DoD 针对可见性和分析支柱的零信任策略

DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。

本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。

使用以下各链接,转到指导的各节。

7 可见性和分析

本节包含 Microsoft 对可见性和分析支柱中 DoD 零信任活动的指导和建议。 若要了解详细信息,请参阅零信任模型下的可见性、自动化和编排

7.1 记录所有流量

Microsoft Sentinel 是可缩放的云原生安全信息和事件管理 (SIEM) 系统。 此外,Sentinel 还是一种可保障编排、自动化和响应 (SOAR) 安全的解决方案,用于处理来自各种来源的大量数据。 Sentinel 数据连接器跨用户、设备、应用程序和基础设施、本地和多个云引入数据。

DoD 活动说明和结果 Microsoft 指导和建议
Target 7.1.1 缩放注意事项
DoD 组织会执行分析,以确定当前和未来的缩放需求。 遵循常见的行业最佳做法方法和 ZT 支柱分析缩放。 该团队与现有的业务连续性规划 (BCP) 和灾难恢复规划 (DPR) 小组合作,确定紧急情况下和组织发展过程中的分布式环境需求。

结果
设置就绪的充足基础设施
- 成功建立分布式环境
- 应对网络流量的充足带宽
Microsoft Sentinel
Sentinel 使用 Log Analytics 工作区来存储安全日志数据以供分析。 Log Analytics 是 Azure 中的平台即服务 (PaaS)。 没有需要管理或生成的基础结构。
- 工作区体系结构
- 工作区体系结构最佳做法
- 降低 Sentinel 的成本

Azure Monitor 代理
使用适用于虚拟机 (VM) 的 Azure Monitor 代理的流式传输日志也会连接本地和其他云中的设备。
- 使用 AMA 的 Windows 安全活动
- 以 CEF 和 Syslog 格式流式传输日志
- 数据收集
- Azure Monitor 代理性能基线
- 可缩放的引入

网络基础结构
确保网络基础设施满足 Microsoft 365 的带宽要求和本地服务器基于云的安全监控。
- Microsoft 365 网络连接
- 网络规划和性能调优
- Azure ExpressRoute
- 已连接计算机代理网络要求

Azure 中的业务连续性管理
Azure 拥有适用于多个行业的成熟业务连续性管理计划。 查看业务连续性管理和职责划分。
- 业务连续性管理
- 可靠性指南

Target 7.1.2 日志分析
国防部组织识别日志和流源(如防火墙、端点检测和响应、Active Directory、交换机、路由器等),确定其优先级,并制定依次收集高优先级日志和低优先级日志的计划。 已在 DoD 企业级别与组织就开放行业标准日志格式达成一致,并会在将来的采购要求中实施。 持续将现有解决方案和技术迁移到该格式。

结果
- 标准化日志格式
- 为每个日志格式制定的规则
Microsoft Sentinel 数据连接器
将相关数据源连接到 Sentinel。 启用和配置分析规则。 数据连接器使用标准化日志格式。
- 监视零信任安全体系结构
- 创建 Sentinel 自定义连接器
- Azure Monitor 中的日志引入 API

请参阅自动化和编排中的 Microsoft 指南 6.2.2

使用通用事件格式 (CEF) 对日志记录执行标准化处理,这是安全供应商用于平台之间事件互操作性的行业标准。 对于不支持 CEF 日志的系统使用 Syslog。
- 带有适用于 Sentinel 的 Azure Monitor 连接器的 CEF
- 通过 Azure Monitor 将 Syslog 和 CEF 消息引入 Sentinel

使用高级安全信息模型 (ASIM)(公共预览版),通过规范化架构收集和查看来自多个源的数据。
- 用于对数据执行标准化处理的 ASIM

Target 7.1.3 日志分析
根据风险识别常见的用户和设备活动并确定优先级。 被认为最简单且风险最大的活动是使用不同的数据源(例如日志)创建分析。 根据收集的分析制定趋势和模式,以在较长时间内观察活动。

结果
- 根据活动开发分析
- 确定要分析的活动
完成活动 7.1.2。

Microsoft Defender XDR
Microsoft Defender XDR 是一款统一的破坏前/后企业防御套件,它以本机方式协调各终结点、标识、电子邮件和应用程序中的威胁检测、阻止、调查和响应。 使用 Defender XDR 防范和响应复杂攻击。
- 调查警报
- Defender XDR 零信任
- 美国政府的 Defender XDR

Microsoft Sentinel
使用工作簿开发自定义分析查询并可视化收集的数据。
- 用于检测威胁的自定义分析规则
- 可视化收集的数据

7.2 安全信息和事件管理

Microsoft Defender XDR 和 Microsoft Sentinel 协同工作来检测、发出警报并响应安全威胁。 Microsoft Defender XDR 可检测 Microsoft 365、标识、设备、应用程序和基础设施中的威胁。 Defender XR 在 Microsoft Defender 门户中生成警报。 将警报和原始数据从 Microsoft Defender XDR 连接到 Sentinel,并使用高级分析规则来关联事件并生成高保真警报事件。

DoD 活动说明和结果 Microsoft 指导和建议
Target 7.2.1 威胁警报第 1 部分
DoD 组织利用现有的安全信息和事件管理 (SIEM) 解决方案来针对常见威胁事件(恶意软件、网络钓鱼等)制定基本规则和警报系统会将警报和/或规则触发馈送到并行的“资产 ID 和警报关联”活动中,以实现响应的自动化。

结果
- 为威胁关联制定的规则
Microsoft Defender XDR
Microsoft Defender XDR 针对跨多平台终结点、标识、电子邮件、协作工具、应用程序和云基础设施检测到的威胁发出警报。 平台会自动将相关警报聚合到事件中,以简化安全评审流程。
- 调查警报

Microsoft Sentinel 分析规则
为连接的数据源启用标准分析规则并创建自定义分析规则以检测 Sentinel 中的威胁。

请参阅 7.1.3 中的 Microsoft 指南。

Target 7.2.2 威胁警报第 2 部分
DoD 组织扩展了安全信息和事件管理 (SIEM) 解决方案中的威胁警报,以囊括网络威胁情报 (CTI) 数据源。 已在 SIEM 中制定偏差和异常规则来检测高级威胁。

结果
- 制定分析以检测偏差
Microsoft Sentinel 威胁情报
将网络威胁情报 (CTI) 源连接到 Sentinel。
- 威胁情报

请参阅自动化和编排中的 Microsoft 指南 6.7.1 和 6.7.2。

Microsoft Sentinel 解决方案
使用 Microsoft Sentinel 内容中心中的分析规则和工作簿。
- Sentinel 内容和解决方案

Microsoft Sentinel 分析规则
创建计划的分析规则以检测偏差、创建事件并触发安全编排、自动化和响应 (SOAR) 操作。
- 自定义分析规则以检测威胁

Advanced 7.2.3 威胁警报第 3 部分
威胁警报已扩展为包括高级数据源,例如扩展检测和响应 (XDR)、用户和实体行为分析 (UEBA) 以及用户活动监控 (UAM)。 这些高级数据源用于开发经过优化的异常和模式活动检测。

结果
- 识别触发异常事件
- 实现触发策略
Microsoft Sentinel 数据连接器
将 Microsoft Defender XDR 连接到 Sentinel 以聚合警报、事件和原始数据。
- 将 Defender XDR 连接到 Sentinel

Microsoft Sentinel 可自定义异常
使用 Microsoft Sentinel 可自定义异常模板,通过异常检测规则减少干扰
- 用于检测威胁的可自定义异常

Microsoft Sentinel 中的 Fusion
Fusion 引擎会关联高级多阶段攻击的警报。
- Fusion 引擎检测

请参阅自动化和编排中的 Microsoft 指南 6.4.1。

Target 7.2.4 资产 ID 和警报关联
DoD 组织使用资产和警报数据制定基本关联规则。 已在安全信息和事件管理 (SIEM) 解决方案中对常见威胁事件(例如恶意软件、网络钓鱼等)的响应实现自动化。

结果
- 为基于资产 ID 的响应制定的规则
Microsoft Defender XDR
Microsoft Defender XDR 可跨多平台终结点、标识、电子邮件、协作工具、应用程序和云基础设施关联信号。 使用 Microsoft Defender 自动调查和响应功能配置自我修复。
- Microsoft Defender XDR
- 自动调查和响应

Microsoft Sentinel 实体

发送到 Sentinel 或由 Sentinel 生成的警报包含 Sentinel 分类为实体的数据项:用户帐户、主机、文件、进程、IP 地址、URL。 使用实体页面查看实体信息、分析行为并改进调查。
- 使用实体对数据进行分类和分析
- 调查实体页面

Target 7.2.5 用户/设备基线
DoD 组织根据相应支柱的 DoD 企业标准制定用户和设备基线方法。 基线中使用的属性取自跨支柱活动中开发的企业范围标准。

结果
- 确定用户和设备基线
Microsoft Sentinel 数据连接器
为 Sentinel 建立数据引入基线。 至少包括 Microsoft Entra ID 和 Microsoft Defender XDR 连接器、配置标准分析规则并启用用户实体行为分析 (UEBA)
- 将 Defender XDR 连接到 Sentinel
- 启用 UEBA


Azure Lighthouse
配置 Azure Lighthouse 以跨多个租户管理 Sentinel 工作区。
- 将 Sentinel 扩展到工作区和租户
- 国防组织的多租户运营

7.3 常见安全和风险分析

Microsoft Defender XDR 具有标准威胁检测、分析和警报功能。 使用 Microsoft Sentinel 可自定义的近实时分析规则来帮助关联、检测跨连接数据源的异常并生成警报。

DoD 活动说明和结果 Microsoft 指导和建议
Target 7.3.1 实现分析工具
DoD 组织采购和实施基本的以网络为中心的分析工具。 根据风险和复杂性确定分析开发工作的优先级,优先寻找简单且有影响力的分析。 持续分析开发更注重支柱要求,以更好地满足报告需求。

结果
- 制定分析环境要求
- 采购和实施分析工具

Microsoft Defender XDR 和 Microsoft Sentinel
配置 Microsoft Defender XDR 和 Sentinel 的集成。
- Microsoft Defender XDR
- 实施 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任
Target 7.3.2 建立用户基线行为
利用并行活动中为用户和设备制定的分析数据,在技术解决方案中建立基线。 最初,我们会根据风险,将这些基线应用于一组已识别的用户,然后将适用范围扩展到更大的 DoD 组织用户群。 已将使用的技术解决方案与机器学习功能集成,以开始自动化。

结果
- 确定基线的用户
- 建立基于 ML 的基线
Microsoft Defender XDR
Microsoft Defender XDR 集成的自动检测和响应是前沿防线。 用户和设备支柱中的指南根据 Microsoft Intune(设备合规性)和条件访问(合规设备和标识风险)中的 Microsoft Defender XDR 信号建立基线行为并强制执行策略。

请参阅用户设备中的 Microsoft 指南。

Microsoft Sentinel 分析规则
使用 Sentinel 关联事件、检测威胁和触发响应操作。 将相关数据源连接到 Sentinel,并创建准实时分析规则,以检测数据引入期间的威胁。
- 检测威胁

请参阅 7.2.5 中的 Microsoft 指南。

Microsoft Sentinel 笔记本
构建自定义的 ML 模型,以使用 Jupyter 笔记本和自带机器学习 (BYO-ML) 平台分析 Sentinel 数据。
- 将 BYO-ML 引入 Sentinel
- Jupyter 笔记本和 MSTICPy

7.4 用户和实体行为分析

Microsoft Defender XDR 和 Microsoft Sentinel 使用用户实体行为分析 (UEBA) 检测异常。 使用 Fusion、UEBA 和机器学习 (ML) 分析规则检测 Sentinel 中的异常。 此外,Sentinel 还与 Azure Notebooks (Jupyter Notebook) 集成,以实现自带机器学习 (BYO-ML) 和可视化功能。

DoD 活动说明和结果 Microsoft 指导和建议
Target 7.4.1 基线和分析第 1 部分
利用并行活动中为用户和设备开发的分析,为典型用户和设备类型创建通用配置文件。 更新从基线获取的分析,以查看更大的容器、配置文件。

结果:
- 开发分析以检测不断变化的威胁条件
- 识别用户和设备威胁配置文件
Microsoft Defender XDR
访问 Microsoft Defender 门户,了解事件、警报、报告和威胁分析的统一视图。 使用 Microsoft 安全功能分数来评估和改进安全状况。 创建自定义检测,以监视和响应 Microsoft Defender XDR 中的安全事件。
- Microsoft Defender 门户
- 使用安全功能分数评估安全状况

- 自定义检测


Microsoft Sentinel
使用工作簿来可视化和监视数据。 创建自定义分析规则并启用异常检测以识别不断变化的威胁状况并发出警报。
- 可视化和监视数据
- 自定义分析以检测威胁

- 自定义异常以检测威胁

Advanced 7.4.2 基线和配置文件第 2 部分
DoD 组织通过数据输出监控扩展基线和配置文件,以涵盖非托管和非标准设备类型,包括物联网 (IoT) 和运营技术 (OT)。 再次根据标准化属性和用例对这些设备进行分析。 分析已更新,以相应地考虑新的基线和配置文件,从而实现进一步的检测和响应。 特定的有风险的用户和设备会自动确定优先级,以便根据风险加强监控。 已集成检测和响应与跨支柱功能。

结果
- 为 IoT 和 OT 设备添加威胁配置文件
- 开发和扩展分析
- 将威胁配置文件扩展到单个用户和设备
Microsoft Defender XDR
使用 Microsoft Defender for Endpoint 发现和保护非托管设备。
- 设备发现
- 附加租户以支持 Intune 的终结点安全策略
- 保护托管和非托管设备的安全
- 经身份验证的网络设备扫描
- 非托管 Windows 设备经过身份验证的扫描

Microsoft Defender for IoT
在运营技术 (OT) 网络中部署 Microsoft Defender for IoT。 Defender for IoT 支持云、本地和混合 OT 网络的无代理设备监视。 为环境基线启用学习模式并将 Defender for IoT 连接到 Microsoft Sentinel。
- 适用于组织的 Defender for IoT
- 监视 OT
- 已了解的 OT 警报的基线
- 连接 Defender for IoT 与 Sentinel
- 调查包含实体页的实体

Advanced 7.4.3 UEBA 基线支持第 1 部分
DoD 组织内的用户和实体行为分析 (UEBA) 将监控扩展到机器学习 (ML) 等高级分析。 这些结果随后会被审核并馈送到机器学习算法中,以改进检测和响应。

结果
- 实现基于 ML 的分析来检测异常
完成活动 7.3.2。

Microsoft Sentinel 分析规则
Sentinel 使用两个模型来创建基线并检测异常、UEBA 和机器学习。
- 检测到的异常

UEBA 异常
UEBA 基于动态实体基线检测异常。
- 启用 UEBA
- UEBA 异常

机器学习异常
机器学习异常通过标准分析规则模板识别异常行为。
- ML 异常

Advanced 7.4.4 UEBA 基线支持第 2 部分
DoD 组织内的用户和实体行为分析 (UEBA) 通过将传统和基于机器学习 (ML) 的结果馈送至人工智能 (AI) 算法来完成其扩展。 最初基于 AI 的检测会受到监督,但最终我们使用神经网络等先进技术,使用此技术,UEBA 操作员便无需参与到学习过程中。

结果
- 实现基于 ML 的分析来检测异常(受监督的 AI 检测)
Microsoft Sentinel 中的 Fusion
在 Sentinel 中使用 Fusion 分析规则中的高级多阶段攻击检测。 Fusion 是一个经过 ML 训练的关联引擎,可检测多阶段攻击和高级持续性威胁 (APT)。 可以识别异常行为和可疑活动的组合,否则很难捕获。
- 高级多阶段攻击检测

Microsoft Sentinel 笔记本
构建自己的自定义 ML 模型,以使用 Jupyter 笔记本和自带机器学习 (BYO-ML) 平台分析 Microsoft Sentinel 数据。
- 将 BYO-ML 引入 Sentinel
- Jupyter 笔记本和 MSTICPy

7.5 威胁情报集成

Microsoft Defender 威胁情报简化了来自 Microsoft 威胁专家和其他来源的分类、事件响应、威胁搜寻、漏洞管理和网络威胁情报 (CTI)。 Microsoft Sentinel 已与 Microsoft Defender 威胁情报和第三方 CTI 源连接。

DoD 活动说明和结果 Microsoft 指导和建议
Target 7.5.1 网络威胁智能计划第 1 部分
DoD 企业部与各组织合作制定网络威胁智能 (CTI) 计划政策、标准和流程。 组织利用此文档来组件具有关键使命/任务利益干系人的组织 CTI 团队。 CTI 团队将常见数据源与安全信息和事件管理 (SIEM) 集成,以改进警报和响应。 创建与设备和网络执行点(例如防火墙、端点安全套件等)的集成,以对 CTI 驱动的数据进行基本监视。

结果
- 网络威胁情报团队已组建完毕,其中包括关键的利益干系人
SIEM 使用公共和基线 CTI 源进行警报
- 基本集成点与设备和网络执行点一起存在(例如 NGAV、NGFW、NG-IPS)
Microsoft Defender 威胁情报将 Defender 威胁情报和其他威胁情报源连接到 Sentinel。

- Defender 威胁情报
- 为 Defender 威胁情报启用数据连接器
- 将威胁情报平台连接到 Sentinel

Azure 网络
将网络资源与 Microsoft Sentinel 集成。
- 使用 Sentinel 与 Azure Web 应用防火墙
- 适用于 Sentinel 的 Azure 防火墙

Target 7.5.2 网络威胁情报计划第 2 部分
DoD 组织扩大其网络威胁情报 (CTI) 团队,酌情纳入新的利益干系人。 已将经过身份验证、私有和受控的 CTI 数据源集成到安全信息和事件管理 (SIEM) 以及设备、用户、网络和数据支柱的执行点中。

结果
- 网络威胁情报团队组建完毕,并酌情与更多利益干系人合作
SIEM 和其他适当的分析工具正在利用受控和私有源来进行警报和监控
- 已为设备、用户、网络和数据支柱(UEBA、UAM)内的扩展执行点实现集成
Microsoft Sentinel 数据连接器
使用 REST API 管理 Azure 中的网络资源。 使用 Sentinel 剧本和逻辑应用程序与网络执行点建立基本集成。
- 虚拟网络 REST 操作
- 使用 Sentinel playbook 执行威胁响应

在 Sentinel playbook 存储库中查找其他网络执行点的 playbook。
- GitHub 中的 Sentinel playbook

7.6 自动动态策略

Microsoft 安全堆栈使用机器学习 (ML) 和人工智能 (AI) 来保护身份、设备、应用程序、数据和基础设施。 借助 Microsoft Defender XDR 和条件访问,ML 检测可以为用户和设备建立总体风险级别。

使用设备风险将设备标记为不合规。 在标识风险级别的要求下,组织需要采用防网络钓鱼的身份验证方法、使用合规设备、增加登录频率等。 使用风险条件和条件访问控制来实施自动化的条件访问策略。

DoD 活动说明和结果 Microsoft 指导和建议
Advanced 7.6.1 支持 AI 的网络访问
DoD 组织利用 SDN 基础设施和企业安全配置文件来实现人工智能 (AI)/机器学习 (ML) 驱动的网络访问。 通过针对过往活动的分析教授 AI/ML 算法,从而改进决策。

结果
- 网络访问由基于环境分析的 AI 所驱动
Microsoft Defender XDR
Microsoft Defender XDR 中的自动攻击中断限制了横向移动。 此操作可以减少勒索软件攻击的影响。 Microsoft 安全研究人员使用 AI 模型来化解使用 Defender XDR 的高级攻击的复杂性。 该解决方案将信号与高可信度事件相关联,以实时识别和遏制攻击。
- 攻击中断

Microsoft Defender SmartScreen 和 Web 保护中的网络保护功能扩展到操作系统,以阻止命令和控制 (C2) 攻击。
- 保护网络
- 用于中断人为勒索软件的 AI

使用 Azure 防火墙可视化防火墙活动、通过 AI 调查功能检测威胁、关联活动并自动执行响应操作。

-
Advanced 7.6.2 已启用 AI 的动态访问控制
DoD 组织利用以前基于规则的动态访问来教授人工智能 (AI)/机器学习 (ML) 算法,以做出对各种资源的访问决策。 “采用 AI 的网络访问”活动算法已更新,以使所有 DAAS 能够做出更广泛的决策。

结果
- 集成 JIT/JEA 与 AI
条件访问
需要在 Microsoft Intune 合规性策略中应用 Microsoft Defender for Endpoint 计算机风险级别。 在条件访问策略中使用设备合规性和 Microsoft Entra ID 保护风险条件。
- 基于风险的访问策略
- 用于为 Intune 托管设备设置规则的合规性策略

Privileged Identity Management
使用身份保护风险级别和设备合规性信号来定义特权访问的身份验证上下文。 需要 PIM 请求的身份验证上下文来强制执行即时 (JIT) 访问策略

请参阅本节中的 Microsoft 指南 7.6.1 和用户中的 1.4.4。

后续步骤

为 DoD 零信任策略配置 Microsoft 云服务: