Del via


Trin 4. Definer Microsoft Defender XDR roller, ansvar og tilsyn

Gælder for:

  • Microsoft Defender XDR

Din organisation skal etablere ejerskab og ansvarlighed for de Microsoft Defender XDR licenser, konfigurationer og administration som indledende opgaver, før der kan defineres driftsroller. Ejerskabet af licenser, abonnementsomkostninger og administration af Microsoft 365- og EMS-tjenester (Enterprise Security + Mobility), som kan omfatte Microsoft Defender XDR, falder typisk uden for SOC-teams (Security Operations Center). SOC-teams bør samarbejde med disse personer for at sikre korrekt tilsyn med Microsoft Defender XDR.

Mange moderne soc'er tildeler deres teammedlemmer til kategorier baseret på deres færdigheder og funktioner. Det kan f.eks. være:

  • Et trusselsintelligensteam, der er tildelt opgaver, der er relateret til livscyklusstyring af trussels- og analysefunktioner.
  • Et overvågningsteam bestående af SOC-analytikere, der er ansvarlige for at vedligeholde logge, beskeder, hændelser og overvågningsfunktioner.
  • Et teknisk & driftsteam, der er tildelt tekniker og optimere sikkerhedsenheder.

SOC-teamroller og -ansvar for Microsoft Defender XDR vil naturligvis blive integreret i disse teams.

I følgende tabel beskrives de enkelte SOC-teams roller og ansvarsområder, og hvordan deres roller integreres med Microsoft Defender XDR.

SOC-team Roller og ansvarsområder Microsoft Defender XDR opgaver
SOC-tilsyn
  • Udfører SOC-styring
  • Etablerer daglige, ugentlige, månedlige processer
  • Giver uddannelse og opmærksomhed
  • Ansætter medarbejdere, deltager i peer-grupper og møder
  • Udfører blå, rød og lilla holdøvelser
  • Microsoft Defender kontrolelementer til portaladgang
  • Vedligeholder funktions-/URL-adresse og licensopdateringsregister
  • Vedligeholder kommunikation med it-, juridiske, overholdelses- og beskyttelse af personlige oplysninger
  • Deltager i ændringskontrolmøder for nye Microsoft 365- eller Microsoft Azure-initiativer
Threat Intelligence & Analytics
  • Administration af Threat Intel-feed
  • Tilskrivning af virus og malware
  • Trusselsmodellering & kategoriseringer af trusselshændelser
  • Udvikling af attribut for insidertrusler
  • Threat Intel Integration with Risk Management-program
  • Integrerer dataindsigt med datavidenskab, BI og analyse på tværs af HR-, juridiske, it- og sikkerhedsteams
    • Vedligeholder Microsoft Defender for Identity trusselsmodellering
    • Vedligeholder Microsoft Defender for Office 365 trusselsmodellering
    • Vedligeholder Microsoft Defender for Endpoint trusselsmodellering
    Overvågning
    • Niveau 1, 2, 3 analytikere
    • Logfør kildevedligeholdelse og -teknik
    • Datakildeindtagelse
    • SIEM-fortolkning, beskeder, korrelation, optimering
    • Oprettelse af hændelse og besked
    • Analyse af hændelser og beskeder
    • Rapportering af hændelser og beskeder
    • Vedligeholdelse af billetsystem
    Bruger:
    • Security & Compliance Center
    • Microsoft Defender-portal
    Teknisk & SecOps
    • Administration af sårbarheder for apps, systemer og slutpunkter
    • XDR-/SOAR-automatisering
    • Test af overholdelse af angivne standarder
    • Phishing- og DLP-teknikerarbejde
    • Engineering
    • Kontrolelementet Koordinater ændres
    • Koordinater for opdateringer af runbook
    • Indtrængningstest
      • Microsoft Defender for Cloud Apps
      • Defender for Endpoint
      • Defender for Identity
      Computer Security Incident Response Team (CSIRT)
      • Undersøger og reagerer på cyberhændelser
      • Udfører tekniske undersøgelser
      • Kan ofte isoleres fra SOC
      Samarbejd og vedligehold playbooks Microsoft Defender XDR svar på hændelser

      Næste trin

      Trin 5. Udvikl og test use cases

      Tip

      Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.