Freigeben über


Schritt 4. Definieren Microsoft Defender XDR Rollen, Zuständigkeiten und Aufsicht

Gilt für:

  • Microsoft Defender XDR

Ihr organization muss den Besitz und die Verantwortlichkeit der Microsoft Defender XDR Lizenzen, Konfigurationen und Verwaltung als anfängliche Aufgaben festlegen, bevor betriebsbezogene Rollen definiert werden können. In der Regel fallen der Besitz der Lizenzen, Abonnementkosten und verwaltung von Microsoft 365- und EMS-Diensten (einschließlich Microsoft Defender XDR) außerhalb der Security Operations Center-Teams (SOC). SOC-Teams sollten mit diesen Personen zusammenarbeiten, um eine ordnungsgemäße Überwachung der Microsoft Defender XDR sicherzustellen.

Viele moderne SOCs weisen ihre Teammitglieder basierend auf ihren Skillsets und Funktionen Kategorien zu. Zum Beispiel:

  • Ein Threat Intelligence-Team, das Aufgaben im Zusammenhang mit der Lebenszyklusverwaltung von Bedrohungs- und Analysefunktionen zugewiesen ist.
  • Ein Überwachungsteam, das aus SOC-Analysten besteht, die für die Verwaltung von Protokollen, Warnungen, Ereignissen und Überwachungsfunktionen verantwortlich sind.
  • Ein Engineering & Betriebsteam, das sicherheitsrelevante Geräte entwickeln und optimieren soll.

SOC-Teamrollen und -zuständigkeiten für Microsoft Defender XDR würden sich natürlich in diese Teams integrieren.

In der folgenden Tabelle werden die Rollen und Zuständigkeiten der einzelnen SOC-Teams sowie die Integration der Rollen in Microsoft Defender XDR erläutert.

SOC-Team Rollen und Zuständigkeiten Microsoft Defender XDR Aufgaben
SOC-Aufsicht
  • Führt SOC-Governance durch
  • Richtet tägliche, wöchentliche, monatliche Prozesse ein.
  • Bietet Schulungen und Bewusstsein
  • Stellt Mitarbeiter ein, nimmt an Peergruppen und Besprechungen teil
  • Führt Blau-, Rot- und Lila-Teamübungen durch
  • Zugriffssteuerungen im Microsoft Defender-Portal
  • Verwaltet das Feature-/URL- und Lizenzierungsupdateregister
  • Aufrechterhalten der Kommunikation mit IT-, Rechts-, Compliance- und Datenschutzbeteiligten
  • Teilnahme an Änderungskontrollbesprechungen für neue Microsoft 365- oder Microsoft Azure-Initiativen
Threat Intelligence & Analytics
  • Bedrohungs-Intel-Feedverwaltung
  • Zuordnung von Viren und Schadsoftware
  • Bedrohungsmodellierung & Kategorie von Bedrohungsereignissen
  • Entwicklung von Insider-Bedrohungsattributen
  • Threat Intel-Integration mit Risikomanagement-Programm
  • Integration von Datenerkenntnissen in Data Science, BI und Analysen in Personal-, Rechts-, IT- und Sicherheitsteams
    • Verwaltet Microsoft Defender for Identity Bedrohungsmodellierung
    • Verwaltet Microsoft Defender for Office 365 Bedrohungsmodellierung
    • Verwaltet Microsoft Defender for Endpoint Bedrohungsmodellierung
    Überwachung
    • Analysten der Ebene 1, 2, 3
    • Wartung und Engineering von Protokollquellen
    • Datenerfassung
    • SIEM-Analyse, Warnungen, Korrelation, Optimierung
    • Ereignis- und Warnungsgenerierung
    • Ereignis- und Warnungsanalyse
    • Ereignis- und Warnungsberichte
    • Wartung des Ticketingsystems
    Verwendet:
    • Security & Compliance Center
    • Microsoft Defender-Portal
    Engineering & SecOps
    • Verwaltung von Sicherheitsrisiken für Apps, Systeme und Endpunkte
    • XDR/SOAR-Automatisierung
    • Konformitätstests
    • Phishing- und DLP-Entwicklung
    • Konstruktion
    • Koordinatenänderungssteuerung
    • Koordinaten-Runbookupdates
    • Penetrationstests
      • Microsoft Defender for Cloud Apps
      • Defender für Endpunkt
      • Defender for Identity
      Computer Security Incident Response Team (CSIRT)
      • Untersuchung und Reaktion auf Cybervorfälle
      • Führt Forensik aus
      • Kann häufig von SOC isoliert sein
      Zusammenarbeiten und Verwalten Microsoft Defender XDR Playbooks zur Reaktion auf Vorfälle

      Nächster Schritt

      Schritt 5. Entwickeln und Testen von Anwendungsfällen

      Tipp

      Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.