Estrategia de Confianza cero del DoD para la automatización y la orquestación

El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.

Use los vínculos siguientes para ir a las secciones de la guía.

Introducción
Usuario
Dispositivo
Aplicaciones y cargas de trabajo
Datos
Red
Automatización y orquestación
Visibilidad y análisis

6 Automatización y orquestación

En esta sección se incluyen orientaciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de automatización y orquestación. Para más información, consulte visibilidad, automatización y orquestación con Confianza cero.

6.1 Punto de decisión de directiva (PDP) y orquestación de directivas

Microsoft Sentinel tiene orquestación de seguridad, automatización y respuesta (SOAR) a través de recursos basados en la nube. Automatice la detección y las respuestas a los ciberataques. Sentinel se integra con Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure y plataformas que no son de Microsoft. Estas integraciones extensibles permiten a Sentinel coordinar las acciones de detección y respuesta de ciberseguridad en todas las plataformas, lo que aumenta la eficacia de las operaciones de seguridad.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.1.1 Desarrollo e inventario de directivasLa empresa del DoD trabaja con las organizaciones para catalogar e inventariar las directivas y estándares de ciberseguridad existentes. Las políticas se actualizan y crean en actividades inter-pilares según sea necesario para satisfacer la funcionalidad crítica del objetivo de "Confianza Cero". Resultados: - Se han recopilado directivas en referencia al cumplimiento y el riesgo aplicables (por ejemplo, RMF, NIST)- Se han revisado las directivas para los pilares y funcionalidades que faltan según ZTRA- Se han actualizados las áreas que faltan de las directivas para satisfacer las funcionalidades según ZTRA	Administrador de cumplimiento de Microsoft PurviewUse Administrador de cumplimiento de Microsoft Purview para evaluar y administrar el cumplimiento en un entorno multinube.Compliance Manager Azure, Dynamics 365, Microsoft PurviewSoporte multinubeMicrosoft Defender for CloudUsa las funciones de cumplimiento normativo de Defender for Cloud para ver y mejorar el cumplimiento de las iniciativas de Azure Policy en un entorno multinube.Mejorar el cumplimiento normativoFedRAMP High Cumplimiento NormativoCumplimiento Normativo NIST SP 800-53 Rev. 5Cumplimiento CMMCMicrosoft SentinelEl centro de contenido de Sentinel tiene soluciones para visualizar y medir el progreso con requisitos de seguridad específicos del dominio.Catálogo del centro de contenido de SentinelLibro Sentinel DoD ZTSolución NIST SP 800-53
6.1.2 Perfil de acceso de la organizaciónLas organizaciones del DoD desarrollan perfiles de acceso básicos para el acceso DAAS de misión o tarea y de no misión o tarea mediante los datos de los pilares Usuario, Datos, Red y Dispositivo. La empresa del DoD trabaja con las organizaciones para desarrollar un perfil de seguridad empresarial mediante los perfiles de seguridad de la organización existentes para crear un enfoque de acceso común a DAAS. Se puede usar un enfoque por fases en las organizaciones para limitar el riesgo del acceso DAAS crítico para misiones o tareas una vez que se crean los perfiles de seguridad. Resultados: - Se crean perfiles con ámbito de la organización para determinar el acceso a DAAS mediante funcionalidades de los pilares Usuario, Datos, Red y Dispositivo- El estándar de acceso inicial del perfil de empresa se desarrolla para el acceso a DAAS- Siempre que sea posible, los perfiles de la organización usan servicios empresariales disponibles en los pilares Usuario, Datos, Red y Dispositivo	Acceso condicionalDefina conjuntos de directivas DoD estandarizadas con acceso condicional. Incluya la fuerza de autenticación, el cumplimiento de dispositivos, así como los controles de riesgo de usuario y de inicio de sesión. Acceso condicional
6.1.3 Perfil de seguridad empresarial, parte 1El perfil de seguridad empresarial abarca inicialmente los pilares Usuario, Datos, Red y Dispositivo. Los perfiles de seguridad de la organización existentes se integran para el acceso DAAS que no sea de misión o tarea.Resultados:- Los perfiles de empresa se crean para acceder a DAAS mediante funcionalidades de pilares Usuario, Datos, Red y Dispositivo- Los perfiles de la organización que no son críticos para la tarea o la misión se integran con los perfiles empresariales mediante un enfoque estandarizado	Completa la actividad 6.1.2. Microsoft Graph API Utiliza Microsoft Graph API para administrar e implementar directivas de acceso condicional, opciones de acceso entre inquilinos y otras opciones de configuración de Microsoft Entra. Acceso mediante programaciónAPI de configuración de acceso entre inquilinosCaracterísticas y servicios de Graph
6.1.4 Perfil de seguridad empresarial, parte 2Existe el número mínimo de perfiles de seguridad empresarial que conceden acceso a la gama más amplia de DAAS en los pilares de las organizaciones del DoD. Los perfiles de la organización para la misión y la tarea se integran con los perfiles de seguridad empresarial y las excepciones se administran en un enfoque metódico basado en riesgos. Resultados: - Los perfiles empresariales se han reducido y simplificado para ofrecer una amplia gama de acceso a DAAS. Cuando es apropiado, los perfiles críticos para la misión y la tarea se han integrado y admitido. Los perfiles de organización son considerados la excepción.	Acceso condicional Use la información de Acceso Condicional y el libro de informes para ver cómo afectan las directivas de Acceso Condicional a la organización. Si es posible, combine directivas. Un conjunto de directivas simplificado facilita la administración, la solución de problemas y las pruebas de nuevas características de acceso condicional. Puede usar plantillas de acceso condicional para simplificar las directivas.Conclusiones e informesPlantillasUse la herramienta What If y el modo de solo informe para solucionar problemas y evaluar nuevas directivas.Solución de problemas de acceso condicionalModo de solo informeReduzca la dependencia de la organización de ubicaciones de red de confianza. Use ubicaciones de país o región determinadas por coordenadas GPS o dirección IP para simplificar las condiciones de ubicación en las directivas de acceso condicional.Condiciones de ubicaciónAtributos de seguridad personalizadosUse atributos de seguridad personalizados y filtros de aplicación en las directivas de acceso condicional para definir el ámbito de la autorización de atributo de seguridad asignada a los objetos de aplicación, como la confidencialidad.Atributos de seguridad personalizadosFiltrado de aplicaciones

6.2 Automatización de procesos críticos

La automatización de Microsoft Sentinel ejecuta tareas que normalmente son llevadas a cabo por analistas de seguridad de nivel 1. Las reglas de automatización usan Azure Logic Apps, para ayudarle a desarrollar flujos de trabajo detallados y automatizados que mejoran las operaciones de seguridad. Por ejemplo, el enriquecimiento de incidentes: enlazar con fuentes de datos externas para detectar actividad malintencionada.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.2.1 Análisis de la automatización de tareasLas organizaciones del DoD identifican y enumeran todas las actividades de tareas que se pueden ejecutar manualmente y de forma automatizada. Las actividades de tareas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultados: - Se identifican las tareas que se pueden automatizar- Se enumeran las tareas- Inventario y desarrollo de directivas	Actividad 6.1.1. Azure Resource Manager Use plantillas de ARM y Azure Blueprints para automatizar las implementaciones usando infraestructura como código (IaC). - ARM templates - Azure Blueprints Azure Policy Organizar las asignaciones de Azure Policy mediante sus definiciones de iniciativa. - Azure Policy - Definiciones de iniciativa Microsoft Defender for Cloud Implementar estándares regulatorios y puntos de referencia de Defender for Cloud. - Asignar estándares de seguridad Gobierno de Microsoft Entra ID Definir catálogos de paquetes de acceso para establecer estándares para las asignaciones y revisiones de paquetes de acceso. Desarrollar flujos de trabajo del ciclo de vida de identidades mediante Azure Logic Apps para automatizar el proceso de incorporación de nuevos empleados, traslados, bajas y otras tareas automatizables. - Recursos de administración de derechos - Acceso de usuario externo - Despliegue de revisión de acceso - Crear flujos de trabajo del ciclo de vida
6.2.2 Integración empresarial y aprovisionamiento de flujos de trabajo, parte 1La empresa del DoD establece integraciones de línea de base dentro de la solución de respuesta automatizada de orquestación de seguridad (SOAR) necesarias para habilitar la funcionalidad ZTA de nivel de destino. Las organizaciones del DoD identifican los puntos de integración y priorizan los clave según la línea de base empresarial del DoD. Las integraciones críticas se producen al satisfacer los servicios clave, lo que habilita las funcionalidades de recuperación y protección. Resultados: - Implementación de integraciones empresariales completas- Identificación de las integraciones clave- Identificación de los requisitos de recuperación y protección	Microsoft Sentinel Conectar orígenes de datos pertinentes a Sentinel para habilitar reglas de análisis. Incluir conectores para Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Protección de Microsoft Entra ID, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, eventos de seguridad con Azure Monitor Agent (AMA) y otras API, orígenes de datos Syslog o de formato común de eventos (CEF). - Conectores de datos de Sentinel - UEBA en Sentinel Microsoft Defender XDR Configurar integraciones de componentes de Microsoft Defender XDR implementados y conectar Microsoft Defender XDR a Sentinel. - Conectar datos de XDR de Defender a Sentinel Consulte la guía de Microsoft 2.7.2 en Dispositivo. Use XDR de Defender para buscar, investigar, alertar y responder a amenazas - Investigación y respuesta automatizadas
6.2.3 Integración empresarial y aprovisionamiento de flujos de trabajo, parte 2Las organizaciones del DoD integran los servicios restantes para satisfacer los requisitos de línea de base y los requisitos avanzados de funcionalidad de ZTA según corresponda en cada entorno. El aprovisionamiento de servicios se integra y se automatiza en flujos de trabajo donde se requieren funcionalidades objetivo de ZTA. Resultados: - Servicios identificados- Se implementa el aprovisionamiento de servicios	Microsoft Defender XDR Microsoft Defender XDR protege identidades, dispositivos, datos y aplicaciones. Use XDR de Defender para configurar integraciones de componentes - XDR - remediaciones de Defender XDR Microsoft Sentinel Conectar nuevos orígenes de datos a Sentinel y habilitar reglas de análisis estándar y personalizadas. - SOAR en Sentinel

6.3 Aprendizaje automático

Microsoft Defender XDR y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Use integraciones de Microsoft Defender XDR, Microsoft Intune, Protección de Microsoft Entra ID y acceso condicional para usar señales de riesgo para aplicar directivas de acceso adaptable.

Obtenga información sobre la pila de seguridad de Microsoft y el aprendizaje automático, Preparándose para Security Copilot en las Nubes del Gobierno de EE. UU..

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 6.3.1 Implementar etiquetado de datos y Classification ML Tools
DoD Organizations usan los estándares y requisitos existentes de clasificación y etiquetado de datos para adquirir soluciones Machine Learning según sea necesario. Machine Learning soluciones se implementan en organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis. Resultado: - Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de aprendizaje automático Microsoft Purview
Configurar el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (aplicaciones de Microsoft Office), y en el Mapa de datos de Microsoft Purview.
- Etiquetas de sensibilidad en el Mapa de datos

Consulte las guías de Microsoft 4.3.4 y 4.3.5 en Datos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 6.3.1 Implementar etiquetado de datos y Classification ML Tools DoD Organizations usan los estándares y requisitos existentes de clasificación y etiquetado de datos para adquirir soluciones Machine Learning según sea necesario. Machine Learning soluciones se implementan en organizaciones y los repositorios de datos etiquetados y clasificados existentes se usan para establecer líneas base. Las soluciones de aprendizaje automático aplican etiquetas de datos en un enfoque supervisado para mejorar continuamente el análisis. Resultado: - Las herramientas de clasificación y etiquetado de datos implementadas se integran con las herramientas de aprendizaje automático	Microsoft Purview Configurar el etiquetado automático en Microsoft Purview para el lado del servicio (Microsoft 365) y el lado cliente (aplicaciones de Microsoft Office), y en el Mapa de datos de Microsoft Purview. - Etiquetas de sensibilidad en el Mapa de datos Consulte las guías de Microsoft 4.3.4 y 4.3.5 en Datos.

6.4 Inteligencia artificial

Microsoft Defender XDR y Microsoft Sentinel usan inteligencia artificial (IA), aprendizaje automático (ML) e inteligencia sobre amenazas para detectar y responder a amenazas avanzadas. Las integraciones entre Microsoft Defender XDR, Microsoft Intune, Protección de Microsoft Entra ID y acceso condicional le ayudan a usar señales de riesgo para aplicar directivas de acceso adaptable.

Obtenga información sobre la pila de seguridad y la inteligencia artificial de Microsoft, Preparing for Security Copilot in US Government Clouds.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.4.1 Implementación de herramientas de automatización de IALas organizaciones del DoD identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la inteligencia artificial. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos. Resultados: - Desarrollo de requisitos de herramientas de inteligencia artificial- Adquisición e implementación de herramientas de inteligencia artificial	Fusion en Microsoft Sentinel Fusion es una regla avanzada de análisis de detección de ataques de varias fases en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y alta gravedad. - Avanzada detección de ataques de varias fases - Anomalías personalizables - Reglas de análisis de detección de anomalías Protección de Microsoft Entra ID La protección de identidad utiliza algoritmos de aprendizaje automático (AA) para detectar y corregir riesgos basados en la identidad. Habilite Protección de Microsoft Entra ID para crear directivas de acceso condicional para riesgos de usuario e inicio de sesión. - Protección de Microsoft Entra ID - Configure y habilite directivas de riesgo Azure DDoS Protection Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación en cuestión y ajustar el perfil a medida que cambia el tráfico. - Azure DDoS Protection
6.4.2 La inteligencia artificial controlada por análisis decide las modificaciones de A&OLas organizaciones del DoD que usan las funciones de aprendizaje automático existentes implementan y usan tecnología de inteligencia artificial como redes neuronales para impulsar las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo. Resultado: - La inteligencia artificial puede realizar cambios en las actividades de flujo de trabajo automatizadas	Microsoft Sentinel Habilitar las reglas analíticas para detectar ataques multinivel avanzados con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñe reglas de automatización y cuadernos de estrategias para la respuesta de seguridad.Vea la guía de Microsoft en 6.2.3 y 6.4.1.

Descripción y resultado de la actividad de DoD

Guía y recomendaciones de Microsoft

6.4.1 Implementación de herramientas de automatización de IALas organizaciones del DoD identifican áreas de mejora basadas en técnicas de aprendizaje automático existentes para la inteligencia artificial. Las soluciones de inteligencia artificial se identifican, adquieren e implementan mediante las áreas identificadas como requisitos. Resultados: - Desarrollo de requisitos de herramientas de inteligencia artificial- Adquisición e implementación de herramientas de inteligencia artificial

Fusion en Microsoft Sentinel
Fusion es una regla avanzada de análisis de detección de ataques de varias fases en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas, de lo contrario difíciles de detectar. Los incidentes son de bajo volumen, alta fidelidad y alta gravedad.
- Avanzada detección de ataques de varias fases
- Anomalías personalizables
- Reglas de análisis de detección de anomalías

Protección de Microsoft Entra ID
La protección de identidad utiliza algoritmos de aprendizaje automático (AA) para detectar y corregir riesgos basados en la identidad. Habilite Protección de Microsoft Entra ID para crear directivas de acceso condicional para riesgos de usuario e inicio de sesión.
- Protección de Microsoft Entra ID
- Configure y habilite directivas de riesgo

Azure DDoS Protection
Azure DDoS Protection usa la generación de perfiles de tráfico inteligente para obtener información sobre el tráfico de la aplicación en cuestión y ajustar el perfil a medida que cambia el tráfico.
- Azure DDoS Protection

6.4.2 La inteligencia artificial controlada por análisis decide las modificaciones de A&OLas organizaciones del DoD que usan las funciones de aprendizaje automático existentes implementan y usan tecnología de inteligencia artificial como redes neuronales para impulsar las decisiones de automatización y orquestación. La toma de decisiones se traslada a la inteligencia artificial tanto como sea posible a fin de liberar al personal humano para otros esfuerzos. Mediante el uso de patrones históricos, la inteligencia artificial realizará cambios anticipados en el entorno para reducir mejor el riesgo. Resultado: - La inteligencia artificial puede realizar cambios en las actividades de flujo de trabajo automatizadas

Microsoft Sentinel
Habilitar las reglas analíticas para detectar ataques multinivel avanzados con anomalías de Fusion y UEBA en Microsoft Sentinel. Diseñe reglas de automatización y cuadernos de estrategias para la respuesta de seguridad.Vea la guía de Microsoft en 6.2.3 y 6.4.1.

6.5 Orquestación, Automatización y Respuesta de Seguridad (SOAR)

Microsoft Defender XDR tiene funcionalidades de detección y respuesta con detecciones estándar y personalizables. Amplíe la funcionalidad mediante las reglas de análisis de Microsoft Sentinel para activar acciones de orquestación, automatización y respuesta de seguridad (SOAR) con Azure Logic Apps.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.5.1 Análisis de la automatización de respuestasLas organizaciones del DoD identifican y enumeran todas las actividades de respuestas que se pueden ejecutar manualmente y de forma automatizada. Las actividades de respuestas se organizan en categorías automatizadas y manuales. Las actividades manuales se analizan para su posible retirada. Resultado: - Se identifican las actividades de respuesta que se pueden automatizar- Las actividades de respuesta se enumeran	Microsoft Defender XDR Microsoft Defender XDR tiene acciones de respuesta automáticas y manuales para incidentes de archivos y dispositivos. - Incidents en Defender XDR
Implementar herramientas SOAR La empresa del DoD que trabaja con organizaciones desarrolla un conjunto estándar de requisitos para la orquestación, automatización y respuesta de seguridad (SOAR) para habilitar las funciones ZTA de nivel objetivo. Las organizaciones del DoD usan los requisitos aprobados para adquirir e implementar la solución SOAR. Se completan las integraciones de infraestructura básicas para la funcionalidad SOAR futura. Resultados: - Desarrollo de requisitos para la herramienta SOAR- Obtención de la herramienta SOAR	Microsoft Defender XDR Utilice las funcionalidades de respuesta estándar de Microsoft Defender XDR. Consulte la guía de Microsoft 6.5.1. Microsoft Sentinel Sentinel usa Azure Logic Apps para la funcionalidad SOAR. Use Logic Apps para crear y ejecutar flujos de trabajo automatizados con poco o ningún código. Use Logic Apps para conectarse e interactuar con recursos fuera de Microsoft Sentinel. Cuadernos de estrategias con reglas de automatizaciónAutomatización de la respuesta a amenazas con cuadernos de estrategias
6.5.3 Implementación de cuadernos de estrategiasLas organizaciones del DoD revisan todos los cuadernos de estrategias existentes para identificar la automatización futura. Se están desarrollando guías de procedimientos para los procesos existentes, tanto manuales como automatizados, donde no existen. Las guías operativas tienen prioridad para integrarse mediante automatización con las actividades de flujos de trabajo automatizados que cubren procesos críticos. Los procesos manuales sin cuadernos de estrategias se autorizan mediante un enfoque metódico basado en riesgos.Resultados:- Siempre que sea posible, automatice los cuadernos de estrategias basados en la funcionalidad de flujos de trabajo automatizados- Se desarrollan e implementan cuadernos de estrategias manuales	Microsoft Sentinel Visualización de los procesos de seguridad actuales y uso de procedimientos recomendados en Microsoft Cloud Adoption Framework (CAF). Para ampliar las funcionalidades SOAR, cree y personalice cuadernos de estrategias. Comience con las plantillas del libro de jugadas de Sentinel. - Operaciones de seguridad - Marco de procesos de SOC - Libros de jugadas a partir de plantillas

6.6 Normalización de API

Microsoft Graph API tiene una interfaz estándar para interactuar con los servicios en la nube de Microsoft. Azure API Management puede proteger las API hospedadas por la organización.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.6.1 Análisis de cumplimiento de herramientasLas herramientas y soluciones de automatización y orquestación se analizan para el cumplimiento y las funcionalidades basadas en el estándar y los requisitos de la interfaz de programación de la empresa del DoD. Se identifican más herramientas o soluciones para admitir los estándares y requisitos de las interfaces programáticas. Resultados: - El estado de la API determina el cumplimiento o la no conformidad con los estándares de API- Se identifican las herramientas que se van a usar	Microsoft Graph security API Microsoft Defender, Microsoft Sentinel y Microsoft Entra tienen documentadas las API. - API de seguridad - Trabaje con Microsoft Graph - API de protección de identidad Siga los procedimientos recomendados para las API desarrolladas por su organización. - Interfaz de programación de aplicaciones - Diseño de API web RESTful
6.6.2 Llamadas API estandarizadas y esquemas, parte 1La empresa del DoD trabaja con las organizaciones para establecer una interfaz programática (por ejemplo, API) estándar y los requisitos según sea necesario para habilitar las funcionalidades de ZTA de destino. Las organizaciones del DoD actualizan las interfaces programáticas al nuevo estándar y exigen herramientas recién adquiridas o desarrolladas para satisfacer el nuevo estándar. Las herramientas que no pueden cumplir el estándar se permiten con una excepción mediante un enfoque metódico basado en riesgos. Resultados: - Se implementan las llamadas iniciales y los esquemas- Se reemplazan las herramientas no compatibles	Complete la actividad 6.6.1. Azure API Management Utilice Azure API Management como puerta de enlace de API para comunicarse con las API y crear un esquema de acceso coherente para varias API. - Azure API Management Herramientas de Azure Automation Orqueste acciones de Confianza cero mediante las herramientas de Azure Automation. - Integración y automatización en Azure
6.6.3 Llamadas API estandarizadas y esquemas, parte 2Las organizaciones del DoD completan la migración al nuevo estándar de interfaz de programación. Las herramientas marcadas para la retirada en la actividad anterior se retiran y las funciones se migran a herramientas modernizadas. Los esquemas aprobados se adoptan en función del estándar o los requisitos de la empresa del DoD. Resultado: - Todas las llamadas y esquemas han sido implementados	Microsoft Sentinel Use Sentinel como motor de orquestación para desencadenar y ejecutar acciones en las herramientas de automatización citadas en este documento. - Automate respuesta a amenazas con cuadernos de estrategias

6.7 Centro de operaciones de seguridad (SOC) y respuesta a incidentes (IR)

Microsoft Sentinel es una solución de administración de casos para investigar y administrar incidentes de seguridad. Para automatizar acciones de respuesta de seguridad, conecte soluciones de inteligencia sobre amenazas, implemente soluciones de Sentinel, habilite el análisis de comportamiento de entidades de usuario (UEBA) y cree cuadernos de estrategias con Azure Logic Apps.

Aprenda cómo aumentar la madurez del SOC, investigue los incidentes de Sentinel y gestione los casos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
6.7.1 Enriquecimiento del flujo de trabajo, parte 1La empresa del DoD trabaja con las organizaciones para establecer un estándar de respuesta a incidentes de ciberseguridad mediante procedimientos recomendados del sector como NIST. Las organizaciones del DoD usan el estándar empresarial para determinar los flujos de trabajo de respuesta a incidentes. Se identifican orígenes externos de enriquecimiento para su futura integración. Resultados: - Se identifican eventos de amenazas- Se desarrollan flujos de trabajo para eventos de amenazas	Conectores de datos de Microsoft SentinelEnriquezca los flujos de trabajo de Sentinel conectando Microsoft Defender Threat Intelligence a Sentinel.Conector de datos para Defender Threat IntelligenceSoluciones de Microsoft SentinelUse las soluciones de Sentinel para revisar los procedimientos recomendados del sector.Solución NIST 800-53Solución CMMS 2.0Libros de trabajo de DoD ZT SentinelContenido y soluciones de Sentinel
6.7.2 Enriquecimiento del flujo de trabajo, parte 2Las organizaciones del DoD identifican y establecen flujos de trabajo extendidos para tipos de respuesta a incidentes adicionales. Se usan los orígenes de datos de enriquecimiento inicial para los flujos de trabajo existentes. Se identifican orígenes de enriquecimiento adicionales para futuras integraciones. Resultados: - Se desarrollan flujos de trabajo para eventos de amenazas avanzados- Se identifican eventos de amenazas avanzados	Microsoft Sentinel Utilice la detección avanzada de ataques de varias fases en Fusion y las reglas de análisis de detección de anomalías de UEBA en Microsoft Sentinel, para desencadenar cuadernos de estrategias de respuesta de seguridad automatizadas. Consulte la guía de Microsoft 6.2.3 y 6.4.1 en esta sección. Para enriquecer los Flujos de Trabajo de Sentinel, conecte Microsoft Defender Threat Intelligence y otras soluciones de inteligencia sobre amenazas a Microsoft Sentinel. - Conectar plataformas de inteligencia sobre amenazas a Sentinel - Conectar Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII Consulte la guía de Microsoft 6.7.1.
6.7.3 Enriquecimiento del flujo de trabajo, parte 3Las organizaciones del DoD usan orígenes de datos de enriquecimiento finales en flujos de trabajo de respuesta a amenazas básicas y extendidas. Resultados: - Se han identificado datos de enriquecimiento- Los datos de enriquecimiento se integran en flujos de trabajo	Microsoft SentinelAgrega entidades para mejorar los resultados de inteligencia sobre amenazas en Sentinel.Tareas para administrar incidentes en SentinelEnriquecer entidades con datos de geolocalizaciónEnriquece los flujos de trabajo de investigación y gestiona incidentes en Sentinel.Tareas para administrar incidentes en SentinelEnriquecer entidades con datos de geolocalización
6.7.4 Flujo de trabajo automatizado Las organizaciones del DoD se centran en automatizar las funciones y playbooks de orquestación, automatización y respuesta de seguridad (SOAR). Los procesos manuales dentro de las operaciones de seguridad se identifican y se automatizan completamente si es posible. Los procesos manuales restantes se retiran cuando sea posible o se marcan para la excepción mediante un enfoque basado en riesgos.Resultados:- Los procesos de flujo de trabajo están totalmente automatizados- Los procesos manuales se han identificado- Los procesos restantes se marcan como excepciones y se documentan	Microsoft Sentinel guiones Los guiones de Sentinel se basan en Logic Apps, un servicio en la nube que programa, automatiza y orquesta tareas y flujos de trabajo en todos los sistemas empresariales. Cree cuadernos de estrategias de respuesta con plantillas e implemente soluciones desde el centro de contenido de Sentinel. Cree reglas de análisis personalizadas y acciones de respuesta con Azure Logic Apps. - Libros de estrategias de Sentinel a partir de plantillas - Automatizar la respuesta a amenazas con libros de estrategias - Catálogo del centro de contenido de Sentinel - Azure Logic Apps

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.

Introducción
Usuario
Dispositivo
Aplicaciones y cargas de trabajo
Datos
Red
Automatización y orquestación
Visibilidad y análisis

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-06