Partage via


Étape 4. Définir Microsoft Defender XDR rôles, responsabilités et supervision

S’applique à :

  • Microsoft Defender XDR

Votre organization doit établir la propriété et la responsabilité des Microsoft Defender XDR licences, configurations et administration en tant que tâches initiales avant de pouvoir définir des rôles opérationnels. En règle générale, la propriété des licences, les coûts d’abonnement et l’administration des services Microsoft 365 et Enterprise Security + Mobility (EMS) (qui peuvent inclure Microsoft Defender XDR) ne relèvent pas des équipes soc (Security Operations Center). Les équipes SOC doivent collaborer avec ces personnes pour assurer une supervision appropriée des Microsoft Defender XDR.

De nombreux SOC modernes attribuent les membres de leur équipe à des catégories en fonction de leurs compétences et fonctions. Par exemple :

  • Une équipe de renseignement sur les menaces affectée à des tâches liées à la gestion du cycle de vie des fonctions d’analyse et de menaces.
  • Une équipe de supervision composée d’analystes SOC chargés de gérer les journaux, les alertes, les événements et les fonctions de supervision.
  • Une équipe d’ingénierie & des opérations affectée à l’ingénierie et à l’optimisation des appareils de sécurité.

Les rôles et responsabilités de l’équipe SOC pour Microsoft Defender XDR s’intégreraient naturellement à ces équipes.

Le tableau suivant présente les rôles et responsabilités de chaque équipe SOC et la façon dont leurs rôles s’intègrent à Microsoft Defender XDR.

Équipe SOC Rôles et responsabilités Microsoft Defender XDR tâches
Supervision SOC
  • Effectue la gouvernance SOC
  • Établit des processus quotidiens, hebdomadaires et mensuels
  • Fournit de la formation et de la sensibilisation
  • Embauche du personnel, participe à des groupes de pairs et à des réunions
  • Effectue des exercices d’équipe Bleu, Rouge et Violet
  • Microsoft Defender contrôles d’accès au portail
  • Gère le registre des mises à jour des fonctionnalités/URL et des licences
  • Maintient la communication avec les parties prenantes informatiques, juridiques, de conformité et de confidentialité
  • Participe à des réunions de contrôle des modifications pour de nouvelles initiatives Microsoft 365 ou Microsoft Azure
Threat Intelligence & Analytics
  • Gestion des flux d’intel des menaces
  • Attribution de virus et de programmes malveillants
  • Modélisation des menaces & catégorisations des événements de menace
  • Développement d’attributs de menace interne
  • Intégration d’Intel des menaces au programme De gestion des risques
  • Intègre des insights sur les données à la science des données, à la bi et à l’analytique au sein des équipes RH, juridiques, informatiques et de sécurité
    • Maintient Microsoft Defender pour Identity modélisation des menaces
    • Maintient Microsoft Defender pour Office 365 modélisation des menaces
    • Maintient Microsoft Defender pour point de terminaison modélisation des menaces
    Analyse
    • Analystes de niveau 1, 2, 3
    • Maintenance et ingénierie de la source de journal
    • Ingestion de source de données
    • Analyse SIEM, alertes, corrélation, optimisation
    • Génération d’événements et d’alertes
    • Analyse des événements et des alertes
    • Rapports d’événements et d’alertes
    • Maintenance du système de ticketing
    Utilise:
    • Centre de sécurité et conformité
    • Portail Microsoft Defender
    Ingénierie & SecOps
    • Gestion des vulnérabilités pour les applications, les systèmes et les points de terminaison
    • Automatisation XDR/SOAR
    • Tests de conformité
    • Hameçonnage et ingénierie DLP
    • Ingénierie
    • Contrôle des modifications des coordonnées
    • Coordonne les mises à jour du runbook
    • Tests d’intrusion
      • Microsoft Defender for Cloud Apps
      • Defender pour point de terminaison
      • Defender pour l’identité
      Équipe de réponse aux incidents de sécurité informatique (CSIRT)
      • Enquête et répond aux incidents cybernétiques
      • Effectue des analyses de forensique
      • Peut souvent être isolé du SOC
      Collaborer et gérer Microsoft Defender XDR playbooks de réponse aux incidents

      Étape suivante

      Étape 5. Développer et tester des cas d’usage

      Conseil

      Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.