Krok 4. Definování rolí, zodpovědností a dohledu Microsoft Defender XDR

  • Článek

Platí pro:

  • Microsoft Defender XDR

Než bude možné definovat provozní role, musí vaše organizace nastavit vlastnictví a odpovědnost za licence, konfigurace a správu Microsoft Defender XDR jako počáteční úlohy. Vlastnictví licencí, nákladů na předplatné a správa služeb Microsoft 365 a Enterprise Security + Mobility (EMS) (které můžou zahrnovat Microsoft Defender XDR) obvykle spadají mimo týmy soc (Security Operations Center). Týmy SOC by měly spolupracovat s těmito jednotlivci, aby zajistily správný dohled nad Microsoft Defender XDR.

Mnoho moderních soC přiřazuje členům týmu kategorie na základě jejich dovedností a funkcí. Příklady:

  • Tým analýzy hrozeb přiřazený k úkolům souvisejícím se správou životního cyklu hrozeb a analytických funkcí.
  • Monitorovací tým složený z analytiků SOC, kteří zodpovídají za správu protokolů, výstrah, událostí a monitorovacích funkcí.
  • Technický & provozní tým přiřazený k inženýrovi a optimalizaci bezpečnostních zařízení.

Role a odpovědnosti týmu SOC pro Microsoft Defender XDR by se přirozeně integrovaly do těchto týmů.

Následující tabulka obsahuje informace o rolích a zodpovědnostech jednotlivých týmů SOC a o tom, jak se jejich role integrují s Microsoft Defender XDR.

Tým SOC Role a odpovědnosti Microsoft Defender XDR úkolů
SoC – Dohled
  • Provádí zásady správného řízení SOC.
  • Vytváří denní, týdenní, měsíční procesy.
  • Poskytuje školení a povědomí
  • Najímá zaměstnance, účastní se skupin partnerů a schůzek
  • Provádí týmová cvičení s modrou, červenou a fialovou barvou
  • řízení přístupu k portálu Microsoft Defender
  • Udržuje registr aktualizací funkcí nebo adres URL a licencí.
  • Udržuje komunikaci se zúčastněnými stranami v oblasti IT, právního oddělení, dodržování předpisů a ochrany osobních údajů.
  • Účastní se schůzek řízení změn pro nové iniciativy Microsoftu 365 nebo Microsoft Azure
Analýza hrozeb & Analytics
  • Správa informačních kanálů intel o hrozbách
  • Přisuzování virů a malwaru
  • Modelování hrozeb & kategorizace událostí hrozeb
  • Vývoj atributů hrozeb programu Insider
  • Integrace technologie Threat Intel s programem Řízení rizik
  • Integruje přehledy dat s datovými vědami, BI a analýzami napříč personálními, právními, IT a bezpečnostními týmy.
    • Udržuje Microsoft Defender for Identity modelování hrozeb.
    • Udržuje Microsoft Defender pro Office 365 modelování hrozeb.
    • Udržuje Microsoft Defender for Endpoint modelování hrozeb.
    Sledování
    • Analytici vrstvy 1, 2, 3
    • Údržba a příprava zdroje protokolů
    • Příjem dat ze zdroje dat
    • Analýza SIEM, upozorňování, korelace, optimalizace
    • Generování událostí a upozornění
    • Analýza událostí a upozornění
    • Generování sestav událostí a upozornění
    • Údržba systému lístků
    		 Používá:
    • Centrum dodržování předpisů & zabezpečení
    • Portál Microsoft Defender
    Engineering & SecOps
    • Správa ohrožení zabezpečení pro aplikace, systémy a koncové body
    • Automatizace XDR/SOAR
    • Testování dodržování předpisů
    • Příprava útoků phishing a ochrany před únikem informací
    • Inženýrství
    • Ovládací prvek změny souřadnic
    • Koordinuje aktualizace runbooků
    • Penetrační testování
      • Microsoft Defender for Cloud Apps
      • Defender for Endpoint
      • Defender for Identity
      CsIRT (Computer Security Incident Response Team)
      • Prošetřuje kybernetické incidenty a reaguje na ně.
      • Provádí forenzní operace.
      • Může se často izolovat od soc
      		 Playbooky pro spolupráci a údržbu Microsoft Defender XDR reakcí na incidenty

      Další krok

      Krok 5. Vývoj a testování případů použití

      Tip

      Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.