Trin 4. Definer Microsoft Defender XDR roller, ansvar og tilsyn
Gælder for:
- Microsoft Defender XDR
Din organisation skal etablere ejerskab og ansvarlighed for de Microsoft Defender XDR licenser, konfigurationer og administration som indledende opgaver, før der kan defineres driftsroller. Ejerskabet af licenser, abonnementsomkostninger og administration af Microsoft 365- og EMS-tjenester (Enterprise Security + Mobility), som kan omfatte Microsoft Defender XDR, falder typisk uden for SOC-teams (Security Operations Center). SOC-teams bør samarbejde med disse personer for at sikre korrekt tilsyn med Microsoft Defender XDR.
Mange moderne soc'er tildeler deres teammedlemmer til kategorier baseret på deres færdigheder og funktioner. Det kan f.eks. være:
- Et trusselsintelligensteam, der er tildelt opgaver, der er relateret til livscyklusstyring af trussels- og analysefunktioner.
- Et overvågningsteam bestående af SOC-analytikere, der er ansvarlige for at vedligeholde logge, beskeder, hændelser og overvågningsfunktioner.
- Et teknisk & driftsteam, der er tildelt tekniker og optimere sikkerhedsenheder.
SOC-teamroller og -ansvar for Microsoft Defender XDR vil naturligvis blive integreret i disse teams.
I følgende tabel beskrives de enkelte SOC-teams roller og ansvarsområder, og hvordan deres roller integreres med Microsoft Defender XDR.
SOC-team | Roller og ansvarsområder | Microsoft Defender XDR opgaver |
---|---|---|
SOC-tilsyn |
|
|
Threat Intelligence & Analytics |
|
|
Overvågning |
|
Bruger:
|
Teknisk & SecOps |
|
|
Computer Security Incident Response Team (CSIRT) |
|
Samarbejd og vedligehold playbooks Microsoft Defender XDR svar på hændelser |
Næste trin
Trin 5. Udvikl og test use cases
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.