Paso 3. Planeamiento de la integración de XDR de Microsoft Defender con el catálogo de servicios de SOC
Se aplica a:
- Microsoft Defender XDR
Un centro de operaciones de seguridad (SOC) establecido debe tener un catálogo de servicios que pueda incluir:
- Intrusión & análisis de malware
- Atribución & ingeniería inversa
- Inteligencia sobre amenazas
- Análisis
- Investigación de búsqueda
- Análisis forense
- Respuesta a incidentes
- Equipo de respuesta a incidentes de seguridad del equipo (CSIRT) (que se puede separar de SOC)
- Pruebas de cumplimiento
- Supervisión de fraudes & amenazas internas
- Supervisión de eventos & incidentes de seguridad
- Detección de vulnerabilidades
- Detección y respuesta extendidas (XDR)/Orquestación, automatización y respuesta de seguridad (SOAR)
- Suplantación de identidad (phishing)
- Prevención de pérdida de datos
- Supervisión de marca
Los componentes de Microsoft Defender XDR son:
Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection, también conocido como Azure ATP) es una solución de seguridad basada en la nube que usa señales de Active Directory Domain Services (AD DS) para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a las organizaciones.
Microsoft Defender para punto de conexión es una solución holística de seguridad de puntos de conexión entregados en la nube para dispositivos que incluye la administración y evaluación de vulnerabilidades basada en riesgos, la reducción de la superficie expuesta a ataques, la protección de próxima generación basada en el comportamiento y con tecnología de nube, la detección y respuesta de puntos de conexión (EDR), la investigación y corrección automáticas, los servicios de búsqueda administrados, las API enriquecidas y la administración unificada de la seguridad.
Microsoft Defender para Office 365 es un servicio de filtrado de correo electrónico basado en la nube que ayuda a proteger a las organizaciones contra malware y virus desconocidos proporcionando una sólida protección de día cero e incluye características para proteger a las organizaciones de vínculos dañinos en tiempo real. También ofrece una lista completa de las características de investigación y búsqueda, respuesta y corrección, reconocimiento y entrenamiento, y características de posición segura.
Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB) que admite varios modos de implementación, como la recopilación de registros, los conectores de API y el proxy inverso. Proporciona una visibilidad enriquecida, control sobre los viajes de datos y análisis sofisticados para identificar y combatir ciberamenazas en todos los servicios en la nube de Microsoft y de terceros.
Dado que los componentes y las tecnologías de XDR de Microsoft Defender abarcan varias funciones, el equipo de SOC deberá determinar qué roles y responsabilidades son más adecuados para administrar cada componente de XDR de Microsoft Defender y alinearse con la función de servicio.
Para integrar las funcionalidades de XDR de Microsoft Defender, deberá refinar los servicios de SOC. Para obtener más información sobre las funcionalidades de XDR de Microsoft Defender, consulte los artículos siguientes:
- ¿Qué es Microsoft Defender para punto de conexión?
- ¿Qué es Microsoft Defender for Identity?
- ¿Qué es Defender para Office 365?
- ¿Qué es Microsoft Defender for Cloud Apps?
Paso siguiente
Paso 4. Definición de roles, responsabilidades y supervisión de Microsoft Defender XDR
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.