资源时的数据。 - NAC 集成 应用程序管理策略 配置租户应用管理策略,以将应用程序凭据限制为企业 PKI 颁发的证书。 请参阅用户中的 Microsoft 指南 1.9.1。 Azure IoT 中心 配置 Azure IoT 中心以使用和强制实施 X.509 身份验证。 - 使用 x509 证书对标识进行身份验证 Microsoft Defender for Identity 如果组织使用 Active Directory 证书服务 (AD CS) 托管其 PKI,请部署 Defender for Identity 传感器,并为 AD CS 配置审核。 - AD CS 传感器 - 配置 AD CS 的审核 |
Target 2.1.3 企业 IDP Pt1DoD 企业标识提供者 (IdP) 使用集中式技术或联合组织技术集成非人员实体 (NPE),例如设备和服务帐户。 在适用的情况下,集成情况将在企业设备管理解决方案中进行跟踪,以确定是否已集成。 无法与 IdP 集成的 NPE 标记为停用或使用基于风险的方法进行排除。 结果: - 包括设备的 NPE 与企业 IdP 集成 |
Microsoft Entra 联接设备注册 将 Microsoft Entra 联接设备用于新的和重新映像的 Windows 客户端设备。 Microsoft Entra 联接设备改进了登录到云应用(如 Microsoft 365)的用户体验。 用户使用 Microsoft Entra 联接设备访问本地资源。 - 已联接的设备 - 已联接的设备上的本地资源的 SSO Microsoft Intune 为联接到 Microsoft Entra 租户的 Windows 10 或 11 设备设置自动注册。 - 自动注册 Microsoft Entra Connect Sync 如果你的组织使用 Connect Sync 将 Active Directory 与 Microsoft Entra ID 同步。若要使用 Microsoft Entra ID 自动注册设备,请配置混合联接的设备。 - 混合联接的设备 Microsoft Entra 应用程序 向 Microsoft Entra 注册应用程序,并使用服务主体以编程方式访问 Microsoft Entra 和受保护的 API(如 Microsoft Graph)。 配置应用管理策略以限制应用程序凭据类型。 请参阅 Microsoft 指南 2.1.2。 Microsoft Entra 工作负载 ID 使用工作负载标识联合访问 GitHub 操作中的 Microsoft Entra 受保护资源及其他受支持的方案。 - 工作负载标识联合 托管标识 对支持的 Azure 资源和启用 Azure Arc 的 VM 使用托管标识。 - Azure 资源的托管标识 - 启用 Azure Arc 的服务器 Azure IoT 中心 使用 Microsoft Entra ID 对 Azure IoT 中心服务 API 的请求进行身份验证。 - 控制对 IoT 中心的访问 |
Advanced 2.1.4 企业 IDP Pt2DoD 企业标识提供者 (IdP) 使用集中式技术或联合组织技术为 NPE 添加其他动态属性,例如位置、使用模式等。 结果: - 条件设备属性是 IdP 配置文件的一部分 |
Microsoft Defender for Endpoint 将 Defender for Endpoint 部署到最终用户桌面设备、托管移动设备和服务器。 - 加入设备 - 使用 Intune 的设备上的 Defender for Endpoint - 加入 Windows 服务器 Microsoft Intune 使用 Intune 管理最终用户设备。 为受管理设备配置 Intune 合规性策略。 在 Intune 合规性策略中包含 Microsoft Defender for Endpoint 计算机风险评分。 - 计划合规性策略 - 设备风险级别的合规性策略 - 自定义合规性策略 - 在 Intune 中配置 Windows 设备 - Android Enterprise 安全配置 - Intune 中的 iOS 和 iPadOS 设备 如果你的组织使用第三方移动威胁防御 (MTD) 解决方案,请配置 Intune 连接器。 - MTD 配置 移动应用管理 对未注册的设备使用 Intune MAM 配置和保护自带设备 (BYOD) 的应用。 - 应用管理 |
2.2 设备检测和合规性
Microsoft Intune 合规性策略确保设备符合组织标准。 合规性策略可以根据安全性基线评估设备配置。 策略使用 Microsoft Defender for Endpoint 保护状态和计算机风险评分来确定合规性。 条件访问使用设备合规性状态为用户和设备做出动态访问决策,包括自带设备 (BYOD)。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.2.1 实施基于 C2C/基于合规性的网络授权 Pt1与组织合作的 DoD 企业制定符合连接的策略、标准和要求。 达成协议后,将启动解决方案采购,选择供应商,实现从 ZT 目标环境中的基本级别功能开始(低风险)。 基本级别检查在新的“符合连接”解决方案中实施,能够满足 ZTA 目标功能。 结果: - C2C 在企业级别强制执行低风险和测试环境 - 基本设备检查使用 C2C 来实施 |
Microsoft Intune 使用 Intune 管理设备并配置设备合规性策略。 使用 Intune 移动应用管理 (MAM) 保护未注册 BYOD 上的应用。 请参阅 2.1.4 中的 Microsoft 指南。 条件访问 在条件访问策略中使用 Intune 合规设备信号、位置和登录风险信号。 根据设备属性对条件访问策略使用设备筛选器。 - 需要合规性设备 - 条件 - 筛选设备 - 使用 Intune 的条件访问 Microsoft Entra 工作负载 ID 使用风险和位置控制为工作负载标识创建条件访问策略。 - 工作负载标识的条件访问 - 安全工作负载标识 |
Advanced 2.2.2 实施基于 C2C/基于合规性的网络授权 Pt2DoD 组织将“符合连接”的部署和使用扩展到满足 ZT 高级功能所需的所有受支持环境。 “符合连接”团队将其解决方案与企业 IDP 和授权网关集成,以更好地管理对资源的访问和授权。 结果: - C2C 在所有受支持的环境中强制执行 - 高级设备检查已完成并与动态访问、企业 IdP 及 ZTNA 集成。 |
Microsoft Entra 应用程序 使用 Microsoft Entra ID 集成应用程序和管理用户访问权限。 请参阅用户中的 Microsoft 指南 1.2.4。 Microsoft Intune 和 Microsoft Defender for Endpoint 使用 Intune 管理设备、部署 Defender for Endpoint,并使用 Defender for Endpoint 计算机风险分数配置设备合规性策略。 请参阅本节中的 Microsoft 指南 2.1.4。 条件访问 创建条件访问策略,要求使用合规设备访问应用程序。 请参阅 2.2.1 中的 Microsoft 指南。 Microsoft Entra 应用程序代理 部署应用程序代理或安全混合访问 (SHA) 合作伙伴解决方案,以通过零信任网络访问 (ZTNA) 为本地和旧应用程序启用条件访问。 - SHA 与 Microsoft Entra 集成 Microsoft Tunnel Tunnel 是一种虚拟专用网络 (VPN) 网关解决方案,适用于由 Intune 管理的设备和具有 Intune 管理应用的未注册设备。 Tunnel 使用 Microsoft Entra ID 进行身份验证和条件访问策略,以便移动设备访问本地应用程序。 - 用于 Intune 的 Tunnel |
2.3 使用实时检查的设备授权
条件访问是 Microsoft 云产品和服务的零信任策略引擎。 在身份提供商处评估零信任策略,通过在资源访问前应用自适应控制,进一步推动符合连接 (C2C) 模型。 条件访问策略使用来自 Microsoft Entra ID、Microsoft Defender XDR 和 Microsoft Intune 的安全信号。
Microsoft Defender XDR 组件通过使用机器学习 (ML) 检测来评估设备和标识风险级别,并通过启用动态、基于风险的决策来允许、阻止或控制对数据、应用程序、资产和服务 (DAAS) 的访问。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Advanced 2.3.1 实体活动监视 Pt1使用已开发的用户和设备基线,DoD 组织利用已实施的用户和实体行为活动 (UEBA) 解决方案来集成基线。 UEBA 设备属性和基线可用于设备授权检测。 结果: - UEBA 属性针对设备基线集成 - UEBA 属性可用于设备访问 |
Microsoft Intune 和 Microsoft Defender for Endpoint 使用 Intune 管理设备、部署 Defender for Endpoint,并使用 Defender for Endpoint 计算机风险分数配置设备合规性策略。 请参阅 2.1.4 中的 Microsoft 指南。 条件访问 创建要求符合设备进行应用程序访问的条件访问策略。 请参阅 2.2.1 中的 Microsoft 指南。 Microsoft Entra ID 保护 为 Microsoft Entra ID 保护中的标识风险级别配置条件访问策略。 请参阅“用户”中的 Microsoft 指南 1.6.1。 |
Advanced 2.3.2 实体活动监视 Pt2DoD 组织将用户与实体行为活动 (UEBA) 解决方案与网络访问解决方案相结合,规定访问环境和资源所需的 UEBA 属性(例如,设备健康状况、登录模式等)。 结果: - UEBA 属性强制用于设备访问 |
条件访问 在条件访问策略中使用符合 Intune 的设备状态、位置和标识风险信号。 使用设备筛选器,根据设备属性定位条件访问策略。 请参阅 2.2.1 和 2.3.1中的 Microsoft 指南。 |
Target 2.3.3 实施应用程序控制和文件完整性监视 (FIM) 工具DoD 组织采购和实施文件完整性监视 (FIM) 和应用程序控制解决方案。 FIM 继续开发和扩展数据支柱中的监视。 应用程序控制以仅监视模式部署到低风险环境中,以建立基线限额。 应用程序控制团队与企业和组织 PKI 环境进行集成,利用证书进行应用程序许可。 NextGen AV 涵盖所有可能的服务和应用程序 结果: - AppControl 和 FIM 工具在所有关键服务/应用程序上实施 - EDR 工具涵盖最多的服务/应用程序 - AppControl 和 FIM 数据根据需要发送到 C2C |
Microsoft Defender for Endpoint Defender for Endpoint 聚合来自文件完整性监视 (FIM)、应用程序控制、下一代防病毒 (NGAV) 等的信号进行计算机风险评分。 - 下一代保护 - 受管理设备的防病毒 - 受控文件夹访问权限 Microsoft Intune 在 Microsoft Intune 中配置应用控制终结点安全策略。 - 通过 App Control for Business 策略批准的应用 - Windows Defender AppControl 策略和文件规则 条件访问 为实施符合连接 (C2C) 模型,请将应用程序与 Microsoft Entra ID 集成,并在条件访问中要求合规设备授予控制。 请参阅 2.2.2 中的 Microsoft 指南。 |
Advanced 2.3.4 集成 NextGen AV 工具 C2CDoD 组织根据需要采购并实施下一代防病毒和反恶意软件解决方案。 这些解决方案与“符合连接”的初始部署集成,用于对签名、更新等进行基线状态检查。 结果: - 关键 NextGen AV 数据发送到 C2C 进行检查 - NextGen AV 工具在所有关键服务/应用程序上实施 |
Microsoft Intune 为防病毒和 Microsoft Defender for Endpoint 计算机风险分数创建设备合规性策略。 - 终结点安全性的防病毒策略 请参阅 2.2.2 中的 Microsoft 指南。 |
Advanced 2.3.5 根据需要将设备安全堆栈与 C2C 完全集成DoD 组织继续在所有环境和防护模式下部署应用程序控制。 文件完整性监视 (FIM) 和应用程序控制分析已集成到“符合连接”中,用于扩展的访问决策决策数据点。 符合连接分析会针对其他设备/终结点安全堆栈数据点(如 UEDM)进行评估,并根据需要集成。 结果: - AppControl 和 FIM 部署扩展到所有必要的服务/应用程序 - 设备安全工具的剩余数据通过 C2C 实施 |
完成活动 2.3.4。 Microsoft Defender for Cloud 应用 使用 Defender for Cloud 应用策略识别和控制有风险的云应用程序。 - 使用策略控制云应用 |
Advanced 2.3.6 Enterprise PKI Pt1DoD 企业公钥基础结构 (PKI) 扩展以包括添加 NPE 和设备证书。 不支持 PKI 证书的 NPE 和设备标记为停用,并开始停用。 结果: - 无法拥有证书的设备已逐步淘汰和/或移动到最小访问权限环境 - 所有设备和 NPE 都安装了证书以在企业 PKI 中进行身份验证 |
Microsoft Intune 使用 Microsoft Intune 将 DoD PKI 证书部署到设备。 请参阅 2.1.2 中的 Microsoft 指南。 应用程序管理策略 配置租户应用管理策略,以将应用程序凭据限制为企业 PKI 颁发的证书。 请参阅“用户”中的 Microsoft 指南 1.5.3。 Microsoft Defender for Cloud 应用 配置访问策略,要求客户端证书进行应用程序访问并阻止未经授权的设备访问。 - 访问策略 |
Advanced 2.3.7 Enterprise PKI Pt2DoD 组织利用证书进行设备身份验证和计算机到计算机通信。 不支持的设备使用基于风险的方法性方法批准不受支持的设备停用和异常。 结果: - 设备进行身份验证才能与其他服务和设备通信 |
Microsoft Intune 和条件访问 将应用程序与 Microsoft Entra ID 集成、使用 Intune 管理设备、使用 Microsoft Defender for Endpoint 保护设备以及配置合规性策略。 包括 Defender for Endpoint 计算机风险分数的合规性策略。 在条件访问策略中要求合规授权控制。 请参阅 2.2.2 中的 Microsoft 指南。 |
2.4 远程访问
Microsoft Entra ID 是默认的标识提供者 (IdP)。 如果使用 Microsoft Entra 进行应用程序登录,则用户在 Microsoft Entra 授权访问之前进行身份验证并通过条件访问策略检查。 可以使用 Microsoft Entra ID 保护云中或本地托管的应用程序。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.4.1 默认拒绝设备DoD 组织会阻止所有非管理的远程和本地设备访问资源。 合规的托管设备根据 ZTA 目标级别概念提供基于风险的方法性访问。 结果: - 组件可以默认阻止设备访问资源(应用/数据),并根据策略显式允许合规的设备 - 远程访问在“默认拒绝设备策略”方法下启用 |
Microsoft Entra ID 应用程序 默认拒绝访问受 Microsoft Entra ID 保护的应用程序和资源。 资源访问需要符合条件访问策略的身份验证、活动权利和授权。 - 集成应用 - 应用集成 Microsoft Intune 使用 Intune 管理设备。 配置设备合规性策略。 在针对所有用户和应用程序的条件访问策略中,要求使用合规设备。 请参阅 2.2.1 中的 Microsoft 指南。 |
Target 2.4.2 托管及有限的 BYOD 和 IOT 支持DoD 组织利用统一终结点和设备管理 (UEDM) 和类似的解决方案确保托管自带设备 (BYOD) 和物联网 (IoT) 设备与企业 IDP 完全集成,支持基于用户的和基于设备的授权。 所有应用程序的设备访问都需要动态访问策略。 结果: - 所有应用程序都需要设备的动态权限访问 - BYOD 和 IOT 设备权限已测试基线并与企业 IDP 集成 |
完成活动 2.4.1。 Microsoft Intune 将 Intune 设备管理和移动应用程序管理用于自带设备 (BYOD)。 - 未注册设备的移动应用管理 - 应用保护策略 条件访问 对于所有用户和应用程序,在条件访问中要求合规设备以及/或应用保护策略。 - 批准的客户端应用或应用保护策略 - Windows 设备上的应用保护策略 Microsoft Entra 外部 ID 配置跨租户访问设置,以信任来自受信任的合作伙伴的合规设备控制。 - 用于 B2B 协作的跨租户访问设置 Microsoft Defender for IoT 部署 Defender for IoT 传感器以获取可见性,还监视并保护 IoT 和操作技术 (OT) 设备。 确保设备软件是最新的,并更改本地密码。 不要使用默认密码。 - Defender for IoT - 基于零信任的 IoT 和 OT 安全性 - 美国国家网络安全策略保护 IoT |
Advanced 2.4.3 托管的及完全 BYOD 和 IOT 支持 Pt1DoD 组织利用统一终结点和设备管理 (UEDM) 和类似的解决方案,以使用动态访问策略为托管和批准的设备启用对任务和操作关键服务/应用程序的访问。 在授权之前,需要 BYOD 和物联网 (IoT) 设备才能满足标准基线检查。 结果: - 只有满足授权配置标准的 BYOD 和 IOT 设备才能访问资源 - 关键服务需要对设备进行动态访问 |
完成活动 2.4.2。 Microsoft Defender for Cloud 应用 配置访问策略以要求客户端证书进行应用程序访问。 阻止从未经授权的设备进行访问。 请参阅 2.3.6 中的 Microsoft 指南。 |
Advanced 2.4.4 托管的及完全 BYOD 和 IOT 支持 Pt2DoD 组织利用统一终结点和设备管理 (UEDM) 和类似的解决方案来启用对非托管设备满足设备检查和标准基线的访问。 所有可能的服务/应用程序都集成,以允许访问托管设备。 非管理的设备基于风险驱动的方法性授权方法与服务/应用程序集成。 结果: - 所有可能的服务都需要对设备进行动态访问 |
Azure 虚拟桌面 部署 Azure 虚拟桌面 (AVD),以支持从非管理的设备进行远程访问。 将 AVD 会话主机 VM 加入 Microsoft Entra 并管理 Microsoft Intune 的合规性。 允许从非管理的设备使用无密码或无密码防钓鱼身份验证器登录到 AVD。 - MICROSOFT Entra 加入 AVD 中的 VM - 身份验证强度 Microsoft Defender for Cloud 应用 使用 Defender for Cloud 应用会话控制来监视和限制非管理的设备的 Web 会话。 - 会话策略 |
2.5 部分和完全自动化的资产、漏洞和修补程序管理
Microsoft Endpoint Manager 支持基于云的和混合(共同管理)解决方案进行设备管理。 配置和合规性策略可确保设备满足组织的修补程序级别和安全配置要求。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.5.1 实施资产、漏洞和修补程序管理工具DoD 组织实施解决方案来管理资产/设备配置、漏洞和修补程序。 使用最低合规性标准(例如 STIG 等)团队可以确认或拒绝托管设备合规性。 作为解决方案的采购和实施过程的一部分,API 或其他编程接口将在未来的自动化和集成级别范围内。 结果: - 组件可以确认设备是否符合最低合规性标准 - 组件具有资产管理、漏洞和补丁系统,并配备有 API,以便实现跨系统的集成 |
Microsoft Intune 管理 Intune 中的设备。 请参阅 2.1.4 中的 Microsoft 指南。 对旧终结点设备使用 Microsoft Endpoint Manager 共同管理。 - 终结点管理 - 共同管理 为使用 Intune 管理的设备平台配置和更新策略。 - iOS 和 iPadOS 软件更新策略 - macOS 软件更新策略 - Android FOTA 更新 - Windows 10 和 11 更新 Microsoft Defender for Endpoint 将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成。 使用 Microsoft Intune 配置策略修正终结点漏洞。 - Microsoft Defender 漏洞管理 - 使用 Microsoft Intune 和 Microsoft Defender for Endpoint 识别的漏洞 |
2.6 统一的终结点管理和移动设备管理
Microsoft Intune 配置和合规性策略可确保设备满足组织安全配置要求。 Intune 评估合规性策略并将设备标记为合规或不合规。 条件访问策略可以使用设备合规性状态阻止不合规设备的用户访问受 Microsoft Entra ID 保护的资源。
Microsoft Entra 外部 ID 跨租户访问设置包括来宾协作的信任设置。 可以为每个合作伙伴租户自定义这些设置。 信任来自另一个租户的合规设备后,在其主租户中使用这些合规设备的来宾满足要求你的租户中使用合规设备的条件访问策略。 无需设置条件访问策略的例外情况,以避免阻止外部来宾。
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.6.1 实施 UEDM 或等效工具DoD 组织将与“实施资产、漏洞和修补程序管理工具”活动密切合作,以采购和实施统一终结点和设备管理 (UEDM) 解决方案,确保要求与采购过程集成。 采购解决方案后,UEDM 团队确保关键的 ZT 目标功能(如最低合规性、资产管理和 API 支持)到位。 结果: - 组件可以确认设备是否符合最低合规性标准 - 组件具有用户设备(手机、台式机、笔记本电脑)的资产管理系统,用于维护 IT合规性,并向 DoD 报告 - 组件的资产管理系统能够通过编程方式(即 API)提供设备合规状态,并判断其是否满足最低标准 |
完成活动 2.3.2。 Microsoft Intune 设备合规性状态通过条件访问中的 Intune 合规性信号与标识提供者 (IdP)、Microsoft Entra ID 集成。 在 Microsoft Entra 管理中心或使用 Microsoft Graph API 查看设备合规性状态。 - 合规性策略 - Intune 报告 Microsoft Entra 外部 ID 要将设备合规性策略扩展到组织外部的用户,请配置跨租户访问设置,以信任来自受信任 DoD 租户的 MFA 和合规设备声明。 - 跨租户访问 Microsoft 图形 API Microsoft 图形 API 查询设备合规性状态。 - 合规性和隐私 API |
Target 2.6.2 企业设备管理 Pt1DoD 组织使用统一终结点和设备管理解决方案将手动设备清单迁移到自动化方法。 无论位置如何,都能够管理已批准的设备。 关键服务的一部分设备必须由支持自动化的统一终结点和设备管理解决方案管理。 结果: - 手动清单与关键服务的自动化管理解决方案集成 - 启用 ZT 设备管理(从具有或没有远程访问的任何位置) |
Microsoft Intune 和条件访问 使用 Microsoft Intune 管理设备。 配置设备合规性策略。 要求合规设备条件访问策略。 请参阅 2.1.4 中的 Microsoft 指南。 |
Target 2.6.3 企业设备管理 Pt2DoD 组织将剩余设备迁移到企业设备管理解决方案。 EDM 解决方案根据情况与风险和合规性解决方案集成。 结果: - 手动库存与所有服务的自动化管理解决方案集成 |
Microsoft Intune 和条件访问 使用 Intune 管理设备。 配置设备合规性策略。 条件访问策略中要求使用合规设备。 请参阅 2.1.4 中的 Microsoft 指南。 |
2.7 终结点和扩展的检测和响应(EDR 和 XDR)
Microsoft Defender XDR 统一防御套件跨终结点、标识、电子邮件和应用程序协调检测、预防、调查和响应。 Microsoft Defender XDR 组件检测并抵御复杂的攻击。
Microsoft Defender XDR 组件的集成将保护扩展到设备之外。 请参阅 Microsoft Entra ID 保护中促成用户风险级别的检测事件示例:
- Microsoft Defender for Office 检测到的可疑电子邮件发送模式
- Microsoft Defender for Cloud Apps 中的不可能旅行检测
- 尝试访问 Microsoft Defender for Endpoint 检测到的主刷新令牌
基于风险的条件访问策略可以保护、限制或阻止访问有风险用户的云服务,即使他们在受信任的网络上使用合规设备也是如此。
若要了解详细信息,请参阅启用 Microsoft Defender XDR 组件和哪些风险?
DoD 活动说明和结果 | Microsoft 指导和建议 |
---|---|
Target 2.7.1 实施终结点检测和响应 (EDR) 工具,并与 C2C 集成DoD 组织终结点检测和响应 (EDR) 解决方案在环境中实施。 EDR 保护、监视和响应启用 ZT 目标功能的恶意和异常活动,并将数据发送到”符合连接”解决方案,以用于扩展的设备和用户检查。 结果: - 实施终结点检测和响应工具 - 关键 EDR 数据发送到 C2C 进行检查 - NextGen AV 工具涵盖最大数量的服务/应用程序 |
Microsoft Defender for Endpoint 为最终用户设备部署 Defender for Endpoint。 请参阅本节中的 Microsoft 指南 2.3.1。 Microsoft Intune 配置 Intune 设备合规性策略。 包含 Defender for Endpoint 计算机风险评分以确保策略合规性。 请参阅 Microsoft 指南 2.1.4 和 2.3.2。 Microsoft Defender for Cloud 为 Azure 中的虚拟机 (VM) 订阅启用 Microsoft Defender for Server。 Defender for Server 计划包括用于服务器的 Defender for Cloud。 - Defender for Servers 使用启用 Azure Arc 的服务器来管理和保护 Azure 外部的 Windows 及 Linux 物理服务器和 VM。 为 Azure 外部托管的服务器部署 Azure Arc 代理。 将启用 Arc 的服务器加入到受 Microsoft Defender for Server 保护的订阅。 - 启用 Azure Arc 的服务器 - Azure Connected Machine 代理 |
Target 2.7.2 实施扩展检测和响应 (XDR) 工具,并与 C2C Pt1 集成DoD 组织采购并实施扩展检测和响应 (XDR) 解决方案。 根据风险确定与跨支柱能力的集成点,并设置优先级。 这些集成点中风险最大的是操作和开始集成。 EDR 继续覆盖端点,以包括 XDR 实施中最大数量的服务和应用程序。 基本分析从 XDR 解决方案堆栈发送到 SIEM。 结果: - 已根据功能识别集成点 - 风险最高的集成点已与 XDR 集成 - 基本警报与 SIEM 和/或其他机制已建立 |
Microsoft Defender XDR 试点和部署 Microsoft Defender XDR 组件和服务。 - Defender XDR - 基于零信任的 Sentinel 和 Defender XDR 配置已部署的 Microsoft Defender XDR 组件的集成。 - Defender for Endpoint 与 Defender for Cloud 应用 - Defender for Identity 和 Defender for Cloud 应用 - Purview 信息保护和 Defender for Cloud 应用 Microsoft Sentinel 为 Microsoft Defender XDR 配置 Sentinel 数据连接器。 启用分析规则。 - 安装 Defender XDR - 将 Defender XDR 数据连接到 Sentinel |
Advanced 2.7.3 实施扩展检测和响应 (XDR) 工具,并与 C2C Pt2 集成XDR 解决方案堆栈完成集成点的标识,将覆盖范围扩展到尽可能多的集成点。 使用基于风险的方法性方法跟踪和管理异常,以便继续操作。 启用 ZT 高级功能的扩展分析已集成到 SIEM 和其他适当的解决方案中。 结果: - 剩余集成点已适当地集成 - 已启用与其他分析工具(至少使用 SIEM )的扩展警报和响应功能 |
Microsoft Defender XDR 在安全操作策略中使用 Microsoft Defender XDR。 - 将 Defender XDR 集成到安全操作 |
后续步骤
为 DoD 零信任策略配置 Microsoft 云服务: