Zero-Trust-Strategie des Department of Defense für die Säulen Automatisierung und Orchestrierung

Artikel
04/15/2024

Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

6 Automatisierung und Orchestrierung

Dieser Abschnitt enthält Richtlinien und Empfehlungen von Microsoft für DoD-Zero Trust-Aktivitäten in der Säule Automatisierung und Orchestrierung. Weitere Informationen finden Sie unter Transparenz, Automatisierung und Orchestrierung mit Zero Trust.

6.1 Entscheidungspunkte für Richtlinien (Policy Decision Point, PDP) und Richtlinienorchestrierung

Microsoft Sentinel verfügt durch cloudbasierte Ressourcen über Funktionen zur Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR). Automatisieren Sie die Erkennung und Reaktion auf Cyberangriffe. Sentinel ist in Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365, Azure und Nicht-Microsoft-Plattformen integriert. Diese erweiterbaren Integrationen ermöglichen Sentinel, Maßnahmen zur Cybersicherheitserkennung und -reaktion plattformübergreifend zu koordinieren und die Effektivität und Effizienz von Sicherheitsvorgängen zu erhöhen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.1.1 Richtlinieninventar und -entwicklung Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um vorhandene Cybersicherheitsrichtlinien und -standards zu inventarisieren und zu katalogisieren. Richtlinien werden bei Bedarf als säulenübergreifende Aktivitäten aktualisiert und erstellt, um wichtige Zero Trust-Zielfunktionen zu erfüllen. Ergebnisse: – Richtlinien wurden in Bezug auf geltende Compliance-Anforderungen und aktuelle Risiken gesammelt (z. B. RMF, NIST) gesammelt – Richtlinien wurden auf fehlende Säulen und Funktionen in Übereinstimmung mit der Zero Trust-Referenzarchitektur (Zero Trust Reference Architecture, ZTRA) überprüft – Fehlende Richtlinienbereiche werden aktualisiert, um die Funktionen in Übereinstimmung mit der ZTRA zu erfüllen	Microsoft Purview-Compliance-Manager Bewerten und verwalten Sie mit dem Microsoft Purview-Compliance-Manager die Compliance in einer Multicloud-Umgebung. - Compliance-Manager - Azure, Dynamics 365, Microsoft Purview - Multicloud-Unterstützung Microsoft Defender for Cloud Überprüfen Sie mit den Funktionen zur Einhaltung gesetzlicher Bestimmungen von Defender for Cloud die Compliance mit Azure-Richtlinieninitiativen in einer Multicloud-Umgebung, und nehmen Sie Verbesserungen vor. - Verbesserte Einhaltung gesetzlicher Vorschriften - FedRAMP High Regulatory Compliance - NIST SP 800-53 Rev. 5 Regulatory Compliance - CMMC Regulatory Compliance Microsoft Sentinel Sentinel Content Hub verfügt über Lösungen zum Visualisieren und Messen des Fortschritts bei domänenspezifischen Sicherheitsanforderungen. - Sentinel Content Hub-Katalog - ZT-Sentinel-Arbeitsmappe des DoD - NIST SP 800-53-Lösung
`Target`6.1.2 Organisationszugriffsprofil DoD-Organisationen entwickeln grundlegende Zugriffsprofile für missions-/aufgabenbasierten und nicht missions-/aufgabenbasierten DAAS-Zugriff mithilfe der Daten aus den Säulen „Benutzer“, „Daten“, „Netzwerk“ und „Geräte“. Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um ein Unternehmenssicherheitsprofil mithilfe der vorhandenen Organisationssicherheitsprofile zu entwickeln, um einen gemeinsamen Ansatz für den DAAS-Zugriff zu erstellen. Ein stufenweiser Ansatz kann in Organisationen verwendet werden, um das Risiko auf den missions-/aufgabenkritischen DAAS-Zugriff zu beschränken, sobald die Sicherheitsprofile erstellt wurden. Ergebnisse: – Mindestens ein organisationsweites Profil wird erstellt, um den DAAS-Zugriff mithilfe von Funktionen aus den Säulen Benutzer/Benutzerin, Daten, Netzwerk und Gerät zu ermitteln. – Der anfängliche Profilzugriffsstandard für das Unternehmen wird für den DAAS-Zugriff entwickelt – Wenn möglich nutzen Organisationsprofile die verfügbaren Unternehmensdienste in den Säulen Benutzer/Benutzerin, Daten, Netzwerk und Gerät	Bedingter Zugriff Definieren Sie standardisierte DoD-Richtliniensätze mit bedingtem Zugriff. Schließen Sie Authentifizierungsstärke, Gerätecompliance, auch Benutzer- und Anmelderisikokontrolle ein. - Bedingter Zugriff
`Target`6.1.3 Unternehmenssicherheitsprofil, Teil 1 Das Unternehmenssicherheitsprofil deckt zunächst die Säulen „Benutzer“, „Daten“, „Netzwerk“ und „Geräte“ ab. Vorhandene Organisationssicherheitsprofile sind in den folgenden nicht missions-/aufgabenbasierten DAAS-Zugriff integriert. Ergebnisse: – Mindestens ein Unternehmensprofil wird erstellt, um mithilfe von Funktionen der Säulen Benutzer/Benutzerin, Daten, Netzwerk und Gerät auf DAAS zuzugreifen. – Nicht missions-/aufgabenkritische Organisationsprofile sind in die Unternehmensprofile mit einem standardisierten Ansatz integriert	Vollständige Aktivität 6.1.2. Microsoft Graph-API Verwalten Sie mit der Microsoft Graph-API Richtlinien für bedingten Zugriff, mandantenübergreifende Zugriffseinstellungen und andere Microsoft Entra-Konfigurationseinstellungen, und stellen Sie sie bereit. - Programmgesteuerter Zugriff - API für mandantenübergreifende Zugriffseinstellungen - Graph-Funktionen und -Dienste
`Advanced`6.1.4 Unternehmenssicherheitsprofil, Teil 2 Die Mindestanzahl von Unternehmenssicherheitsprofilen ist vorhanden, die den umfassendsten DAAS-Zugriff in den DoD-Organisationen gewähren. Missions-/aufgabenbasierte Organisationsprofile sind in die Unternehmenssicherheitsprofile integriert, und für die Ausnahmenverwaltung werden risikobasierte methodische Ansätze genutzt. Ergebnisse: – Unternehmensprofile wurden reduziert und vereinfacht, um eine breite Palette von Zugriffsmöglichkeiten auf DAAS zu unterstützen – Gegebenenfalls wurden unternehmenskritische/aufgebenkritische Profile integriert, und unterstützte Organisationsprofile werden als Ausnahme betrachtet	Bedingter Zugriff Verwenden Sie die Arbeitsmappe mit Erkenntnissen und Berichten zum bedingten Zugriff, um zu erfahren, wie sich Richtlinien für bedingten Zugriff auf Ihre Organisation auswirken. Kombinieren Sie Richtlinien soweit möglich. Bei vereinfachten Richtliniensätzen sind die Verwaltung, die Problembehandlung und Pilotversuche mit Funktionen für den bedingten Zugriff leichter. Sie können Vorlagen für den bedingten Zugriff verwenden, um einfachere Richtlinien zu erstellen. - Erkenntnisse und Berichte - Vorlagen Verwenden Sie den Modus „What If“ und „Nur Bericht“ für die Problembehandlung und Auswertung von neuen Richtlinien. - Problembehandlung für den bedingten Zugriff - Modus „Nur Bericht“ Verringern Sie die Abhängigkeit Ihrer Organisation von vertrauenswürdigen Netzwerkadressen. Verwenden Sie Länderstandorte, die anhand von GPS-Koordinaten oder IP-Adressen bestimmt werden, um Standortbedingungen in Richtlinien für den bedingten Zugriff zu vereinfachen. - Standortbedingungen Benutzerdefinierte Sicherheitsattribute Verwenden Sie benutzerdefinierte Sicherheitsattribute und Anwendungsfilter in Richtlinien für den bedingten Zugriff, um den Bereich für die Sicherheitsattributautorisierung festzulegen, der Anwendungsobjekten zugewiesen ist, beispielsweise die Vertraulichkeit. - Benutzerdefinierte Sicherheitsattribute - Nach Apps Filtern

6.2 Automatisierung kritischer Prozesse

Die Microsoft Sentinel-Automatisierung übernimmt Aufgaben, die in der Regel von Sicherheitsanalysten/-analystinnen der Ebene 1 ausgeführt werden. Automatisierungsregeln verwenden Azure Logic Apps, um detaillierte, automatisierte Workflows zum Verbessern von Security Operations zu entwickeln. Beispiel: Anreicherung von Vorfällen: Verknüpfen mit externen Datenquellen, um schädliche Aktivitäten zu erkennen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.2.1 Aufgabenautomatisierungsanalyse DoD-Organisationen nehmen eine Identifizierung und Auflistung aller Aufgabenaktivitäten vor, die sowohl manuell als auch automatisiert ausgeführt werden können. Aufgabenaktivitäten sind in automatisierte und manuelle Kategorien unterteilt. Manuelle Aktivitäten werden auf mögliche Außerkraftsetzungen analysiert. Ergebnisse: – Automatisierbare Vorgänge werden identifiziert – Aufgaben werden aufgelistet – Richtlinieninventar und -entwicklung	Aktivität 6.1.1 abschließen. Azure Resource Manager Verwenden Sie ARM-Vorlagen und Azure Blueprints zum Automatisieren von Bereitstellungen mithilfe von Infrastruktur-as-Code (IaC). - ARM-Vorlagen - Azure Blueprints Azure Policy Organisieren Sie Azure-Richtlinienzuweisungen mithilfe ihrer Initiativendefinitionen. - Azure Policy - Initiativendefinition Microsoft Defender for Cloud Stellen Sie gesetzliche Standards und Benchmarks für Defender for Cloud bereit. - Zuweisen von Sicherheitsstandards Microsoft Entra ID Governance Definieren Sie Zugriffspaketkataloge, um Standards für Zugriffspaketzuweisungen und -überprüfungen festzulegen. Entwickeln Sie Identitätslebenszyklus-Workflows mithilfe von Azure Logic Apps, um Joiner, Mover, Leaver und andere automatisierbare Aufgaben zu automatisieren. - Ressourcen für die Berechtigungsverwaltung - Zugriff für externe Benutzer/Benutzerinnen - – Bereitstellung der Zugriffsüberprüfung - Erstellen von Lebenszyklus-Workflows
`Target`6.2.2 Unternehmensintegration und Workflowbereitstellung, Teil 1 Das DoD-Unternehmen richtet grundlegende Integrationen innerhalb der SOAR-Lösung ein, die erforderlich ist, um die ZTA-Funktionen auf Zielebene zu aktivieren. DoD-Organisationen identifizieren Integrationspunkte und priorisieren wichtige Punkte entsprechend der DoD-Unternehmensbaseline. Wichtige Integrationen in Kombination mit wichtigen Diensten ermöglichen Wiederherstellungs- und Schutzfunktionen. Ergebnisse: – Implementieren vollständiger Unternehmensintegrationen – Identifizieren wichtiger Integrationen – Identifizieren von Wiederherstellungs- und Schutzanforderungen	Microsoft Sentinel Verbinden Sie relevante Datenquellen mit Sentinel, um Analyseregeln zu aktivieren. Verwenden Sie Connectors für Microsoft 365, Microsoft Defender XDR, Microsoft Entra ID, Microsoft Entra ID-Schutz, Microsoft Defender for Cloud, Azure Firewall, Azure Resource Manager, Sicherheitsereignisse mit Azure Monitor-Agent (AMA) und andere API-, Syslog- oder Common Event Format-Datenquellen (CEF). - Sentinel-Datenconnectors - UEBA in Sentinel Microsoft Defender XDR Konfigurieren Sie Integrationen von bereitgestellten Microsoft Defender XDR-Komponenten, und verbinden Sie Microsoft Defender XDR mit Sentinel. - Verbinden Sie Daten von Defender XDR mit Sentinel Siehe Microsoft-Anleitung 2.7.2 im Gerät. Verwenden Sie Defender XDR zum Suchen nach, Untersuchen von, Warnen vor und Reagieren auf Bedrohungen - Automatisierte Untersuchung und Reaktion
`Advanced`6.2.3 Unternehmensintegration und Workflowbereitstellung, Teil 2 DoD-Organisationen integrieren verbleibende Dienste, um Anforderungen an die Baseline und an erweiterte ZTA-Funktionen gemessen an der jeweiligen Umgebung zu erfüllen. Für die Erfüllung von ZTA-Zielfunktionen ist die Dienstbereitstellung automatisiert und in Workflows integriert. Ergebnisse: – Identifizierte Dienste – Dienstbereitstellung wird implementiert	Microsoft Defender XDR Microsoft Defender XDR schützt Identitäten, Geräte, Daten und Anwendungen. Verwenden Sie Defender XDR, um Komponentenintegrationen zu konfigurieren - Einrichten des XDR-Tools - Problembehebungen in Defender XDR Microsoft Sentinel Verbinden Sie neue Datenquellen mit Sentinel, und aktivieren Sie standardmäßige und benutzerdefinierte Analyseregeln. - SOAR in Sentinel

6.3 Maschinelles Lernen

Microsoft Defender XDR und Microsoft Sentinel verwenden künstliche Intelligenz (KI), maschinelles Lernen (ML) und Threat Intelligence, um komplexe Bedrohungen zu erkennen und darauf zu reagieren. Verwenden Sie Integrationen von Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection und bedingtem Zugriff, um mithilfe von Risikosignalen Zugriffsrichtlinien zu erzwingen.

Erfahren Sie mehr über den Microsoft-Sicherheitsstapel und ML unter Vorbereiten auf Security Copilot in den Clouds von US-Behörden.

DoD-Aktivitätsbeschreibung und Ergebnis Informationen und Empfehlungen von Microsoft

Target6.3.1 Implementieren von ML-Tools für Datentagging und -klassifizierung
DoD-Organisationen nutzen vorhandene Standards und Anforderungen für Datentagging und -klassifizierung, um entsprechend des Bedarfs Lösungen für maschinelles Lernen bereitzustellen. Lösungen für maschinelles Lernen werden in Organisationen implementiert, und vorhandene, mit Tags versehene und klassifizierte Datenrepositorys werden verwendet, um Baselines einzurichten. Bei Lösungen für maschinelles Lernen werden Datentags mit Überwachung angewendet, um die Analyse kontinuierlich zu verbessern.

Ergebnis:
– Implementierte Tools für Datentagging und -klassifizierung sind in ML-Tools integriert Microsoft Purview
Konfigurieren Sie automatische Bezeichnungen in Microsoft Purview für die Dienstseite (Microsoft 365) und für die Clientseite (Microsoft Office-Apps) sowie in der Microsoft Purview Data Map.
- Vertraulichkeibezeichnungen für Daten in Data Map

Siehe Microsoft-Leitfäden 4.3.4 und 4.3.5 unter Daten.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.3.1 Implementieren von ML-Tools für Datentagging und -klassifizierung DoD-Organisationen nutzen vorhandene Standards und Anforderungen für Datentagging und -klassifizierung, um entsprechend des Bedarfs Lösungen für maschinelles Lernen bereitzustellen. Lösungen für maschinelles Lernen werden in Organisationen implementiert, und vorhandene, mit Tags versehene und klassifizierte Datenrepositorys werden verwendet, um Baselines einzurichten. Bei Lösungen für maschinelles Lernen werden Datentags mit Überwachung angewendet, um die Analyse kontinuierlich zu verbessern. Ergebnis: – Implementierte Tools für Datentagging und -klassifizierung sind in ML-Tools integriert	Microsoft Purview Konfigurieren Sie automatische Bezeichnungen in Microsoft Purview für die Dienstseite (Microsoft 365) und für die Clientseite (Microsoft Office-Apps) sowie in der Microsoft Purview Data Map. - Vertraulichkeibezeichnungen für Daten in Data Map Siehe Microsoft-Leitfäden 4.3.4 und 4.3.5 unter Daten.

6.4 Künstliche Intelligenz

Microsoft Defender XDR und Microsoft Sentinel verwenden künstliche Intelligenz (KI), maschinelles Lernen (ML) und Threat Intelligence, um komplexe Bedrohungen zu erkennen und darauf zu reagieren. Integrationen zwischen Microsoft Defender XDR, Microsoft Intune, Microsoft Entra ID Protection und bedingtem Zugriff helfen Ihnen bei der Verwendung von Risikosignalen zum Erzwingen adaptiver Zugriffsrichtlinien.

Erfahren Sie mehr über den Microsoft-Sicherheitsstapel und KI unter Vorbereiten auf Security Copilot in den Clouds von US-Behörden.

DoD-Aktivitätsbeschreibung und Ergebnis Informationen und Empfehlungen von Microsoft

Advanced6.4.1 Implementieren von KI-Automatisierungstools
DoD-Organisationen identifizieren Bereiche mit Verbesserungsbedarf basierend auf vorhandenen ML-Techniken für künstliche Intelligenz. KI-Lösungen werden anhand der identifizierten Bereiche als Anforderungen identifiziert, beschafft und implementiert.

Ergebnisse:
– Entwickeln der Anforderungen an KI-Tools
– Beschaffen und Implementieren von KI-Tools Fusion in Microsoft Sentinel
Fusion ist eine erweiterte mehrstufige Analyseregel zur Erkennung von Angriffen in Sentinel. Fusion ist ein ML-trainiertes Korrelationsmodul, das mehrstufige Angriffe oder komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Es identifiziert anomales Verhalten und verdächtige Aktivitäten, die andernfalls schwer zu erfassen wären. Die Vorfälle weisen ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf.
- Erweiterte mehrstufige Angriffserkennung
- Anpassbare Anomalien
- Analyseregeln für die Anomalieerkennung

Microsoft Entra ID Protection
Für den Identitätsschutz werden Algorithmen für maschinelles Lernen (ML) verwendet, um identitätsbasierte Risiken zu erkennen und zu beheben. Aktivieren Sie Microsoft Entra ID Protection, um Richtlinien für den bedingten Zugriff für Benutzer und Benutzerinnen und Anmelderisiken zu erstellen.
- Microsoft Entra ID Protection
- Konfigurieren und Aktivieren von Risikorichtlinien

Azure DDoS Protection
Azure DDoS Protection verwendet die intelligente Datenverkehrsprofilerstellung, um mehr über den Anwendungsdatenverkehr zu erfahren und das Profil bei Änderungen des Datenverkehrs anzupassen.
- Azure DDoS Protection

Advanced6.4.2 Analysegesteuerte KI entscheidet über A&O-Änderungen
DoD-Organisationen, die vorhandene Funktionen für maschinelles Lernen nutzen, implementieren und verwenden KI-Technologien wie beispielsweise neuronale Netzwerke, um Automatisierungs- und Orchestrierungsentscheidungen voranzutreiben. Die Entscheidungsfindung wird so weit wie möglich von der KI übernommen, sodass Mitarbeitende mehr Kapazitäten für andere Tätigkeiten haben. Anhand von Verlaufsmustern nimmt die KI antizipative Änderungen in der Umgebung vor, um das Risiko effektiver zu mindern.

Ergebnis:
– KI kann Änderungen an automatisierten Workflowaktivitäten vornehmen Microsoft Sentinel
Aktivieren Sie Analyseregeln, um komplexe mehrstufige Angriffe mit Fusion und UEBA-Anomalien in Microsoft Sentinel zu erkennen. Entwickeln Sie Automatisierungsregeln und Playbooks für die Sicherheitsantwort.

Weitere Informationen finden Sie in den Microsoft-Leitfäden unter 6.2.3 und 6.4.1.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Advanced`6.4.1 Implementieren von KI-Automatisierungstools DoD-Organisationen identifizieren Bereiche mit Verbesserungsbedarf basierend auf vorhandenen ML-Techniken für künstliche Intelligenz. KI-Lösungen werden anhand der identifizierten Bereiche als Anforderungen identifiziert, beschafft und implementiert. Ergebnisse: – Entwickeln der Anforderungen an KI-Tools – Beschaffen und Implementieren von KI-Tools	Fusion in Microsoft Sentinel Fusion ist eine erweiterte mehrstufige Analyseregel zur Erkennung von Angriffen in Sentinel. Fusion ist ein ML-trainiertes Korrelationsmodul, das mehrstufige Angriffe oder komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Es identifiziert anomales Verhalten und verdächtige Aktivitäten, die andernfalls schwer zu erfassen wären. Die Vorfälle weisen ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf. - Erweiterte mehrstufige Angriffserkennung - Anpassbare Anomalien - Analyseregeln für die Anomalieerkennung Microsoft Entra ID Protection Für den Identitätsschutz werden Algorithmen für maschinelles Lernen (ML) verwendet, um identitätsbasierte Risiken zu erkennen und zu beheben. Aktivieren Sie Microsoft Entra ID Protection, um Richtlinien für den bedingten Zugriff für Benutzer und Benutzerinnen und Anmelderisiken zu erstellen. - Microsoft Entra ID Protection - Konfigurieren und Aktivieren von Risikorichtlinien Azure DDoS Protection Azure DDoS Protection verwendet die intelligente Datenverkehrsprofilerstellung, um mehr über den Anwendungsdatenverkehr zu erfahren und das Profil bei Änderungen des Datenverkehrs anzupassen. - Azure DDoS Protection
`Advanced`6.4.2 Analysegesteuerte KI entscheidet über A&O-Änderungen DoD-Organisationen, die vorhandene Funktionen für maschinelles Lernen nutzen, implementieren und verwenden KI-Technologien wie beispielsweise neuronale Netzwerke, um Automatisierungs- und Orchestrierungsentscheidungen voranzutreiben. Die Entscheidungsfindung wird so weit wie möglich von der KI übernommen, sodass Mitarbeitende mehr Kapazitäten für andere Tätigkeiten haben. Anhand von Verlaufsmustern nimmt die KI antizipative Änderungen in der Umgebung vor, um das Risiko effektiver zu mindern. Ergebnis: – KI kann Änderungen an automatisierten Workflowaktivitäten vornehmen	Microsoft Sentinel Aktivieren Sie Analyseregeln, um komplexe mehrstufige Angriffe mit Fusion und UEBA-Anomalien in Microsoft Sentinel zu erkennen. Entwickeln Sie Automatisierungsregeln und Playbooks für die Sicherheitsantwort. Weitere Informationen finden Sie in den Microsoft-Leitfäden unter 6.2.3 und 6.4.1.

6.5 Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)

Microsoft Defender XDR verfügt über Erkennungs- und Reaktionsfunktionen mit standardmäßigen und anpassbaren Erkennungen. Erweitern Sie die Funktion mithilfe von Microsoft Sentinel-Analyseregeln, um Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsaktionen (SOAR-Aktionen) mit Azure Logic Apps auszulösen.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.5.1 Reaktionsautomatisierungsanalyse DoD-Organisationen nehmen eine Identifizierung und Auflistung aller Reaktionsaktivitäten vor, die sowohl manuell als auch automatisiert ausgeführt werden. Reaktionsaktivitäten sind in automatisierte und manuelle Kategorien unterteilt. Manuelle Aktivitäten werden auf mögliche Außerkraftsetzungen analysiert. Ergebnis: – Automatisierbare Reaktionsaktivitäten werden identifiziert – Reaktionsaktivitäten werden aufgelistet	Microsoft Defender XDR Microsoft Defender XDR verfügt über automatische und manuelle Aktionen für Datei- und Gerätevorfälle. - Vorfälle in Defender XDR
`Target`6.5.2 Implementieren von SOAR-Tools DoD-Unternehmen, das mit Organisationen arbeitet, entwickelt Standardanforderungen für die Tools zur Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), um ZTA-Funktionen auf Zielebene zu ermöglichen. DoD-Organisationen verwenden genehmigte Anforderungen zum Beschaffen und Implementieren der SOAR-Lösung. Grundlegende Infrastrukturintegrationen für zukünftige SOAR-Funktionen werden abgeschlossen. Ergebnisse: – Entwickeln von Anforderungen für das SOAR-Tool – Beschaffen des SOAR-Tools	Microsoft Defender XDR Verwenden Sie Standardantwortfunktionen von Microsoft Defender XDR. Siehe Microsoft-Leitfaden 6.5.1. Microsoft Sentinel Sentinel verwendet Azure Logic Apps für SOAR-Funktionen. Erstellen Sie mit Logic Apps automatisierte Workflows mit wenig bis zu keinem Code, und führen Sie sie aus. Verwenden Sie Logic Apps, um eine Verbindung mit Ressourcen außerhalb von Microsoft Sentinel herzustellen und mit diesen zu interagieren. - Playbooks mit Automatisierungsregeln - Automatisieren Sie Bedrohungsreaktionen mit Playbooks
`Advanced`6.5.3 Implementieren von Playbooks DoD-Organisationen überprüfen alle vorhandenen Playbooks, um die zukünftige Automatisierung zu identifizieren. Noch fehlende Playbooks für vorhandene manuelle und automatisierte Prozesse werden entwickelt. Playbooks werden priorisiert, damit die Automatisierung in die automatisierten Workflowaktivitäten für kritische Prozesse integriert werden kann. Manuelle Prozesse ohne Playbooks werden mit einem risikobasierten methodischen Ansatz autorisiert. Ergebnisse: – Wenn möglich, werden Playbooks basierend auf automatisierten Workflows automatisiert – Manuelle Playbooks werden entwickelt und implementiert	Microsoft Sentinel Überprüfen Sie aktuelle Sicherheitsprozesse, und verwenden Sie bewährte Methoden aus dem Microsoft Cloud Adoption Framework (CAF). Erstellen und passen Sie Playbooks an, um SOAR-Funktionen zu erweitern. Beginnen Sie mit Sentinel-Playbookvorlagen. - Security Operations - SOC-Prozessframework - Playbooks aus Vorlagen

6.6 API-Standardisierung

Die Microsoft Graph-API verfügt über eine Standardschnittstelle für die Interaktion mit Microsoft-Clouddiensten. Azure API Management kann APIs schützen, die von Ihrer Organisation gehostet werden.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.6.1 Tool-Compliance-Analyse Automatisierungs-/Orchestrierungstools und -lösungen werden auf der Grundlage der programmgesteuerten Schnittstellenstandards und -anforderungen des DoD-Unternehmens unter den Gesichtspunkten Compliance und Funktionen analysiert. Weitere Tools oder Lösungen werden identifiziert, um die programmgesteuerten Schnittstellenstandards und -anforderungen zu unterstützen. Ergebnisse: – Als API-Status wird die Einhaltung oder Nicht-Einhaltung der API-Standards bestimmt – Zu verwendende Tools werden identifiziert	Microsoft Graph-Sicherheits-API Microsoft Defender, Microsoft Sentinel und Microsoft Entra verfügen über dokumentierte APIs. - Security API - Arbeiten mit Microsoft Graph - Identitätsschutz-APIs Befolgen Sie die für Ihre Organisation entwickelten bewährten Methoden. - Anwendungsprogrammierschnittstelle - RESTful-Web-API-Design
`Target`6.6.2 Standardisierte API-Aufrufe und -Schemas, Teil 1 Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um bei Bedarf programmgesteuerte Schnittstellenstandards (z. B. API) und -anforderungen einzurichten und ZTA-Zielfunktionen zu ermöglichen. DoD-Organisationen aktualisieren programmgesteuerte Schnittstellen auf den neuen Standard und beauftragen neu erworbene/entwickelte Tools, um den neuen Standard zu erfüllen. Tools, die den Standard nicht erfüllen können, werden durch Ausnahmen im Rahmen eines risikobasierten methodischen Ansatzes zugelassen. Ergebnisse: – Erste Aufrufe und Schemas werden implementiert – Nicht konforme Tools werden ersetzt	Aktivität 6.6.1 abschließen Azure API Management Verwenden Sie Azure API Management als API-Gateway für die Kommunikation mit APIs, und erstellen Sie ein konsistentes Zugriffsschema für verschiedene APIs. - Azure API Management Azure Automation-Tools Orchestrieren Sie Zero Trust-Aktionen mithilfe von Azure Automation-Tools. - Integration und Automatisierung in Azure
`Target`6.6.3 Standardisierte API-Aufrufe und Schemas, Teil 2 DoD-Organisationen schließen die Migration zum neuen Standard für befehlsorientierte Benutzerschnittstellen ab. Tools, die in der vorherigen Aktivität für die Außerbetriebnahme gekennzeichnet wurden, werden eingestellt, und Funktionen werden zu modernisierten Tools migriert. Genehmigte Schemas werden basierend auf Standards/Anforderungen des DoD-Unternehmens übernommen. Ergebnis: – Alle Aufrufe und Schemas werden implementiert	Microsoft Sentinel Verwenden Sie Sentinel als Orchestrierungsmodul, um Aktionen in den in diesem Dokument angegebenen Automatisierungstools auszulösen und auszuführen. - Automatisieren der Bedrohungsabwehr mit Playbooks

6.7 Security Operations Center (SOC) und Reaktion auf Vorfälle (Incident Response, IR)

Microsoft Sentinel ist eine Fallverwaltungslösung, mit der Sicherheitsvorfälle untersucht und verwaltet werden können. Um Sicherheitsreaktionsaktionen zu automatisieren, verbinden Sie Threat Intelligence-Lösungen, stellen Sie Sentinel-Lösungen bereit, aktivieren UEBAs (User Entity Behavior Analytics), und erstellen Sie Playbooks mit Azure Logic Apps.

Erfahren Sie, wie Sie den SOC-Reifegrad erhöhen. Lesen Sie dazu die Informationen zur Untersuchung von Vorfällen und zur Fallverwaltung von Sentinel.

DoD-Aktivitätsbeschreibung und Ergebnis	Informationen und Empfehlungen von Microsoft
`Target`6.7.1 Workflowanreicherung, Teil 1 Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um einen Standard für die Reaktion auf Cybersicherheitsincidents mithilfe von Best Practices wie NIST festzulegen. DoD-Organisationen verwenden den Unternehmensstandard, um Workflows zur Reaktion auf Vorfälle zu bestimmen. Externe Quellen für die Anreicherung, die künftig integriert werden sollen, werden identifiziert. Ergebnisse: – Bedrohungsereignisse werden identifiziert – Workflows für Bedrohungsereignisse werden entwickelt	Microsoft Sentinel-Datenconnectors Reichern Sie Sentinel-Workflows an, indem Sie Microsoft Defender Threat Intelligence mit Sentinel verbinden. - Datenconnector für Defender Threat Intelligence Microsoft Sentinel-Lösungen Verwenden Sie Sentinel-Lösungen, um bewährte Methoden für die Branche zu überprüfen. - Lösung NIST 800-53 - Lösung CMMS 2.0 - DoD ZT Sentinel-Workbooks - Sentinel-Inhalt und -Lösungen
`Target`6.7.2 Workflowanreicherung, Teil 2 DoD-Organisationen identifizieren und bestimmen erweiterte Workflows für zusätzliche Incident-Response-Typen. Datenquellen für die erste Anreicherung werden für bestehende Workflows verwendet. Zusätzliche Quellen für die Anreicherung, die künftig integriert werden sollen, werden identifiziert. Ergebnisse: – Workflows für komplexe Bedrohungsereignisse werden entwickelt – Komplexe Bedrohungsereignisse werden identifiziert	Microsoft Sentinel Verwenden Sie die erweiterte Erkennung mehrstufiger Angriffe in Fusion und UEBA-Anomalieerkennungsregeln in Microsoft Sentinel, um automatisierte Sicherheitsreaktions-Playbooks auszulösen. Siehe Microsoft-Leitfaden 6.2.3 und 6.4.1 in diesem Abschnitt. Um Sentinel-Workflows anzureichern, verbinden Sie Microsoft Defender Threat Intelligence und andere Bedrohungserkennungsplattformen mit Microsoft Sentinel. - Verbinden Sie Bedrohungserkennungsplattformen mit Sentinel - Verbinden Sie Sentinel mit STIX/TAXII-Threat Intelligence Feeds Siehe Microsoft-Anleitung 6.7.1.
`Advanced`6.7.3 Workflowanreicherung Teil 3 DoD-Organisationen verwenden Datenquellen für die abschließende Anreicherung für grundlegende und erweiterte Workflows zur Bedrohungsreaktion. Ergebnisse: – Anreicherungsdaten wurden identifiziert – Anreicherungsdaten werden in Workflows integriert	Microsoft Sentinel Fügen Sie Entitäten hinzu, um die Ergebnisse der Threat Intelligence in Sentinel zu verbessern. - Aufgaben zum Verwalten von Vorfällen in Sentinel - Anreichern von Entitäten mit Geolocationdaten Reichern Sie Untersuchungsworkflows an, und verwalten Sie Vorfälle in Sentinel. - Aufgaben zum Verwalten von Vorfällen in Sentinel - Anreichern von Entitäten Geolocationdaten
`Advanced`6.7.4 Automatisierter Workflow DoD-Organisationen konzentrieren sich auf die Automatisierung von Funktionen für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) und Playbooks. Manuelle Prozesse innerhalb von Security Operations werden nach Möglichkeit identifiziert und vollständig automatisiert. Verbleibende manuelle Prozesse werden nach Möglichkeit außer Betrieb genommen oder im Rahmen eines risikobasierten Ansatzes als Ausnahme gekennzeichnet. Ergebnisse: – Workflowprozesse sind vollständig automatisiert – Manuelle Prozesse wurden identifiziert – Verbleibende Prozesse werden als Ausnahmen markiert und dokumentiert	Microsoft Sentinel-Playbooks Sentinel-Playbooks basieren auf Logic Apps, einem Clouddienst, der Aufgaben und Workflows in Unternehmenssystemen plant, automatisiert und koordiniert. Erstellen Sie Playbooks für die Reaktion anhand von Vorlagen, und stellen Sie Lösungen aus dem Sentinel Content Hub bereit. Erstellen Sie benutzerdefinierte Analyseregeln und Antwortaktionen mit Azure Logic Apps. - Sentinel-Playbooks aus Vorlagen - Automatisieren der Bedrohungsabwehr mit Playbooks - Sentinel Content Hub-Katalog - Azure Logic Apps

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie:

Freigeben über