Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Red
- Automatización y orquestación
- Visibilidad y análisis
7 Visibilidad y análisis
En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de DoD Confianza cero en el pilar de visibilidad y análisis. Para obtener más información, consulte Visibilidad, automatización y orquestación con Confianza cero.
7.1 Registrar todo el tráfico
Microsoft Sentinel es un sistema de administración de eventos de información de seguridad (SIEM) escalable y nativo de la nube. Además, Sentinel es una solución de orquestación de seguridad, automatización y respuesta (SOAR) para controlar grandes volúmenes de datos de varios orígenes. Los conectores de datos de Sentinel ingieren datos entre usuarios, dispositivos, aplicaciones e infraestructura, locales y en varias nubes.
| Descripción de la actividad y resultado del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
| 7.1.1 Consideraciones de escaladoLas organizaciones DoD realizan análisis para determinar las necesidades actuales y futuras de escalado. El escalado se analiza siguiendo los métodos de procedimientos recomendados comunes del sector y los pilares ZT. El equipo trabaja con grupos existentes de planificación de continuidad empresarial (BCP) y planeamiento de recuperación ante desastres (DPR) para determinar las necesidades del entorno distribuido en situaciones de emergencia y a medida que crecen las organizaciones. Resultados:- Infraestructura suficiente establecida- Entorno distribuido establecido- Ancho de banda suficiente para el tráfico de red |
Microsoft Sentinel Sentinel usa un área de trabajo de Log Analytics para almacenar los datos del registro de seguridad para su análisis. Log Analytics es una plataforma como servicio (PaaS) en Azure. No hay ninguna infraestructura para administrar o construir. - Arquitectura de Workspace - Mejores prácticas de la arquitectura de Workspace - Reduzca los costos para Sentinel Azure Monitor Agent Transmita registros mediante Azure Monitor Agent para máquinas virtuales (VM) y también para dispositivos de red locales y en otras nubes. - Eventos de seguridad de Windows con AMA - Transmitir registros en formato CEF y Syslog - Recolección de datos - Benchmark de rendimiento del agente de Azure Monitor - Ingestión escalable Infraestructura de red Asegúrese de que la infraestructura de red cumpla con los requisitos de ancho de banda para Microsoft 365 y la supervisión de seguridad en la nube para servidores locales. - Conectividad de red de Microsoft 365 - Planificación y ajuste de rendimiento de la red - Azure ExpressRoute - Requisitos de red del agente de máquina conectada Gestión de la continuidad del negocio en Azure Azure ha consolidado programas de gestión de continuidad empresarial para varios sectores. Revisar la administración de la continuidad empresarial y la división de responsabilidades.Administración de continuidad empresarialGuía de confiabilidad |
Target
7.1.2 Análisis de registrosLas organizaciones DoD identifican y priorizan los orígenes de registros y flujos (por ejemplo, firewalls, Detección y Respuesta de Puntos de Conexión, Active Directory, conmutadores, enrutadores, etc.) y desarrollen un plan para la recopilación de registros, primero los de alta prioridad y luego los de baja. Se acuerda un formato de registro estándar abierto de la industria a nivel del Departamento de Defensa en colaboración con las Organizaciones y se implementará en futuros requisitos de adquisición. Las soluciones y tecnologías existentes se migran al formato de forma continua. Resultados:- Formatos de registro estandarizados- Reglas desarrolladas para cada formato de registro |
Conectores de datos de Microsoft Sentinel Conecta orígenes de datos pertinentes a Sentinel. Habilitar y configurar reglas de análisis. Los conectores de datos usan formatos de registro estandarizados. - Supervisar arquitecturas de seguridad de Confianza cero - Crear conectores personalizados de Sentinel - API de Ingestión de Registros en Azure Monitor Consulte la guía de Microsoft 6.2.2 en Automatización y orquestación. Estandarice el registro con el Common Event Format (CEF), un estándar del sector que usan los proveedores de seguridad para la interoperabilidad de eventos entre plataformas. Utilice Syslog para sistemas que no admiten registros en CEF. - CEF con conector de Azure Monitor para Sentinel - Ingestar Syslog y mensajes CEF a Sentinel con Azure Monitor Utilice el Modelo de Información de Seguridad Avanzada (ASIM) (Versión Preliminar Pública) para recopilar y ver datos de varios orígenes con un esquema normalizado. - ASIM para normalizar los datos |
| 7.1.3 Análisis de registroLas actividades comunes de usuario y dispositivo se identifican y priorizan en función del riesgo. Las actividades consideradas más sencillas y arriesgadas cuentan con análisis creados a partir de distintos orígenes de datos, como los registros. Las tendencias y los patrones se desarrollan en función del análisis recopilado para examinar las actividades durante períodos de tiempo más largos. Resultados:- Desarrollo de análisis por actividad- Identificación de actividades que se van a analizar |
Completa la actividad 7.1.2. Microsoft Defender XDR Microsoft Defender XDR es un conjunto unificado de defensa empresarial pre y post infección que coordina la detección, prevención, investigación y respuesta de forma nativa entre puntos de conexión, identidades, correo electrónico y aplicaciones. Use XDR de Defender para protegerse y responder a ataques sofisticados. - Investigar alertas - Confianza Cero con Defender XDR - Defender XDR para el gobierno de EE.UU. Microsoft Sentinel Desarrollar consultas de análisis personalizadas y visualizar datos recopilados mediante libros de trabajo. - Reglas de análisis personalizadas para detectar amenazas - Visualizar datos recopilados |
7.2 Administración de eventos e información de seguridad
Microsoft Defender XDR y Microsoft Sentinel funcionan conjuntamente para detectar, alertar y responder a amenazas de seguridad. Microsoft Defender XDR detecta amenazas en Microsoft 365, identidades, dispositivos, aplicaciones e infraestructura. Defender XR genera alertas en el portal de Microsoft Defender. Conecte alertas y datos sin procesar de Microsoft Defender XDR a Sentinel y use reglas de análisis avanzadas para correlacionar eventos y generar incidentes para alertas de alta fidelidad.
| Descripción y resultado de la actividad del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
| 7.2.1 Alertas de amenazas Parte 1. Las organizaciones del Departamento de Defensa utilizan la solución existente de administración de eventos e información de seguridad (SIEM) para desarrollar reglas y alertas básicas para eventos comunes de amenazas (malware, suplantación de identidad, etc.). Las alertas o activaciones de reglas se introducen en la actividad paralela "Identificación de activos y correlación de alertas" para iniciar la automatización de las respuestas. Resultado:- Se desarrollan reglas para la correlación de amenazas |
Microsoft Defender XDR Microsoft Defender XDR tiene alertas de amenazas detectadas en puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. La plataforma agrega alertas relacionadas a incidentes automáticamente para simplificar la revisión de seguridad. - Investigar alertas Reglas de análisis de Microsoft Sentinel Aplicar reglas de análisis estándar para orígenes de datos conectados y crear reglas de análisis personalizadas para detectar amenazas en Sentinel. Consulte la guía de Microsoft en 7.1.3. |
| 7.2.2 Alertas de amenazas Parte 2 Las organizaciones del DoD expanden las alertas de amenazas en la solución de Gestión de Información y Eventos de Seguridad (SIEM) para incluir las fuentes de datos de Inteligencia sobre amenazas cibernéticas (CTI). Las reglas de desviación y anomalía se desarrollan en el SIEM para detectar amenazas avanzadas. Resultado:- Desarrollo de análisis para detectar desviaciones | |
| 7.2.3 Alertas de amenazas Parte3Se expande para incluir orígenes de datos avanzados, como Detección extendida y respuesta (XDR), Análisis de comportamiento de usuario y entidad (UEBA) y Supervisión de actividad de usuario (UAM). Estos orígenes de datos avanzados se usan para desarrollar detecciones anómalas y de actividad de patrones mejoradas. Resultados:- Identificación de eventos anómalos desencadenadores- Implementación de la directiva de desencadenamiento |
Conectores de datos de Microsoft Sentinel Conecta Microsoft Defender XDR a Sentinel para agregar alertas, incidentes y datos sin procesar. - Conectar Defender XDR a Sentinel Anomalías personalizables de Microsoft Sentinel Usa las plantillas de anomalías personalizables de Microsoft Sentinel para reducir el ruido con reglas de detección de anomalías - Anomalías personalizables para detectar amenazas Fusión en Microsoft Sentinel El motor de Fusión correlaciona las alertas de ataques avanzados de varias fases. - Detecciones del motor de Fusión Consulta la guía de Microsoft 6.4.1 en Automatización y orquestación. |
| 7.2.4 ID de activo y correlación de alertas Las organizaciones de DoD desarrollan reglas de correlación básicas mediante datos de activos y alertas. La respuesta a eventos comunes de amenazas (por ejemplo, malware, phishing, etc.) se automatiza dentro de la solución Administración de eventos e información de seguridad (SIEM). Resultado:- Se desarrollan reglas para respuestas basadas en identificadores de recursos |
Microsoft Defender XDR Microsoft Defender XDR correlaciona las señales entre puntos de conexión, identidades, correo electrónico, herramientas de colaboración, aplicaciones e infraestructura en la nube. Configure la autocorrección con las capacidades de investigación y respuesta automatizadas de Microsoft Defender. - Microsoft Defender XDR - Investigación y respuesta automatizadas Entidades de Microsoft Sentinel Las alertas que son enviadas a, o generadas por Sentinel, contienen elementos de datos que Sentinel clasifica como entidades: cuentas de usuario, hosts, archivos, procesos, direcciones IP, direcciones URL. Use páginas de entidades para ver la información de las entidades, analizar el comportamiento y mejorar las investigaciones. Clasificar y analizar datos usando entidades. Investigar en las páginas de entidades. |
| 7.2.5 Líneas base de usuario y dispositivoLas organizaciones de DoD desarrollan enfoques de línea de base de usuario y dispositivo en función de los estándares empresariales de DoD para el pilar adecuado. Los atributos utilizados en la creación de la línea base se extraen de los estándares de toda la empresa desarrollados en actividades transversales a los pilares. Resultado:- Identificación de líneas base de usuario y dispositivo |
Conectores de datos de Microsoft Sentinel Establecer una base de ingesta de datos para Sentinel. Como mínimo, incluya conectores de Microsoft Entra ID y Microsoft Defender XDR, configure reglas de análisis estándar y habilite el análisis de comportamiento de entidades de usuario (UEBA). - Conectar Defender XDR a Sentinel - Habilitar UEBA Azure Lighthouse Configure Azure Lighthouse para administrar áreas de trabajo de Sentinel en varios tenants. - Extender Sentinel entre áreas de trabajo y tenants - Operaciones multitenant para organizaciones de defensa |
7.3 Análisis de riesgos y seguridad comunes
Microsoft Defender XDR tiene detecciones de amenazas estándar, análisis y alertas. Use las reglas personalizables de análisis en casi tiempo real de Microsoft Sentinel para ayudar a correlacionar, detectar y generar alertas sobre anomalías en los orígenes de datos conectados.
| Descripción y resultado de la actividad del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
| 7.3.1 Implementación de herramientas de análisisLas organizaciones de DoD adquieren e implementan herramientas básicas de análisis centrados en ciberamenazas. El desarrollo de análisis se prioriza en función del riesgo y la complejidad, buscando primero análisis que sean fáciles de ejecutar y tengan un alto impacto. El desarrollo de análisis continuo se centra en los requisitos de Pilar para satisfacer mejor las necesidades de informes. Resultados:- Desarrollo de requisitos para de entorno analítico- Adquisición e implementación de herramientas analíticas |
Microsoft Defender XDR y Microsoft Sentinel Configurar la integración de Microsoft Defender XDR y Sentinel. - XDR de Microsoft Defender - Sentinel y XDR de Microsoft Defender para Confianza cero |
| 7.3.2 Establecimiento de comportamientos de línea base de usuarioAl usar el análisis desarrollado para usuarios y dispositivos en una actividad paralela, las líneas base se establecen en una solución técnica. Estas líneas base se aplican a un conjunto identificado de usuarios en función del riesgo inicialmente y, a continuación, se expanden a la base de usuarios de la organización de DoD más grande. La solución técnica que se usa se integra con la funcionalidad de aprendizaje automático para comenzar la automatización. Resultados:- Identificación de usuarios para línea base- Establecimiento de líneas base basadas en ML |
Microsoft Defender XDR Microsoft Defender XDR detección y respuesta automatizada integrada es una primera línea de defensa. Las instrucciones de los pilares Usuario y Dispositivo establecen el comportamiento de línea de base y aplican directivas con señales de Microsoft Defender XDR en Microsoft Intune (cumplimiento de dispositivos) y Acceso Condicional (riesgo relacionado con la identidad y el dispositivo conforme). Consulte las instrucciones de Microsoft en User y Device. Reglas de análisis de Microsoft Sentinel Use Sentinel para correlacionar eventos, detectar amenazas y desencadenar acciones de respuesta. Conecte los orígenes de datos pertinentes a Sentinel y cree reglas de análisis casi en tiempo real para detectar amenazas durante la ingesta de datos. - Detectar amenazas Consulte las directrices de Microsoft en 7.2.5. Cuadernos de Microsoft Sentinel Construya modelos de ML personalizados para analizar los datos de Sentinel usando Jupyter Notebooks y la plataforma de llevar su propio aprendizaje automático (BYO-ML). - BYO-ML en Sentinel - Jupyter Notebooks y MSTICPy |
7.4 Análisis de comportamiento de usuarios y entidades
Microsoft Defender XDR y Microsoft Sentinel detectan anomalías mediante el análisis de comportamiento de entidades de usuario (UEBA). Detecte anomalías en Sentinel con reglas de análisis de Fusion, UEBA y aprendizaje automático (ML). Además, Sentinel se integra con Azure Notebooks (Jupyter Notebook) para la funcionalidad de llevar tu propio aprendizaje automático (BYO-ML) y visualización.
| Descripción y resultado de la actividad del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
| 7.4.1 Línea base y generación de perfiles Parte1Al usar el análisis desarrollado para usuarios y dispositivos en una actividad paralela, se crean perfiles comunes para tipos de usuario y dispositivo típicos. Los análisis realizados a partir de la línea base se actualizan para examinar contenedores y perfiles más grandes. resultados:- Desarrollo de análisis para detectar condiciones de amenaza cambiantes- Identificación de perfiles de amenazas de usuario y dispositivo |
Microsoft Defender XDR Visit the Microsoft Defender portal para obtener una vista unificada de incidentes, alertas, informes y análisis de amenazas. Use Puntuación de seguridad de Microsoft para evaluar y mejorar la posición de seguridad. Cree detecciones personalizadas para supervisar y responder a eventos de seguridad en Microsoft Defender XDR. - Microsoft Defender portal - Evaluar la postura de seguridad con Puntuación de Seguridad - Detecciones personalizadas Microsoft Sentinel Usar libros de trabajo para visualizar y supervisar datos. Cree reglas de análisis personalizadas y habilite la detección de anomalías para identificar y alertar sobre las condiciones de amenaza cambiantes.Visualizar y supervisar datosAnálisis personalizado para detectar amenazasPersonalizar anomalías para detectar amenazas |
| 7.4.2 Línea de base y generación de perfiles Parte2Las organizaciones de DoD expanden líneas base y perfiles para incluir tipos de dispositivos no administrados y no estándar, incluidos Internet de las cosas (IoT) y la tecnología operativa (OT) mediante la supervisión de la salida de datos. Estos dispositivos se vuelven a perfilar basados en atributos estandarizados y casos de uso. Los análisis se actualizan para tener en cuenta las nuevas líneas base y los perfiles, lo que permite más detecciones y respuestas. Los usuarios y dispositivos de riesgo específicos se priorizan automáticamente para aumentar la supervisión en función del riesgo. La detección y la respuesta se integran con funcionalidades transversales. resultados:- Adición de perfiles de amenazas para dispositivos IoT y OT- Desarrollo y ampliación de análisis- Extensión de perfiles de amenazas a usuarios y dispositivos individuales |
Microsoft Defender XDR Descubre y protege dispositivos no administrados con Microsoft Defender para punto de conexión. - Descubrimiento de dispositivos - Conexión de inquilino para admitir políticas de seguridad de punto final desde Intune - Proteger dispositivos administrados y no administrados - Escaneo de dispositivos de red autenticados - Escaneo autenticado de dispositivos Windows no administrados Microsoft Defender para IoT Desplegar sensores de Defender para IoT en redes de tecnología operativa (OT) Defender para IoT admite la supervisión de dispositivos sin agente para redes de OT híbridas, locales y en la nube. Habilite el modo de aprendizaje para una línea base del entorno y conecte Defender para IoT a Microsoft Sentinel. - Defender para IoT para organizaciones - Supervisión de OT - Línea base de alertas de OT aprendida - Conectar Defender para IoT con Sentinel - Investigar entidades con páginas de entidad |
Advanced
7.4.3 Compatibilidad con la línea base UEBA Pt1Análisis de Comportamiento de Usuarios y Entidades (UEBA) dentro de organizaciones del Departamento de Defensa amplía la supervisión a análisis avanzados, como Aprendizaje Automático (ML). Estos resultados se revisan y devuelven a los algoritmos de aprendizaje automático para mejorar la detección y la respuesta. Resultado:- Implementación del análisis basado en ML para detectar anomalías |
|
| 7.4.4 Soporte de línea base UEBA Parte 2: El análisis de comportamiento de usuarios y entidades (UEBA) dentro de las organizaciones del DoD completa su expansión mediante la aplicación combinada de resultados tradicionales y basados en aprendizaje automático (ML) para su integración en algoritmos de inteligencia artificial (IA). Inicialmente, las detecciones basadas en IA son supervisadas, pero finalmente, utilizando técnicas avanzadas como redes neuronales, los operadores de UEBA no forman parte del proceso de aprendizaje. Resultado:- Implementación del análisis basado en ML para detectar anomalías (detecciones de IA supervisadas) |
Fusion en Microsoft Sentinel Utilice la avanzada detección de ataques multietapa en la regla de análisis de Fusion, en Sentinel. Fusion es un motor de correlación entrenado por ML que detecta ataques de varias fases y amenazas persistentes avanzadas (APT). Identifica combinaciones de comportamientos anómalos y actividades sospechosas, que de otro modo son difíciles de detectar. - Detección avanzada de ataques de múltiples etapas Notebooks de Microsoft Sentinel Construya sus propios modelos de ML personalizados para analizar los datos de Microsoft Sentinel mediante los notebooks de Jupyter y la plataforma BYO-ML. - BYO-ML en Sentinel - Jupyter Notebooks y MSTICPy |
7.5 Integración de inteligencia sobre amenazas
Microsoft Defender Inteligencia sobre amenazas simplifica la evaluación de prioridades, la respuesta a incidentes, la búsqueda de amenazas, la administración de vulnerabilidades y la inteligencia sobre amenazas cibernéticas (CTI) de expertos en amenazas de Microsoft y otros orígenes. Microsoft Sentinel se conecta a Microsoft Defender Threat Intelligence y a orígenes CTI de terceros.
| Descripción y resultado de la actividad del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
| 7.5.1 Programa de Inteligencia de amenazas cibernéticas Parte1La empresa de DoD trabaja con las organizaciones para desarrollar una política, estándar y proceso del programa de Inteligencia sobre amenazas cibernéticas (CTI). Las organizaciones usan esta documentación para desarrollar equipos CTI de la organización con las principales partes interesadas de la misión o tarea. Los equipos de CTI integran fuentes comunes de datos con la administración de eventos e información de seguridad (SIEM) para mejorar las alertas y la respuesta. Se crean integraciones con puntos de cumplimiento de dispositivos y redes (por ejemplo, firewalls, conjuntos de seguridad de puntos de conexión, etc.) para llevar a cabo la supervisión básica de los datos controlados por CTI. Resultados: - El equipo de inteligencia sobre amenazas cibernéticas está establecido con las partes interesadas críticas - Las fuentes de CTI públicas y de línea base son utilizadas por SIEM para generar alertas - Existen puntos de integración básicos con puntos de aplicación de dispositivos y redes (por ejemplo, NGAV, NGFW, NG-IPS) | |
| 7.5.2 Programa de Inteligencia de amenazas cibernéticas Parte2Las organizaciones de DoD expanden sus equipos de Inteligencia sobre amenazas cibernéticas (CTI) para incluir nuevas partes interesadas según corresponda. Las fuentes de datos CTI autenticadas, privadas y controladas se integran en la administración de eventos e información de seguridad (SIEM) y los puntos de cumplimiento de los pilares Dispositivo, Usuario, Red y Datos. Resultados:- El equipo de inteligencia sobre amenazas cibernéticas está en su lugar junto con las partes interesadas ampliadas según sea necesario.- Las fuentes privadas y controladas están siendo utilizadas por SIEM y otras herramientas de análisis adecuadas para alertas y supervisión.- La integración está en vigor para los puntos de cumplimiento extendidos dentro de los pilares de dispositivo, usuario, red y datos (UEBA, UAM). | conectores de datos Microsoft Sentinel Administrar recursos de red en Azure con la API REST. Establezca la integración básica con puntos de cumplimiento de red mediante playbooks de Sentinel y Logic Apps. - Operaciones REST de red virtual - Respuesta ante amenazas con playbooks de Sentinel Busque playbooks para otros puntos de cumplimiento de red en el repositorio de playbooks de Sentinel. - Playbooks de Sentinel en GitHub |
7.6 Directivas dinámicas automatizadas
La pila de seguridad de Microsoft usa aprendizaje automático (ML) e inteligencia artificial (IA) para proteger identidades, dispositivos, aplicaciones, datos e infraestructura. Con Microsoft Defender XDR y acceso condicional, las detecciones de ML establecen niveles de riesgo agregados para usuarios y dispositivos.
Use el riesgo del dispositivo para marcar un dispositivo como no conforme. El nivel de riesgo de identidad permite a las organizaciones requerir métodos de autenticación resistentes a la suplantación de identidad, dispositivos compatibles, mayor frecuencia de inicio de sesión, etc. Use condiciones de riesgo y controles de acceso condicional para aplicar directivas de acceso dinámico automatizadas.
| Descripción y resultado de la actividad del Departamento de Defensa | Guía y recomendaciones de Microsoft |
|---|---|
Advanced
7.6.1 Acceso a la red habilitado por IALas organizaciones del DoD utilizan la infraestructura SDN y los perfiles de seguridad empresarial para habilitar el acceso a la red impulsado por inteligencia artificial (IA)/aprendizaje automático (ML). El análisis de actividades anteriores se usa para enseñar a los algoritmos de inteligencia artificial y aprendizaje automático a mejorar la toma de decisiones. Resultado:- El acceso a la red está impulsado por IA en base a análisis de entornos |
Microsoft Defender XDR Interrupción del ataque automático en Microsoft Defender XDR limita el movimiento lateral. Esta acción reduce los efectos de un ataque ransomware. Los investigadores de seguridad de Microsoft usan modelos de inteligencia artificial para contrarrestar las complejidades de los ataques avanzados mediante Defender XDR. La solución correlaciona las señales en incidentes de alta confianza para identificar y contener los ataques en tiempo real. - Interrupciones de ataques Las capacidades de protección en red de Microsoft Defender SmartScreen y la protección web se expanden al sistema operativo para bloquear ataques de comando y control (C2). - Protege tu red - La inteligencia artificial para interrumpir el ransomware operado por personas) Microsoft Sentinel Utiliza Azure Firewall para visualizar actividades de firewall, detectar amenazas con las capacidades de investigación con IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall con Sentinel |
Advanced
7.6.2 Control de Acceso habilitado para IALas organizaciones del DoD utilizan el acceso dinámico previamente basado en reglas para enseñar a los algoritmos de inteligencia artificial (IA) y aprendizaje automático (ML) con el fin de tomar decisiones de acceso a varios recursos. Los algoritmos de actividad "Acceso a redes habilitados para IA" se actualizan para permitir una toma de decisiones más amplia para todos los DAAS. Resultado:- JIT/JEA se integran con la inteligencia artificial |
Acceso condicional Requerir el nivel de riesgo de máquina de Microsoft Defender para Endpoint en la directiva de cumplimiento de Microsoft Intune. Use las condiciones de cumplimiento de dispositivos y de riesgo de Protección de Microsoft Entra ID en las directivas de acceso condicional. - Directivas de acceso basadas en riesgo - Directivas de cumplimiento para establecer reglas para dispositivos administrados por Intune Gestión de Identidades con Privilegios Use el nivel de riesgo de protección de identidad y las señales de cumplimiento de dispositivos para definir un contexto de autenticación para el acceso con privilegios. Requerir contexto de autenticación para las solicitudes PIM para aplicar directivas para el acceso Just-In-Time (JIT).Consulte la guía de Microsoft 7.6.1 en esta sección y 1.4.4 en Usuario. |
Pasos siguientes
Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Red
- Automatización y orquestación
- Visibilidad y análisis