Zero Trust-Strategie des US-Verteidigungsministeriums für die Säule „Sichtbarkeit und Analysen“

Artikel
04/16/2024

Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

7 Sichtbarkeit und Analysen

Dieser Abschnitt enthält Informationen und Empfehlungen von Microsoft für DoD-Zero Trust-Aktivitäten in der Säule „Sichtbarkeit und Analysen“. Weitere Informationen finden Sie unter Transparenz, Automatisierung und Orchestrierung mit Zero Trust.

7.1 Protokollieren des gesamten Datenverkehrs

Microsoft Sentinel ist ein skalierbares cloudnatives SIEM-System (Security Information & Event Management). Zudem ist Sentinel eine Lösung für die Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR). Sentinel-Datenconnectors erfassen lokal und in mehreren Clouds Daten von Benutzern, Geräten, Anwendungen und Infrastrukturen.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 7.1.1 Überlegungen zur Skalierung DoD-Organisationen führen Analysen durch, um den aktuellen und zukünftigen Skalierungsbedarf zu ermitteln. Die Skalierung wird nach gängigen bewährten Methoden der Branche und Zero Trust (ZT)-Säulen analysiert. Das Team arbeitet mit vorhandenen Gruppen für die Planung der Geschäftskontinuität (Business Continuity Planning, BCP) und Planung der Notfallwiederherstellung (Disaster Recovery Planning, DPR) zusammen, um die Anforderungen verteilter Umgebungen in Notfällen und im Zuge des Organisationswachstums zu ermitteln. Ergebnisse: - Ausreichende Infrastruktur vorhanden - Verteilte Umgebung eingerichtet - Genügend Bandbreite für Netzwerkdatenverkehr verfügbar	Microsoft Sentinel Sentinel verwendet einen Log Analytics-Arbeitsbereich, um Daten aus Sicherheitsprotokollen zur Analyse zu speichern. Log Analytics ist eine PaaS-Lösung (Platform as a Service) in Azure. Es gibt keine Infrastruktur, die verwaltet oder erstellt werden muss. - Arbeitsbereichsarchitektur - Bewährte Methoden für die Arbeitsbereichsarchitektur - Senken der Kosten für Sentinel Azure Monitor-Agent Streamen Sie Protokolle mit Azure Monitor-Agent für VMs und Netzwerkgeräte in der lokalen Umgebung und in anderen Clouds. - Windows-Sicherheitsereignisse mit Azure Monitor-Agent (AMA) - Streamen von Protokollen im CEF (Common Event Format)- und Syslog-Format - Datensammlung - Leistungsbenchmark mit Azure Monitor-Agent - Skalierbare Datenerfassung Netzwerkinfrastruktur Stellen Sie sicher, dass die Netzwerkinfrastruktur den Bandbreitenanforderungen für Microsoft 365 und die cloudbasierte Sicherheitsüberwachung für lokale Server entspricht. - Microsoft 365-Netzwerkkonnektivität - Netzwerkplanung und Leistungsoptimierung - Azure ExpressRoute - Netzwerkanforderungen für Connected Machine-Agent Verwaltung der Geschäftskontinuität in Azure Azure bietet ausgereifte Programme zum Verwalten der Geschäftskontinuität für mehrere Branchen. Überprüfen Sie die Verwaltung der Geschäftskontinuität und Aufgabenteilung. - Verwaltung der Geschäftskontinuität - Empfehlungen zur Zuverlässigkeit
`Target` 7.1.2 Protokollanalyse DoD-Organisationen identifizieren und priorisieren Protokoll- und Datenflussquellen (z. B. Firewalls, Endpunkterkennung und Reaktion, Active Directory, Switches, Router usw.), und entwickeln einen Plan, um zuerst Protokolle mit hoher Priorität und dann Protokolle mit niedriger Priorität zu sammeln. Ein offenes Protokollformat nach Branchenstandard wird auf der DoD-Unternehmensebene mit den Organisationen vereinbart und in zukünftigen Beschaffungsanforderungen implementiert. Bestehende Lösungen und Technologien werden kontinuierlich zu diesem Format migriert. Ergebnisse: - Standardisierte Protokollformate - Regeln für jedes Protokollformat entwickelt	Microsoft Sentinel-Datenconnectors Verbinden Sie relevante Datenquellen mit Sentinel. Aktivieren und konfigurieren Sie Analyseregeln. Datenconnectors verwenden standardisierte Protokollformate. - Überwachen von Zero Trust-Sicherheitsarchitekturen - Erstellen von benutzerdefinierten Sentinel-Connectors - Protokollerfassungs-API in Azure Monitor Weitere Informationen finden Sie im Microsoft-Leitfaden 6.2.2 unter Automatisierung und Orchestrierung. Standardisieren Sie die Protokollierung mit Common Event Format (CEF), einem Branchenstandard, der von Sicherheitsanbietern für die Ereignisinteroperabilität zwischen Plattformen verwendet wird. Verwenden Sie Syslog für Systeme, die Protokolle im CEF-Format nicht unterstützen. - Verwenden von CEF mit dem Azure Monitor-Connector für Sentinel - Erfassen von Syslog- und CEF-Nachrichten an Sentinel mit Azure Monitor Verwenden Sie das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM, Public Preview), um Daten aus mehreren Quellen mit einem normalisierten Schema zu sammeln und anzuzeigen. - Verwenden von ASIM zum Normalisieren von Daten
`Target` 7.1.3 Protokollanalyse Häufige Benutzer- und Geräteaktivitäten werden basierend auf dem Risiko identifiziert und priorisiert. Für Aktivitäten, die als am einfachsten und riskantesten eingestuft wurden, werden Analysen mit unterschiedlichen Datenquellen wie Protokollen erstellt. Trends und Muster werden basierend auf den gesammelten Analysen entwickelt, um Aktivitäten über längere Zeiträume hinweg zu überwachen. Ergebnisse: - Entwickeln von Analysen pro Aktivität - Identifizieren der zu analysierenden Aktivitäten	Abschließen der Aktivität 7.1.2. Microsoft Defender XDR Microsoft Defender XDR ist eine einheitliche Suite auf Unternehmensniveau zur Verteidigung vor und nach Sicherheitsverletzungen, die die Erkennung, Verhinderung, Untersuchung und Reaktion für Endpunkte, Identitäten, E-Mails und Anwendungen nativ koordiniert. Verwenden Sie Defender XDR, um Ihre Umgebung vor komplexen Angriffen zu schützen und auf Angriffe zu reagieren. - Untersuchen von Warnungen - Zero Trust mit Defender XDR - Defender XDR für die US-Regierung Microsoft Sentinel Entwickeln Sie benutzerdefinierte Analyseabfragen, und visualisieren Sie gesammelte Daten mithilfe von Arbeitsmappen. - Benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen - Visualisieren gesammelter Daten

7.2 Security Information und Event Management

Microsoft Defender XDR und Microsoft Sentinel arbeiten zusammen, um Sicherheitsbedrohungen zu erkennen, Warnungen auszugeben und entsprechend zu reagieren. Microsoft Defender XDR erkennt Bedrohungen im Zusammenhang mit Microsoft 365, Identitäten, Geräten, Anwendungen und der Infrastruktur. Defender XDR generiert Warnungen im Microsoft Defender-Portal. Verbinden Sie Warnungen und Rohdaten aus Microsoft Defender XDR mit Sentinel, und verwenden Sie erweiterte Analyseregeln, um Ereignisse zu korrelieren und Incidents für Warnungen mit hoher Genauigkeit zu generieren.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 7.2.1 Bedrohungswarnungen (Teil 1) DoD-Organisationen nutzen die vorhandene SIEM-Lösung (Security Information & Event Management), um grundlegende Regeln und Warnungen für häufige Bedrohungsereignisse (Schadsoftware, Phishing usw.) zu entwickeln Warnungen und/oder Regelauslösungen werden zur Automatisierung von Antworten in die parallele Aktivität „Korrelation von Ressourcen-IDs und Warnungen“ eingespeist. Ergebnis: - Entwickeln von Regeln für die Bedrohungskorrelation	Microsoft Defender XDR Microsoft Defender XDR bietet Warnungen für Bedrohungen, die für Endpunkte, Identitäten, E-Mails, Tools für die Zusammenarbeit, Anwendungen und die Cloudinfrastruktur auf mehreren Plattformen erkannt werden. Die Plattform aggregiert verwandte Warnungen automatisch in Incidents, um die Sicherheitsüberprüfung zu optimieren. - Untersuchen von Warnungen Microsoft Sentinel-Analyseregeln Aktivieren Sie Standardanalyseregeln für verbundene Datenquellen, und erstellen Sie benutzerdefinierte Analyseregeln, um Bedrohungen in Sentinel zu erkennen. Weitere Informationen finden Sie im Microsoft-Leitfaden 7.1.3 in diesem Abschnitt.7.1.3.
`Target` 7.2.2 Bedrohungswarnungen (Teil 2) DoD-Organisationen erweitern Bedrohungswarnungen in der SIEM-Lösung, um CTI-Datenfeeds (Cyber Threat Intelligence) einzubeziehen. Abweichungs- und Anomalieregeln werden in der SIEM-Lösung entwickelt, um komplexe Bedrohungen zu erkennen. Ergebnis: - Entwickeln von Analysen zum Erkennen von Abweichungen	Microsoft Sentinel Threat Intelligence Verbinden Sie Cyber Threat Intelligence (CTI)-Feeds mit Sentinel. - Threat Intelligence Weitere Informationen finden Sie im Microsoft-Leitfaden 6.7.1 und 6.7.2 unter Automatisierung und Orchestrierung. Microsoft Sentinel-Lösungen Verwenden Sie Analyseregeln und Arbeitsmappen im Microsoft Sentinel-Inhaltshub. - Sentinel-Inhalte und -Lösungen Microsoft Sentinel-Analyseregeln Erstellen Sie geplante Analyseregeln zum Erkennen von Abweichungen sowie Incidents, und lösen Sie SOAR-Aktionen (Sicherheitsorchestrierung, Automatisierung und Reaktion) aus. - Benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen
`Advanced` 7.2.3 Bedrohungswarnungen (Teil 3) Bedrohungswarnungen werden erweitert, um erweiterte Datenquellen wie die erweiterte Erkennung und Reaktion (Extended Detection & Response, XDR), Benutzer- und Entitätsverhaltensanalyse (User & Entity Behavior Analytics, UEBA) und Überwachung von Benutzeraktivitäten (User Activity Monitoring, UAM) einzubeziehen. Mithilfe dieser erweiterten Datenquellen werden verbesserte Anomalie- und Mustererkennungen entwickelt. Ergebnisse: - Identifizieren von anomalen Ereignissen, die zu einer Auslösung führen - Implementieren einer Auslösungsrichtlinie	Microsoft Sentinel-Datenconnectors Verbinden Sie Microsoft Defender XDR mit Sentinel, um Warnungen, Indicents und Rohdaten zu aggregieren. - Verbinden von Defender XDR mit Sentinel Anpassbare Anomalien von Microsoft Sentinel Verwenden Sie anpassbare Anomalievorlagen von Microsoft Sentinel, um unnötige Informationen mit Anomalieerkennungsregeln zu reduzieren. - Anpassbare Anomalien zum Erkennen von Bedrohungen Fusion in Microsoft Sentinel Die Fusion-Engine korreliert Warnungen für komplexe mehrstufige Angriffe. - Erkennungen der Fusion-Engine Weitere Informationen finden Sie im Microsoft-Leitfaden 6.4.1 unter Automatisierung und Orchestrierung.
`Target` 7.2.4 Korrelation von Ressourcen-IDs und Warnungen DoD-Organisationen entwickeln grundlegende Korrelationsregeln anhand von Ressourcen- und Warnungsdaten. Die Reaktion auf häufige Bedrohungsereignisse (z. B. Schadsoftware, Phishing usw.) wird innerhalb der SIEM-Lösung automatisiert. Ergebnis: - Entwickeln von Regeln für Reaktionen auf Grundlage der Ressourcen-ID	Microsoft Defender XDR Microsoft Defender XDR korreliert Signale plattformübergreifend für Endpunkte, Identitäten, E-Mails, Tools für die Zusammenarbeit, Anwendungen und die Cloudinfrastruktur. Konfigurieren Sie die Selbstreparatur mit den Microsoft Defender-Funktionen für automatisierte Untersuchung und Reaktion. - Microsoft Defender XDR - Automatisierte Untersuchung und Reaktion Microsoft Sentinel-Entitäten Warnungen, die an Sentinel gesendet oder von Sentinel generiert werden, enthalten Datenelemente, die von Sentinel in Entitäten unterteilt werden: Benutzerkonten, Hosts, Dateien, Prozesse, IP-Adressen und URLs. Verwenden Sie Entitätsseiten, um Informationen zu Entitäten anzuzeigen, das Verhalten zu analysieren und die Untersuchungen zu verbessern. - Klassifizieren und Analysieren von Daten mithilfe von Entitäten - Untersuchen von Entitätsseiten
`Target` 7.2.5 Benutzer-/Gerätebaselines DoD-Organisationen entwickeln Benutzer- und Gerätebaselines basierend auf DoD-Unternehmensstandards für die entsprechende Säule. Die für die Baselineerstellung verwendeten Attribute werden aus den unternehmensweiten Standards gepullt, die bei säulenübergreifenden Aktivitäten entwickelt wurden. Ergebnis: - Identifizieren von Benutzer- und Gerätebaselines	Microsoft Sentinel-Datenconnectors Erstellen Sie eine Datenerfassungsbaseline für Sentinel. Schließen Sie mindestens Microsoft Entra ID- und Microsoft Defender XDR-Connectors ein, konfigurieren Sie Standardanalyseregeln, und aktivieren Sie UEBA (User and Entity Behavioral Analytics, Benutzer- und Entitätsverhaltensanalyse). - Verbinden von Defender XDR mit Sentinel - Aktivieren von UEBA Azure Lighthouse Konfigurieren Sie Azure Lighthouse zum Verwalten von Sentinel-Arbeitsbereichen für mehrere Mandanten. - Erweitern von Azure Sentinel auf Arbeitsbereiche und Mandanten - Vorgänge mit mehreren Mandanten für Verteidigungsorganisationen

7.3 Allgemeine Sicherheits- und Risikoanalysen

Microsoft Defender XDR verfügt über standardmäßige Bedrohungserkennungen, Analysen und Warnungen. Verwenden Sie anpassbare Microsoft Sentinel-Regeln für Analysen in Quasi-Echtzeit, um Warnungen für Anomalien in verbundenen Datenquellen zu korrelieren, zu erkennen und zu generieren.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 7.3.1 Implementieren von Analysetools
DoD-Organisationen beschaffen und implementieren grundlegende Analysetools, deren Schwerpunkt die Cybersicherheit ist. Die Entwicklung von Analysen wird basierend auf dem Risiko und der Komplexität priorisiert, um zunächst Analysen zu ermitteln, die sowohl einfach als auch wirkungsvoll sind. Die weitere Entwicklung von Analysen konzentriert sich auf die Anforderungen der Säule, um die Anforderungen an die Berichterstellung besser zu erfüllen.

Ergebnisse:
- Entwickeln von Anforderungen für die Analyseumgebung
- Beschaffen und Implementieren von Analysetools Microsoft Defender XDR und Microsoft Sentinel
Konfigurieren Sie die Integration von Microsoft Defender XDR und Sentinel.
- Microsoft Defender XDR
- Sentinel und Defender XDR für Zero Trust

Target 7.3.2 Festlegen von Benutzerbaselineverhalten
Anhand der Analysen, die in einer parallelen Aktivität für Benutzer und Geräte entwickelt wurden, werden Baselines in einer technischen Lösung festgelegt. Diese Baselines werden zunächst basierend auf dem Risiko auf eine identifizierte Gruppe von Benutzern angewendet und anschließend auf die größere Benutzerbasis der DoD-Organisation ausgeweitet. Die verwendete technische Lösung ist in die Machine Learning-Funktionalität integriert, um mit der Automatisierung zu beginnen.

Ergebnisse:
- Identifizieren von Benutzern für die Baseline
- Einrichten von ML-basierten Baselines Microsoft Defender XDR
Die integrierte automatisierte Erkennung und Reaktion von Microsoft Defender XDR ist eine erste Verteidigungslinie. In den Leitfäden für die Säulen „Benutzer“ und „Gerät“ wird das Baselineverhalten festgelegt, und es werden Richtlinien mit Microsoft Defender XDR-Signalen in Microsoft Intune (Gerätekonformität) und dem bedingten Zugriff (Risiko von konformen Geräten und Identitäten) erzwungen.

Weitere Informationen finden Sie im Microsoft-Leitfaden unter Benutzer und Gerät.

Microsoft Sentinel-Analyseregeln
Verwenden Sie Sentinel, um Ereignisse zu korrelieren, Bedrohungen zu erkennen und Antwortaktionen auszulösen. Verbinden Sie relevante Datenquellen mit Sentinel, und erstellen Sie Regeln für Analysen in Quasi-Echtzeit, um Bedrohungen während der Datenerfassung zu erkennen.
- Erkennen von Bedrohungen

Weitere Informationen finden Sie im Microsoft-Leitfaden 7.2.5 in diesem Abschnitt.7.2.5.

Microsoft Sentinel-Notebooks
Erstellen Sie angepasste ML-Modelle, um Sentinel-Daten mithilfe von Jupyter Notebooks und der BYO-ML-Plattform (Bring Your Own Machine Learning) zu analysieren.
- BYO-ML in Sentinel
- Jupyter Notebooks und MSTICPy

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 7.3.1 Implementieren von Analysetools DoD-Organisationen beschaffen und implementieren grundlegende Analysetools, deren Schwerpunkt die Cybersicherheit ist. Die Entwicklung von Analysen wird basierend auf dem Risiko und der Komplexität priorisiert, um zunächst Analysen zu ermitteln, die sowohl einfach als auch wirkungsvoll sind. Die weitere Entwicklung von Analysen konzentriert sich auf die Anforderungen der Säule, um die Anforderungen an die Berichterstellung besser zu erfüllen. Ergebnisse: - Entwickeln von Anforderungen für die Analyseumgebung - Beschaffen und Implementieren von Analysetools	Microsoft Defender XDR und Microsoft Sentinel Konfigurieren Sie die Integration von Microsoft Defender XDR und Sentinel. - Microsoft Defender XDR - Sentinel und Defender XDR für Zero Trust
`Target` 7.3.2 Festlegen von Benutzerbaselineverhalten Anhand der Analysen, die in einer parallelen Aktivität für Benutzer und Geräte entwickelt wurden, werden Baselines in einer technischen Lösung festgelegt. Diese Baselines werden zunächst basierend auf dem Risiko auf eine identifizierte Gruppe von Benutzern angewendet und anschließend auf die größere Benutzerbasis der DoD-Organisation ausgeweitet. Die verwendete technische Lösung ist in die Machine Learning-Funktionalität integriert, um mit der Automatisierung zu beginnen. Ergebnisse: - Identifizieren von Benutzern für die Baseline - Einrichten von ML-basierten Baselines	Microsoft Defender XDR Die integrierte automatisierte Erkennung und Reaktion von Microsoft Defender XDR ist eine erste Verteidigungslinie. In den Leitfäden für die Säulen „Benutzer“ und „Gerät“ wird das Baselineverhalten festgelegt, und es werden Richtlinien mit Microsoft Defender XDR-Signalen in Microsoft Intune (Gerätekonformität) und dem bedingten Zugriff (Risiko von konformen Geräten und Identitäten) erzwungen. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Benutzer und Gerät. Microsoft Sentinel-Analyseregeln Verwenden Sie Sentinel, um Ereignisse zu korrelieren, Bedrohungen zu erkennen und Antwortaktionen auszulösen. Verbinden Sie relevante Datenquellen mit Sentinel, und erstellen Sie Regeln für Analysen in Quasi-Echtzeit, um Bedrohungen während der Datenerfassung zu erkennen. - Erkennen von Bedrohungen Weitere Informationen finden Sie im Microsoft-Leitfaden 7.2.5 in diesem Abschnitt.7.2.5. Microsoft Sentinel-Notebooks Erstellen Sie angepasste ML-Modelle, um Sentinel-Daten mithilfe von Jupyter Notebooks und der BYO-ML-Plattform (Bring Your Own Machine Learning) zu analysieren. - BYO-ML in Sentinel - Jupyter Notebooks und MSTICPy

7.4 User and Entity Behavior Analytics (UEBA)

Microsoft Defender XDR und Microsoft Sentinel erkennen Anomalien mithilfe von User and Entity Behavioral Analytics (UEBA). Erkennen Sie Anomalien in Sentinel mit Fusion-, UEBA- und Machine Learning (ML)-Analyseregeln. Außerdem ist Sentinel in Azure Notebooks (Jupyter Notebook) für BYO-ML (Bring Your Own Machine Learning) und Visualisierungsfunktionen integriert.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target`7.4.1 Baseline- und Profilerstellung (Teil 1) Anhand der Analysen, die in einer parallelen Aktivität für Benutzer und Geräte erstellt wurden, werden allgemeine Profile für typische Benutzer- und Gerätetypen erstellt. Bei der Baselineerstellung durchgeführte Analysen werden aktualisiert, um größere Container und Profile zu untersuchen. Ergebnisse: - Entwickeln von Analysen zur Erkennung sich ändernder Bedrohungsbedingungen - Identifizieren von Bedrohungsprofilen für Benutzer und Geräte	Microsoft Defender XDR Besuchen Sie das Microsoft Defender-Portal, um auf eine einheitliche Ansicht von Incidents, Warnungen, Berichten und Bedrohungsanalysen zuzugreifen. Verwenden Sie die Microsoft Secure-Bewertung, um den Sicherheitsstatus zu bewerten und zu verbessern. Erstellen Sie benutzerdefinierte Erkennungen, um in Microsoft Defender XDR Sicherheitsereignisse zu überwachen und auf diese Ereignisse zu reagieren. - Microsoft Defender-Portal - Bewerten des Sicherheitsstatus mit der Sicherheitsbewertung - Benutzerdefinierte Erkennungen Microsoft Sentinel Verwenden Sie Arbeitsmappen, um Daten zu visualisieren und zu überwachen. Erstellen Sie benutzerdefinierte Analyseregeln, und aktivieren Sie die Anomalieerkennung, um sich ändernde Bedrohungsbedingungen zu identifizieren und entsprechende Warnungen auszugeben. - Visualisieren und Überwachen von Daten - Benutzerdefinierte Analysen zum Erkennen von Bedrohungen - Anpassen von Anomalien zum Erkennen von Bedrohungen
`Advanced` 7.4.2 Baseline- und Profilerstellung (Teil 2) DoD-Organisationen erweitern Baselines und Profile, um nicht verwaltete und nicht standardmäßige Gerätetypen mittels Datenausgabeüberwachung einzuschließen, darunter IoT-Geräte (Internet of Things, Internet der Dinge) und OT-Geräte (operative Technologie). Für diese Geräte werden dann basierend auf standardisierten Attributen und Anwendungsfällen erneut Profile erstellt. Analysen werden entsprechend den neuen Baselines und Profilen aktualisiert, wodurch weitere Erkennungen und Reaktionen aktiviert werden. Spezifische riskante Benutzer und Geräte werden basierend auf dem Risiko automatisch für eine verstärkte Überwachung priorisiert. Erkennung und Reaktion werden in säulenübergreifende Funktionen integriert. Ergebnisse: - Hinzufügen von Bedrohungsprofilen für IoT- und OT-Geräte - Entwickeln und Erweitern von Analysen - Ausweiten von Bedrohungsprofilen auf einzelne Benutzer und Geräte	Microsoft Defender XDR Ermitteln und schützen Sie nicht verwaltete Geräte mit Microsoft Defender for Endpoint (MDE). - Geräteermittlung - Anfügen von Mandanten zur Unterstützung von Endpunktsicherheitsrichtlinien in Intune - Schützen von verwalteten und nicht verwalteten Geräten - Authentifizierte Überprüfungen von Netzwerkgeräten - Authentifizierte Überprüfung von nicht verwalteten Windows-Geräten Microsoft Defender for IoT Stellen Sie Defender for IoT-Sensoren in Operational Technology (OT)-Netzwerken bereit. Defender for IoT unterstützt die Geräteüberwachung ohne Agents für Cloud-, lokale und hybride OT-Netzwerke. Aktivieren Sie den Lernmodus für eine Baseline Ihrer Umgebung, und verbinden Sie Defender for IoT mit Microsoft Sentinel. - Defender for IoT für Organisationen - OT-Überwachung - Mit OT-Warnungen gelernte Baseline - Verbinden von Defender for IoT mit Sentinel - Untersuchen von Entitäten mit Entitätsseiten
`Advanced` 7.4.3 Unterstützung von UEBA-Baselines (Teil 1) User and Entity Behavioral Analytics (UEBA) in DoD-Organisationen weitet die Überwachung auf erweiterte Analysen wie Machine Learning (ML) aus. Diese Ergebnisse werden wiederum überprüft und in die ML-Algorithmen eingespeist, um die Erkennung und Reaktion zu verbessern. Ergebnis: - Implementieren von ML-basierten Analysen zur Erkennung von Anomalien	Abschließen der Aktivität 7.3.2. Microsoft Sentinel-Analyseregeln Sentinel verwendet zwei Modelle, um Baselines zu erstellen und Anomalien zu erkennen – UEBA und maschinelles Lernen. - Erkannte Anomalien UEBA-Anomalien UEBA erkennt Anomalien basierend auf dynamischen Entitätsbaselines. - Aktivieren von UEBA - UEBA-Anomalien Machine Learning-Anomalien ML-Anomalien identifizieren ungewöhnliches Verhalten mit Standard-Analyseregelvorlagen. - ML Anomalien
`Advanced` 7.4.4 Unterstützung von UEBA-Baselines (Teil 2) Der UEBA-Prozess (User and Entity Behavioral Analytics) in DoD-Organisationen wird mithilfe von herkömmlichen und ML-basierten Ergebnissen (Machine Learning) vervollständigt, die in KI-Algorithmen (künstliche Intelligenz) eingespeist werden. Anfänglich werden KI-basierte Erkennungen überwacht, durch die Verwendung fortschrittlicher Techniken wie neuronaler Netzwerke sind UEBA-Operatoren letztendlich jedoch nicht Teil des Lernprozesses. Ergebnis: - Implementieren von ML-basierten Analysen zur Erkennung von Anomalien (überwachte KI-Erkennungen)	Fusion in Microsoft Sentinel Verwenden Sie die Erkennung komplexer mehrstufiger Angriffe in der Fusion-Analyseregel zur Erkennung von Angriffen in Sentinel. Fusion ist eine mit ML trainierte Korrelations-Engine, die mehrstufige Angriffe und komplexe persistente Bedrohungen (Advanced Persistent Threats, APTs) erkennt. Sie erkennt Kombinationen von anomalem Verhalten und verdächtigen Aktivitäten, die sonst nur schwer zu erkennen sind. - Erkennung komplexer mehrstufiger Angriffe Microsoft Sentinel-Notebooks Erstellen Sie Ihre eigenen angepassten ML-Modelle, um Sentinel-Daten mithilfe von Jupyter Notebooks und der BYO-ML-Plattform (Bring Your Own Machine Learning) zu analysieren. - BYO-ML in Sentinel - Jupyter Notebooks und MSTICPy

7.5 Threat Intelligence-Integration

Microsoft Defender Threat Intelligence optimiert die Selektierung, Reaktion auf Incidents, Bedrohungssuche, Sicherheitsrisikoverwaltung und Cyber Threat Intelligence (CTI) anhand der Erkenntnisse von Microsoft-Experten für Bedrohungen und anderen Quellen. Microsoft Sentinel stellt eine Verbindung mit Microsoft Defender Threat Intelligence und CTI-Quellen von Drittanbietern her.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 7.5.1 Cyber Threat Intelligence-Programm (Teil 1)
Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um Richtlinien, Standards und Prozesse für das CTI-Programm (Cyber Threat Intelligence) zu entwickeln. Organisationen nutzen diese Dokumentation, um innerhalb der Organisation CTI-Teams mit wichtigen Projektbeteiligten für die Mission/Aufgabe zu bilden. CTI-Teams integrieren allgemeine Datenfeeds in die SIEM-Lösung, um die Warnungen und Reaktionen zu verbessern. Integrationen in Geräte- und Netzwerkerzwingungspunkte (z. B. Firewalls, Suites für Endpunktsicherheit usw.) werden erstellt, um eine grundlegende Überwachung von CTI-gesteuerten Daten durchzuführen.

Ergebnisse:
- Einrichtung eines Cyber Threat Intelligence-Teams mit wichtigen Projektbeteiligten
- Nutzung von öffentlichen und Baseline-CTI-Feeds durch die SIEM-Lösung zum Generieren von Warnungen
- Grundlegende Integrationspunkte mit Geräte- und Netzwerkerzwingungspunkten (z. B. NGAV, NGFW, NG-IPS) Microsoft Defender Threat Intelligence
Verbinden Sie Defender Threat Intelligence und andere Feeds zur Bedrohungserkennung mit Sentinel.
- Defender Threat Intelligence
- Aktivieren des Datenconnectors für Defender Threat Intelligence
- Verbinden von Threat Intelligence-Plattformen mit Sentinel

Azure-Netzwerk
Integrieren Sie Netzwerkressourcen in Microsoft Sentinel.
- Sentinel mit Azure-Web-App-Firewall
- Azure Firewall mit Sentinel

Target 7.5.2 Cyber Threat Intelligence-Programm (Teil 2)
DoD-Organisationen erweitern ihre CTI-Teams (Cyber Threat Intelligence), um je nach Bedarf neue Projektbeteiligte einzubeziehen. Authentifizierte, private und kontrollierte CTI-Datenfeeds werden in die SIEM-Lösung und Erzwingungspunkte aus den Säulen „Gerät“, „Benutzer“, „Netzwerk“ und „Daten“ integriert.

Ergebnisse:
- Bildung des Cyber Threat Intelligence-Teams (ggf. mit zusätzlichen Projektbeteiligten)
- Nutzung von kontrollierten und privaten Feeds durch die SIEM-Lösung und andere geeignete Analysetools für Warnungen und die Überwachung
- Einrichtung der Integration für erweiterte Erzwingungspunkte innerhalb der Säulen „Gerät“, „Benutzer“, „Netzwerk“ und „Daten“ (UEBA, UAM) Microsoft Sentinel-Datenconnectors
Verwalten Sie Netzwerkressourcen in Azure mithilfe der REST-API. Richten Sie mithilfe von Sentinel-Playbooks und Logic Apps eine grundlegende Integration in Netzwerkerzwingungspunkte ein.
- REST-Vorgänge für virtuelle Netzwerke
- Reaktion auf Bedrohungen mit Sentinel-Playbooks

Suchen Sie im Repository für Sentinel-Playbooks nach Playbooks für andere Netzwerkerzwingungspunkte.
- Sentinel-Playbooks in GitHub

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 7.5.1 Cyber Threat Intelligence-Programm (Teil 1) Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um Richtlinien, Standards und Prozesse für das CTI-Programm (Cyber Threat Intelligence) zu entwickeln. Organisationen nutzen diese Dokumentation, um innerhalb der Organisation CTI-Teams mit wichtigen Projektbeteiligten für die Mission/Aufgabe zu bilden. CTI-Teams integrieren allgemeine Datenfeeds in die SIEM-Lösung, um die Warnungen und Reaktionen zu verbessern. Integrationen in Geräte- und Netzwerkerzwingungspunkte (z. B. Firewalls, Suites für Endpunktsicherheit usw.) werden erstellt, um eine grundlegende Überwachung von CTI-gesteuerten Daten durchzuführen. Ergebnisse: - Einrichtung eines Cyber Threat Intelligence-Teams mit wichtigen Projektbeteiligten - Nutzung von öffentlichen und Baseline-CTI-Feeds durch die SIEM-Lösung zum Generieren von Warnungen - Grundlegende Integrationspunkte mit Geräte- und Netzwerkerzwingungspunkten (z. B. NGAV, NGFW, NG-IPS)	Microsoft Defender Threat Intelligence Verbinden Sie Defender Threat Intelligence und andere Feeds zur Bedrohungserkennung mit Sentinel. - Defender Threat Intelligence - Aktivieren des Datenconnectors für Defender Threat Intelligence - Verbinden von Threat Intelligence-Plattformen mit Sentinel Azure-Netzwerk Integrieren Sie Netzwerkressourcen in Microsoft Sentinel. - Sentinel mit Azure-Web-App-Firewall - Azure Firewall mit Sentinel
`Target` 7.5.2 Cyber Threat Intelligence-Programm (Teil 2) DoD-Organisationen erweitern ihre CTI-Teams (Cyber Threat Intelligence), um je nach Bedarf neue Projektbeteiligte einzubeziehen. Authentifizierte, private und kontrollierte CTI-Datenfeeds werden in die SIEM-Lösung und Erzwingungspunkte aus den Säulen „Gerät“, „Benutzer“, „Netzwerk“ und „Daten“ integriert. Ergebnisse: - Bildung des Cyber Threat Intelligence-Teams (ggf. mit zusätzlichen Projektbeteiligten) - Nutzung von kontrollierten und privaten Feeds durch die SIEM-Lösung und andere geeignete Analysetools für Warnungen und die Überwachung - Einrichtung der Integration für erweiterte Erzwingungspunkte innerhalb der Säulen „Gerät“, „Benutzer“, „Netzwerk“ und „Daten“ (UEBA, UAM)	Microsoft Sentinel-Datenconnectors Verwalten Sie Netzwerkressourcen in Azure mithilfe der REST-API. Richten Sie mithilfe von Sentinel-Playbooks und Logic Apps eine grundlegende Integration in Netzwerkerzwingungspunkte ein. - REST-Vorgänge für virtuelle Netzwerke - Reaktion auf Bedrohungen mit Sentinel-Playbooks Suchen Sie im Repository für Sentinel-Playbooks nach Playbooks für andere Netzwerkerzwingungspunkte. - Sentinel-Playbooks in GitHub

7.6 Automatisierte dynamische Richtlinien

Der Microsoft-Sicherheitsstapel verwendet maschinelles Lernen (ML) und künstliche Intelligenz (KI), um Identitäten, Geräte, Anwendungen, Daten und Infrastruktur zu schützen. Mit Microsoft Defender XDR und bedingtem Zugriff richten ML-Erkennungen aggregierte Risikostufen für Benutzer und Geräte ein.

Verwenden Sie das Geräterisiko, um ein Gerät als nicht konform zu kennzeichnen. Die Identitätsrisikostufe ermöglicht es Organisationen, Phishing-beständige Authentifizierungsmethoden, kompatible Geräte, eine höhere Anmeldehäufigkeit usw. als erforderlich festzulegen. Verwenden Sie Risikobedingungen und Steuerungen für bedingten Zugriff, um automatisierte, dynamische Zugriffsrichtlinien zu erzwingen.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Advanced 7.6.1 KI-fähiger Netzwerkzugriff
DoD-Organisationen nutzen die SDN-Infrastruktur und Unternehmenssicherheitsprofile, um den KI-/ML-gesteuerten Netzwerkzugriff zu ermöglichen. Analysen aus früheren Aktivitäten werden verwendet, um die KI-/ML-Algorithmen zum Verbessern der Entscheidungsfindung zu trainieren.

Ergebnis:
- KI-gesteuerter Netzwerkzugriff auf Grundlage von Umgebungsanalysen Microsoft Defender XDR
Die automatische Angriffsunterbrechung in Microsoft Defender XDR begrenzt Lateral Movement-Angriffe. Diese Aktion reduziert die Auswirkungen eines Ransomwareangriffs. Microsoft Security-Forscher verwenden KI-Modelle, um komplexen Angriffen mit Defender XDR entgegenzuwirken. Die Lösung korreliert Signale in Incidents mit hoher Vertrauenswürdigkeit, um die Angriffe in Echtzeit zu identifizieren und einzudämmen.
- Angriffsunterbrechungen

Netzwerkschutzfunktionen in Microsoft Defender SmartScreen und Webschutz umfassen das Betriebssystem, um Command-and-Control-Angriffe (C2) zu blockieren.
- Schützen Ihres Netzwerks
- KI zum Blockieren von Ransomware, die von Menschen platziert wird)

Microsoft Sentinel
Verwenden Sie Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Antwortaktionen.
- Azure Firewall mit Sentinel

Advanced7.6.2 KI-fähige dynamische Zugriffssteuerung
DoD-Organisationen nutzen den vorherigen regelbasierten dynamischen Zugriff, um KI-/ML-Algorithmen dafür zu trainieren, Entscheidungen bezüglich des Zugriffs auf verschiedene Ressourcen zu treffen. Die Aktivitätsalgorithmen für den KI-fähigen Netzwerkzugriff werden aktualisiert, um eine umfassendere Entscheidungsfindung für alle DAAS zu ermöglichen.

Ergebnis:
- Integration von JIT/JEA in KI Bedingter Zugriff
Legen Sie die Microsoft Defender for Endpoint-Computerrisikostufe in der Microsoft Intune-Konformitätsrichtlinie als erforderlich fest. Verwenden Sie Gerätekonformitäts- und Microsoft Entra ID Protection-Risikobedingungen in Richtlinien für bedingten Zugriff.
- Risikobasierte Zugriffsrichtlinien
- Konformitätsrichtlinien zum Festlegen von Regeln für mit Intune verwaltete Geräte

Privileged Identity Management
Verwenden Sie Signale für die Identitätsschutzrisiko-Stufe und Gerätekonformität, um einen Authentifizierungskontext für privilegierten Zugriff zu definieren. Legen Sie den Authentifizierungskontext für Privileged Identity Management (PIM)-Anforderungen als erforderlich fest, um Richtlinien für den Just-In-Time (JIT)-Zugriff zu erzwingen.

Weitere Informationen finden Sie im Microsoft-Leitfaden 7.6.1 in diesem Abschnitt und 1.4.4 unter Benutzer.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Advanced` 7.6.1 KI-fähiger Netzwerkzugriff DoD-Organisationen nutzen die SDN-Infrastruktur und Unternehmenssicherheitsprofile, um den KI-/ML-gesteuerten Netzwerkzugriff zu ermöglichen. Analysen aus früheren Aktivitäten werden verwendet, um die KI-/ML-Algorithmen zum Verbessern der Entscheidungsfindung zu trainieren. Ergebnis: - KI-gesteuerter Netzwerkzugriff auf Grundlage von Umgebungsanalysen	Microsoft Defender XDR Die automatische Angriffsunterbrechung in Microsoft Defender XDR begrenzt Lateral Movement-Angriffe. Diese Aktion reduziert die Auswirkungen eines Ransomwareangriffs. Microsoft Security-Forscher verwenden KI-Modelle, um komplexen Angriffen mit Defender XDR entgegenzuwirken. Die Lösung korreliert Signale in Incidents mit hoher Vertrauenswürdigkeit, um die Angriffe in Echtzeit zu identifizieren und einzudämmen. - Angriffsunterbrechungen Netzwerkschutzfunktionen in Microsoft Defender SmartScreen und Webschutz umfassen das Betriebssystem, um Command-and-Control-Angriffe (C2) zu blockieren. - Schützen Ihres Netzwerks - KI zum Blockieren von Ransomware, die von Menschen platziert wird) Microsoft Sentinel Verwenden Sie Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Antwortaktionen. - Azure Firewall mit Sentinel
`Advanced`7.6.2 KI-fähige dynamische Zugriffssteuerung DoD-Organisationen nutzen den vorherigen regelbasierten dynamischen Zugriff, um KI-/ML-Algorithmen dafür zu trainieren, Entscheidungen bezüglich des Zugriffs auf verschiedene Ressourcen zu treffen. Die Aktivitätsalgorithmen für den KI-fähigen Netzwerkzugriff werden aktualisiert, um eine umfassendere Entscheidungsfindung für alle DAAS zu ermöglichen. Ergebnis: - Integration von JIT/JEA in KI	Bedingter Zugriff Legen Sie die Microsoft Defender for Endpoint-Computerrisikostufe in der Microsoft Intune-Konformitätsrichtlinie als erforderlich fest. Verwenden Sie Gerätekonformitäts- und Microsoft Entra ID Protection-Risikobedingungen in Richtlinien für bedingten Zugriff. - Risikobasierte Zugriffsrichtlinien - Konformitätsrichtlinien zum Festlegen von Regeln für mit Intune verwaltete Geräte Privileged Identity Management Verwenden Sie Signale für die Identitätsschutzrisiko-Stufe und Gerätekonformität, um einen Authentifizierungskontext für privilegierten Zugriff zu definieren. Legen Sie den Authentifizierungskontext für Privileged Identity Management (PIM)-Anforderungen als erforderlich fest, um Richtlinien für den Just-In-Time (JIT)-Zugriff zu erzwingen. Weitere Informationen finden Sie im Microsoft-Leitfaden 7.6.1 in diesem Abschnitt und 1.4.4 unter Benutzer.

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie:

Freigeben über

Zero Trust-Strategie des US-Verteidigungsministeriums für die Säule „Sichtbarkeit und Analysen“

7 Sichtbarkeit und Analysen

7.1 Protokollieren des gesamten Datenverkehrs

7.2 Security Information und Event Management

7.3 Allgemeine Sicherheits- und Risikoanalysen

7.4 User and Entity Behavior Analytics (UEBA)

7.5 Threat Intelligence-Integration

7.6 Automatisierte dynamische Richtlinien

Nächste Schritte

Feedback

Zusätzliche Ressourcen