DoD Zero Trust策略和路线图概述了国防部组件和国防工业基地(DIB)合作伙伴基于Zero Trust原则采用新的网络安全框架的路径。 Zero Trust消除了传统的外围和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。
本指南针对 DoD Zero Trust 功能执行路线图中的 152 个Zero Trust活动提供了建议。 这些部分对应于 DoD Zero Trust 模型的七大支柱。
使用以下各链接,转到指导的各节。
2 设备
本部分针对设备支柱中的 DoD Zero Trust 活动提供了Microsoft指导和建议。 若要了解详细信息,请参阅使用 Zero Trust 保护终结点。
2.1 设备清单
Microsoft Intune和Microsoft Defender for Endpoint配置、评估运行状况并发现设备的软件漏洞。 使用 Microsoft Entra ID 和 Microsoft Intune 的集成来强制执行符合标准的设备策略,以便访问资源。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.1.1 设备健康工具差距分析DoD 组织在其环境中编制设备的手动清单。 清单中跟踪的设备属性支持 ZTA 目标级别中概述的功能。 结果: - 为每个组织创建设备的手动清单,并指定所有者 |
Microsoft Entra ID 注册具有Microsoft Entra ID的最终用户设备并从 Microsoft Entra 管理中心管理设备标识。 “设备概述”页跟踪设备资产、管理状态、操作系统、联接类型和所有者。 - 注册设备 - 混合联接设备 - 设备列表 - 管理设备身份 Microsoft Entra Connect 同步 使用 Connect Sync 将 Active Directory 托管设备与 Microsoft Entra ID 同步。 - 混合联接设备 Microsoft Intune 从 Microsoft Intune 管理中心查看有关托管设备的设备信息。 使用 Collect diagnostics 远程操作从 Windows 设备检索诊断信息。 - 设备详情 - Windows 设备诊断 Microsoft 终结点配置管理器 使用共同管理将 Configuration Manager 部署连接到 Microsoft 365 云。 - 共同管理 Microsoft Defender for Endpoint 在 Microsoft Defender 门户中查看受 Defender for Endpoint 保护的设备。 - 设备库存 |
Target
2.1.2 NPE/PKI,管理下的设备DoD 组织利用 DoD Enterprise PKI 解决方案/服务将 x509 证书部署到所有受支持和管理的设备。 额外的其他支持 x509 证书的非人员实体 (NPE) 分配在 PKI 和/或 IdP 系统中。 结果: - 非人员实体通过组织 PKI 和组织 IDP 进行管理 |
Microsoft Intune 添加 Intune 证书连接器,以在终端上预配证书。 - 证书连接器 - 用于身份验证的证书 使用 Intune 网络配置文件帮助托管设备进行网络身份验证。 添加简单证书注册协议(SCEP)证书。 - 设备 Wi-Fi 设置 - 配置 Windows 设备的有线网络设置 将 Intune 与网络访问控制(NAC)合作伙伴集成,在设备访问本地资源时保护数据。 - NAC 集成 应用管理策略 配置租户的应用管理策略,将应用程序凭据限制为由企业 PKI 颁发的证书。 参阅 Microsoft 用户指南中的 1.9.1 指南。 Azure IoT Hub 若要使用并执行 X.509 身份验证,请配置 Azure IoT Hub。 - 使用 x509 证书验证身份 Microsoft Defender for Identity 如果组织使用 Active Directory 证书服务(AD CS)托管其 PKI,请部署 Defender for Identity 传感器,并配置 AD CS 的审核。 - AD CS 传感器 - 配置 AD CS 审核 |
Target
2.1.3 企业 IDP Pt1DoD 企业身份提供者(IdP)或者使用集中式技术,或者使用联合组织技术来集成非人员实体(NPE),例如设备和服务帐户。 在适用的情况下,企业设备管理解决方案中会跟踪集成状态,以查看是否进行集成。 无法与 IdP 集成的 NPE 标记为停用或使用基于风险的方法进行排除。 结果: - 包括设备的 NPE 与企业 IdP 集成 |
Microsoft Entra 加入的设备注册 使用 Microsoft Entra 加入的设备来处理新的和重新映像后的 Windows 客户端设备。 Microsoft Entra加入的设备改进了登录到云应用的用户体验,例如Microsoft 365。 用户使用已加入 Microsoft Entra 的设备访问本地资源。 在已加入设备上对本地资源进行 SSO。 为 Windows 10 或 11 设置自动注册已加入 Microsoft Entra 租户的设备。 如果组织使用 Connect Sync 同步本地 Active Directory 与 Microsoft Entra ID。若要向 Microsoft Entra ID 自动注册设备,请配置混合联接设备。 注册 Microsoft Entra 的应用程序,并将服务主体用于以编程方式访问 Microsoft Entra 和受保护的 API,例如 Microsoft Graph。 配置应用管理策略以限制应用程序凭据类型。 参见 Microsoft 指南 2.1.2。 Microsoft Entra Workload ID 使用工作负载身份联合在 GitHub 操作及其他受支持的场景中访问受 Microsoft Entra 保护的资源。 - 工作负载身份联合 托管标识 使用托管标识应用于受支持的 Azure 资源和已启用 Azure Arc 的 VM。 - Azure 资源的托管标识 - 已启用 Azure Arc 的服务器 Azure IoT Hub 使用 Microsoft Entra ID 对 Azure IoT Hub 服务 API 的请求进行身份验证。 - 控制对 IoT Hub 的访问 |
Advanced
2.1.4 企业 IDP Pt2DoD 企业标识提供者(IdP)使用集中式技术或联合组织技术为 NPE 添加了其他动态属性,例如位置、使用模式等。 结果: - 条件设备属性是 IdP 配置文件的一部分 |
Microsoft Defender for Endpoint 部署 Defender for Endpoint 到最终用户桌面设备、托管移动设备和服务器。 - 设备入驻 - 使用 Intune 在设备上部署 Defender for Endpoint - Windows 服务器入驻 Microsoft Intune 使用 Intune 管理最终用户设备。 为受管理设备配置 Intune 合规性策略。 包括 Microsoft Defender for Endpoint 计算机风险评分在 Intune 合规性策略中。 - 规划合规性策略 - 设备风险级别的合规性策略 - 自定义合规性策略 - 在 Intune 中配置 Windows 设备 - Android 企业安全配置 - Intune 中的 iOS 和 iPadOS 设备 如果您的组织使用第三方移动威胁防护(MTD)解决方案,请配置 Intune 连接器。 - MTD 配置 移动应用管理 使用 Intune MAM 为未注册设备和 BYOD(自带设备)配置和保护应用。 - 应用管理 |
2.2 设备检测和合规性
Microsoft Intune符合性策略可确保设备符合组织标准。 合规性策略可以根据安全性基线评估设备配置。 策略使用Microsoft Defender for Endpoint保护状态和计算机风险评分来确定合规性。 条件访问使用设备合规性状态信息为用户和设备做出动态访问决策,包括自带设备 (BYOD)。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.2.1 实施 C2C/合规网络授权 Pt1国防部企业与各组织合作制定了合规连接的政策、标准和要求。 达成协议后,将启动解决方案采购,选择供应商,实现从 ZT 目标环境中的基本级别功能开始(低风险)。 基本级别检查在新的“符合连接”解决方案中实施,能够满足 ZTA 目标功能。 结果: - C2C 在企业级别强制执行低风险和测试环境 - 基本设备检查是使用 C2C 实现的 |
Microsoft Intune 使用 Intune 管理设备并配置设备符合性策略。 使用 Intune 移动应用程序管理(MAM)保护未注册 BYOD 上的应用。 请参阅 2.1.4 中的Microsoft指南。 条件访问 在条件访问策略中使用符合 Intune 的设备信号、位置和登录风险信号。 对条件访问策略使用设备筛选器,基于设备属性。 - 需要合规设备 - 条件 - 设备筛选器 - 使用 Intune 的条件访问 Microsoft Entra Workload ID 使用风险和位置控制创建工作负荷标识的条件访问策略。 - 工作负荷标识的条件访问 - 安全保护工作负荷标识 |
Advanced
2.2.2 Implement 基于 C2C/合规的网络授权 Pt2DoD 组织扩展“合规连接”系统的部署和使用,覆盖所有需要实现 ZT 高级功能的受支持环境。 “Comply to Connect”团队将其解决方案与企业身份提供商和授权网关集成,以更好地管理对资源的访问和授权。 结果: - 在所有受支持的环境中 强制实施 C2C- 高级设备检查已完成并与动态访问、企业 IdP 和 ZTNA 集成。 |
Microsoft Entra 应用程序 集成应用程序并使用 Microsoft Entra ID 管理用户访问。 请参阅用户中的 Microsoft 指南 1.2.4。 使用 Intune 管理设备,部署 Microsoft Defender for Endpoint,并使用 Defender for Endpoint 设备风险评分配置设备合规性策略。 请参阅本节中的 Microsoft 指南 2.1.4。 创建要求设备合规的条件访问策略以获取应用程序访问权限。 请参阅 Microsoft 指南 2.2.1。 部署应用程序代理或安全混合访问(SHA)合作伙伴解决方案,通过零信任网络访问(ZTNA)为本地和遗留应用程序启用条件访问。 - Tunnel 是一种虚拟专用网络(VPN)网关解决方案,适用于 Intune 托管设备和未注册但使用 Intune 托管应用的设备。 隧道使用 Microsoft Entra ID 进行身份验证和条件访问策略,以便移动设备访问本地应用程序。 - Tunnel for Intune |
2.3 使用实时监控的设备授权
条件访问是Microsoft云产品和服务的Zero Trust策略引擎。 通过在资源访问之前应用自适应控制,在 IdP 评估Zero Trust策略会推进符合性到连接 (C2C) 模型。 条件访问策略使用来自Microsoft Entra ID、Microsoft Defender XDR和Microsoft Intune的安全信号。
Microsoft Defender XDR组件通过使用机器学习(ML)检测来评估设备和标识风险级别,并通过启用动态、基于风险的决策来允许、阻止或控制对数据、应用程序、资产和服务(DAAS)的访问。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Advanced
2.3.1 实体活动监视 Pt1使用开发的用户和设备基线,DoD 组织利用实现的用户和实体行为活动(UEBA)解决方案来集成基线。 UEBA 设备属性和基线可用于设备授权检测。 结果: - UEBA 属性已集成到设备基线中 - UEBA 属性可用于设备访问 |
使用 Microsoft Intune 和 Microsoft Defender for Endpoint 管理设备,部署 Defender for Endpoint,并使用 Defender for Endpoint 的计算机风险评分配置设备合规性策略。 请参阅 Microsoft 指南 2.1.4。 条件访问 创建条件访问策略,这些策略要求设备合规才能访问应用程序。 请参阅 Microsoft 指南 2.2.1。 Microsoft Entra ID Protection 在 Microsoft Entra ID Protection 中配置用于标识风险级别的条件访问策略。 请参阅 User 中的 Microsoft 指南 1.6.1。 |
Advanced
2.3.2 实体活动监视 Pt2DoD 组织利用网络访问解决方案的用户和实体行为活动(UEBA)解决方案来授权 UEBA 属性(例如设备运行状况、登录模式等)访问环境和资源。 结果: - 设备访问必须具备 UEBA 属性 |
条件访问 在条件访问策略中使用符合 Intune 的设备状态、位置和标识风险信号。 使用设备筛选器基于设备属性以条件访问策略为目标。 请参阅 2.2.1 和 2.3.1 中的Microsoft指南。 |
Target
2.3.3 实现应用程序控制和文件完整性监视 (FIM) 工具DoD 组织采购并实施文件完整性监视(FIM)和应用程序控制解决方案。 FIM 继续开发和扩展数据支柱中的监视。 应用程序控制以仅监视模式部署到低风险环境中,以建立基线限额。 应用程序控制团队与企业和组织 PKI 环境进行集成,利用证书进行应用程序许可。 NextGen AV 涵盖所有可能的服务和应用程序 结果: - AppControl 和 FIM 工具在所有关键服务/应用程序上实现 - EDR 工具涵盖服务/应用程序 的最大数量 - AppControl 和 FIM 数据根据需要发送到 C2C |
Microsoft Defender for Endpoint Microsoft Defender for Endpoint 聚合来自文件完整性监控(FIM)、应用控制、下一代防病毒(NGAV)等的信号,用于机器风险评分。 - 下一代保护 - 托管设备的防病毒软件 - 控制的文件夹访问 Microsoft Intune 在 Microsoft Intune 中配置应用控制端点安全策略。 - 企业批准的应用程序 - Microsoft Defender AppControl 策略和文件规则 条件性访问 为实现合规到连接(C2C)模型,在条件性访问中集成应用程序与 Microsoft Entra ID,并要求合规设备授予控制。 请参阅 Microsoft 指南中的2.2.2。 |
Advanced
2.3.4 集成 NextGen AV 工具 C2CDoD 组织根据需要采购并实施下一代防病毒和反恶意软件解决方案。 这些解决方案与“合规连接”的初始部署集成,用于对签名、更新等进行基础状态检查。 结果: - 关键的下一代 AV 数据被发送到 C2C 进行检查 - NextGen AV 工具已部署在所有关键服务/应用程序中 |
Microsoft Intune 为防病毒和 Microsoft Defender for Endpoint 的计算机风险评分创建设备符合性策略。 - 用于终结点安全的防病毒策略 请参阅 Microsoft 在 2.2.2 中的指导。 |
Advanced
2.3.5 适当地将设备安全堆栈与 C2C 完全集成DoD 组织继续将应用程序控制部署到所有环境和处于预防模式。 文件完整性监视 (FIM) 和应用程序控制分析已集成到“实现连接”中,用于扩展访问决策的数据点。 符合连接的分析会评估包含 UEDM 在内的其他设备/终端安全堆栈数据点,并在必要时进行集成。 结果: - AppControl 和 FIM 部署已扩展到所有必要的服务/应用程序 - 使用 C2C 实现来自设备安全工具的剩余数据 |
完成活动 2.3.4。 Microsoft Defender for Cloud Apps 使用 Microsoft Defender for Cloud Apps 策略识别和控制有风险的云应用程序。 - 通过策略控制云应用程序 |
Advanced
2.3.6 企业 PKI Pt1DoD 企业公钥基础结构(PKI)已扩展,包括添加 NPE 和设备证书。 不支持 PKI 证书的 NPE 和设备被标记为退役,且开始进行退役操作。 结果: - 无法拥有证书的设备已逐步淘汰和/或移动到最小访问环境 - 所有设备和 NPE 都安装了证书,以便在企业 PKI 中进行身份验证 |
|
Advanced
2.3.7 企业 PKI Pt2DoD 组织利用证书进行设备身份验证和计算机到计算机通信。 不支持的设备的完全退役和例外批准采用基于风险的系统方法。 结果: - 需要设备进行身份验证才能与其他服务和设备通信 |
Microsoft Intune和条件访问 将应用程序集成到 Microsoft Entra ID 中,使用 Intune 管理设备,使用 Microsoft Defender for Endpoint 保护设备,以及配置合规性策略。 应制定包含计算机风险评分的 Defender for Endpoint 合规性策略。 在条件访问策略中需要控制合规性授予。 请参阅 Microsoft 指南中的 2.2.2。 |
2.4 远程访问
Microsoft Entra ID 是一个默认拒绝原则的标识提供者(IdP)。 如果使用 Microsoft Entra 进行应用程序登录,用户需要先进行身份验证并通过条件访问策略的检查,然后 Microsoft Entra 才会授权访问。 可以使用Microsoft Entra ID来保护云中或本地托管的应用程序。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.4.1 默认拒绝设备DoD 组织默认拒绝所有非托管远程和本地设备对资源的访问。 合规的托管设备根据 ZTA 目标级别概念提供基于风险的方法性访问。 结果: - 组件默认会阻止设备访问资源(应用/数据),并按策略显式允许合规设备访问 - 启用远程访问遵循“默认拒绝设备的策略”方法 |
默认情况下,访问受Microsoft Entra ID保护的应用程序和资源被拒绝。 资源访问需要符合条件访问策略的身份验证、活动权利和授权。
- 集成应用 - 应用集成 Microsoft Intune 使用 Intune 管理设备。 配置设备合规性策略。 要求条件访问策略对所有用户和应用程序使用合规设备。请参阅 2.2.1 中的 Microsoft 指南。 |
Target
2.4.2 托管和受限的 BYOD 和 IOT 支持DoD 组织利用统一终结点和设备管理(UEDM)以及类似的解决方案,以确保托管的自带设备(BYOD)和物联网(IoT)设备能够与企业身份提供者(IdP)完全集成,并支持用户和基于设备的授权。 所有应用程序的设备访问都需要动态访问策略。 结果: - 所有应用程序都需要设备的动态权限访问 - BYOD 和 IOT 设备权限已基线并与企业 IDP 集成 |
完成活动 2.4.1。 Microsoft Intune 使用 Intune 设备管理和移动应用管理,支持自带设备(BYOD)策略。 - 移动应用管理用于未注册设备 - 应用保护策略 条件访问 在条件访问中要求所有用户和应用程序符合设备和/或应用保护策略。 - 批准的客户端应用或应用保护策略 - Windows 设备上的应用保护策略 Microsoft Entra 外部 ID 配置跨租户访问设置以信任合作伙伴的合规设备控制。 - 跨租户访问设置用于B2B协作 Microsoft Defender for IoT 部署 Defender for IoT 传感器,以提高可见性,并监控和保护 IoT 以及运营技术(OT)设备。 确保设备软件是最新的,并更改本地密码。 请勿使用默认密码。 - Defender for IoT - IoT和OT安全采用Zero Trust - 美国国家网络安全策略保护IoT |
结果: - 只有符合强制配置标准的 BYOD 和 IOT 设备才允许访问资源 - 关键服务需要对设备进行动态管理访问 |
完成活动 2.4.2。Microsoft Defender for Cloud Apps 配置访问策略以要求客户端证书进行应用访问。 阻止从未经授权的设备进行访问。 请参阅 2.3.6 中的Microsoft指南。 |
Advanced
2.4.4 托管与完全自带设备办公 (BYOD) 和物联网 (IOT) 支持 Pt2国防部组织使用统一终端与设备管理 (UEDM) 及类似解决方案,来为通过设备检查和符合标准基线的非托管设备启用访问权限。 所有可能的服务/应用程序都集成,以允许访问托管设备。 非管理的设备基于风险驱动的方法性授权方法与服务/应用程序集成。 结果: - 所有可能的服务都需要对设备进行动态访问 |
Azure Virtual Desktop Deploy Azure Virtual Desktop(AVD)支持从非托管设备进行远程访问。 将 AVD 会话主机 VM 加入 Microsoft Entra 并使用 Microsoft Intune 管理合规性。 允许从非托管设备使用无密码或无密码且抗钓鱼的身份验证器登录到 AVD。 - Microsoft Entra 加入的 VMs 中的 AVD - 身份验证强度 Microsoft Defender for Cloud Apps 使用 Defender for Cloud Apps 会话控制监视和限制来自非托管设备的 Web 会话。 - 会话策略 |
2.5 部分和完全自动化的资产、漏洞和修补程序管理
Microsoft Intune支持基于云的和混合(共同管理)解决方案进行设备管理。 配置和合规性策略可确保设备满足组织的修补程序级别和安全配置要求。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.5.1 实现资产、漏洞和修补程序管理工具DoD 组织实现用于管理资产/设备配置、漏洞和修补程序的解决方案。 使用最低合规性标准(例如 STIG 等)团队可以确认或拒绝托管设备合规性。 作为解决方案的采购和实施过程的一部分,API 或其他编程接口将在未来的自动化和集成级别范围内。 结果: - 组件可以确认设备是否满足最低符合性标准 - 组件具有资产管理、漏洞和修补具有 API 的系统,这些 API 可实现跨系统的集成 |
Microsoft Intune 在 Intune 中管理设备。 请参阅 Microsoft 在 2.1.4 中的指导。 使用 Microsoft Intune 对旧式终结点设备进行共同管理。 - 终端管理 - 共同管理 为通过 Intune 管理的设备平台配置和更新策略。 - iOS 和 iPadOS 软件更新策略 - macOS 软件更新策略 - Android FOTA 更新 - Windows 10 和 11 更新 Microsoft Defender for Endpoint 将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成。 使用 Microsoft Intune 配置策略修正端点漏洞。 |
2.6 统一的终结点管理和移动设备管理
Microsoft Intune配置和符合性策略可确保设备满足组织安全配置要求。 Intune 评估合规性策略并将设备标记为合规或不合规。 条件访问策略可以使用设备符合性状态来阻止不符合设备的用户访问受Microsoft Entra ID保护的资源。
Microsoft Entra External ID 的跨租户访问设置包括来宾协作的信任设置。 可以为每个合作伙伴租户自定义这些设置。 信任来自另一个租户的合规设备后,在其主租户中使用这些合规设备的来宾满足要求你的租户中使用合规设备的条件访问策略。 无需设置条件访问策略的例外情况,以避免阻止外部来宾。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.6.1 实施 UEDM 或等效工具DoD 组织将与“实施资产、漏洞和修补程序管理工具”活动密切合作,以采购和实施统一终结点和Device Management(UEDM)解决方案,确保要求与采购过程集成。 采购解决方案后,UEDM 团队确保关键的 ZT 目标功能(如最低合规性、资产管理和 API 支持)到位。 结果: - 组件可以确认设备是否满足最低合规性标准 - 组件拥有用户设备(电话、台式机、笔记本电脑)的资产管理系统,这些系统维护 IT 合规性,并向国防部企业报告 - 资产管理系统可以通过编程方式(即 API),提供设备的合规性状态,并确认其是否符合最低标准 |
Complete activity 2.3.2. Microsoft Intune Device 符合性状态与标识提供者(IdP),Microsoft Entra ID,由 Intune 符合性信号集成到条件访问中。 在 Microsoft Entra 管理中心或使用 Microsoft Graph API 查看设备合规性状态。 - 合规策略 - Intune reports Microsoft Entra External ID 若要将设备合规性策略扩展到组织外部的用户,配置跨租户访问设置,以信任来自可信 DoD tenants 的 MFA 和合规设备声明。 - 跨租户访问 Microsoft Graph API Microsoft Graph API 查询设备合规性状态。 - 合规和隐私 API |
Target
2.6.2 企业设备管理 Pt1DoD组织将手动设备清单迁移至使用统一终端和设备管理解决方案的自动化方法。 无论位置如何,都能够管理已批准的设备。 涉及关键服务的设备必须由支持自动化的统一终端和设备管理方案进行管理。 Outcomes: - 人工库存与关键服务的自动化管理解决方案集成 - 从任何位置启用 ZT 设备管理(无论是否能够远程访问) |
Microsoft Intune 和条件访问 使用 Microsoft Intune 管理设备。 配置设备合规性策略。 要求符合设备条件访问策略。 请参阅 2.1.4 中的Microsoft指南。 |
Target
2.6.3 Enterprise Device Management Pt2DoD 组织将剩余设备迁移到 Enterprise Device Management 解决方案。 EDM 解决方案适当地与风险和合规性解决方案集成。 结果: - 手动库存与所有服务的自动化管理解决方案集成 |
Microsoft Intune 和条件访问 使用 Intune 管理设备。 配置设备合规性策略。 要求在条件访问策略中使用合规设备。 请参阅 Microsoft 在 2.1.4 中提到的指南。 |
2.7 终端和扩展检测与响应(EDR 和 XDR)
Microsoft Defender XDR统一防御套件协调跨终结点、标识、电子邮件和应用程序的检测、预防、调查和响应。 Microsoft Defender XDR组件检测和防御复杂的攻击。
Microsoft Defender XDR组件的集成将保护扩展到设备之外。 请参阅Microsoft Entra ID Protection中导致用户风险级别的示例检测事件:
- Microsoft Defender Office检测到可疑的电子邮件发送模式
- Microsoft Defender for Cloud Apps中不可能的旅行检测
- 尝试访问Microsoft Defender for Endpoint检测到的主刷新令牌
基于风险的条件访问策略可以保护、限制或阻止访问有风险用户的云服务,即使他们在受信任的网络上使用合规设备也是如此。
若要了解详细信息,请参阅启用 Microsoft Defender XDR 组件和什么是风险?
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
2.7.1 实现终结点检测和响应工具(EDR)并与 C2C 集成DoD 组织在环境中采购并实施终结点检测和响应(EDR)解决方案。 EDR 保护、监视和响应启用 ZT 目标功能的恶意和异常活动,并将数据发送到”符合连接”解决方案,以用于扩展的设备和用户检查。 结果: - 实现 终结点检测和响应工具 - 关键 EDR 数据正在发送到 C2C 进行检查 - NextGen AV 工具涵盖最大数量的服务/应用程序 |
适用于最终用户设备的 Microsoft Defender for Endpoint 部署 Defender for Endpoint。 参见本节中的 Microsoft 指南 2.3.1。 Microsoft Intune 配置 Intune 设备符合性策略。 包括 Defender for Endpoint 的计算机风险评分,用于策略合规。 请参阅 Microsoft 指南 2.1.4。 和 2.3.2. Microsoft Defender for Cloud 启用 Azure 中虚拟机 (VM) 订阅的 Microsoft Defender for Server。 Defender for Server 计划包括 Defender for Cloud for servers. - Defender for Servers 使用已启用Azure Arc的服务器来管理和保护Windows和 Linux 物理服务器和Azure外部的 VM。 为托管在Azure外部的服务器部署Azure Arc代理。 将已启用 Arc 的服务器加入由 Microsoft Defender for Server 保护的订阅中。 - Azure Arc 启用的服务器 - Azure Connected Machine 代理 |
Target
2.7.2 实施扩展检测和响应(XDR)工具并与 C2C Pt1 集成DoD 组织负责采购和实施扩展检测和响应(XDR)解决方案。 根据风险确定与跨支柱能力的集成点,并设置优先级。 对于这些集成点中风险最大者,进行相关措施并启动集成。 EDR 继续覆盖端点,以包括 XDR 实施中最大数量的服务和应用程序。 基本分析从 XDR 解决方案堆栈发送到 SIEM。 结果: - 已根据功能识别集成点 - 将风险最高的集成点与 XDR 集成 - 使用 SIEM 和/或其他机制设置了基本告警 |
Microsoft Defender XDR Pilot 并部署 Microsoft Defender XDR 组件和服务. - Defender XDR - Sentinel 和 Defender XDR for Zero Trust 配置已部署的 Microsoft Defender XDR 组件的集成. - Defender for Endpoint 与 Defender for Cloud Apps - Defender for Identity 和 Defender for Cloud Apps - Purview Information Protection 和 Defender for Cloud Apps Microsoft Sentinel 配置 Sentinel 数据连接器以用于 Microsoft Defender XDR。 启用分析规则。 - 安装 Defender XDR - 将 Defender XDR 数据连接到 Sentinel |
Advanced
2.7.3 实施扩展检测和响应(XDR)工具,并与 C2C Pt2 集成XDR 解决方案堆栈完成集成点的识别,最大程度地扩展覆盖范围。 使用基于风险的方法性方法跟踪和管理异常,以便继续操作。 启用 ZT 高级功能的扩展分析已集成到 SIEM 和其他适当的解决方案中。 结果: - 所有剩余集成点已被适当地集成 - 已启用与其他分析工具的扩展警报和响应,至少包括 SIEM |
Microsoft Defender XDR 在您的安全运营策略中使用 Microsoft Defender XDR。 - 将 Defender XDR 整合到安全运营中 |
后续步骤
为 DoD Zero Trust 策略配置Microsoft云服务: