Étape 3. Planifier l’intégration de Microsoft Defender XDR à votre catalogue de services SOC

S’applique à :

• Microsoft Defender XDR

Un centre d’opérations de sécurité (SOC) établi doit avoir un catalogue de services pouvant inclure :

• Analyse des programmes malveillants & d’intrusion
• Attribution & rétro-ingénierie
• Threat Intelligence
• Analyse
• Enquête de chasse
• Investigations
• Réponse aux incidents
• Équipe de réponse aux incidents de sécurité informatique (CSIRT) (qui peut être séparée du SOC)
• Tests de conformité
• Surveillance des menaces internes & des fraudes
• Surveillance des incidents de sécurité & des événements
• Analyse des vulnérabilités
• Détection et réponse étendues (XDR)/Orchestration, automatisation et réponse de sécurité (SOAR)
• Hameçonnage
• Prévention des pertes de données
• Surveillance de la marque

Les composants de Microsoft Defender XDR sont les suivants :

• Microsoft Defender pour Identity (anciennement Azure Advanced Threat Protection, également connu sous le nom d’Azure ATP) est une solution de sécurité basée sur le cloud qui utilise les signaux Active Directory Domain Services (AD DS) pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre les organisations.

• Microsoft Defender pour point de terminaison est une solution globale de sécurité de point de terminaison fournie dans le cloud pour les appareils qui inclut la gestion et l’évaluation des vulnérabilités basées sur les risques, la réduction de la surface d’attaque, la protection nouvelle génération basée sur le comportement et le cloud, la détection et la réponse des points de terminaison (EDR), l’investigation et la correction automatiques, les services de chasse managés, les API enrichies et la gestion unifiée de la sécurité.

• Microsoft Defender pour Office 365 est un service de filtrage de courrier basé sur le cloud qui permet de protéger les organisations contre les programmes malveillants et les virus inconnus en fournissant une protection zero-day robuste et inclut des fonctionnalités pour protéger les organisations contre les liens nuisibles en temps réel. Il offre également une liste complète d’investigation et de repérage, de réponse et de correction, de sensibilisation et de formation, et de fonctionnalités de posture sécurisée.

• Microsoft Defender for Cloud Apps est un répartiteur de sécurité d’accès cloud (CASB) qui prend en charge différents modes de déploiement, notamment la collecte de journaux, les connecteurs d’API et le proxy inverse. Il offre une visibilité enrichie, un contrôle sur le déplacement des données et des analyses sophistiquées pour identifier et combattre les cybermenaces dans tous les services cloud Microsoft et tiers.

Étant donné que les composants et technologies Microsoft Defender XDR couvrent différentes fonctions, votre équipe SOC doit déterminer les rôles et responsabilités les mieux adaptés pour gérer chaque composant de Microsoft Defender XDR et s’aligner sur la fonction de service.

Pour intégrer les fonctionnalités de Microsoft Defender XDR, vous devez affiner les services SOC. Pour plus d’informations sur les fonctionnalités de Microsoft Defender XDR, consultez les articles suivants :

• Qu’est-ce que Microsoft Defender pour point de terminaison ?
• Qu’est-ce que Microsoft Defender pour Identity ?
• Qu’est-ce que Defender pour Office 365 ?
• Qu'est-ce que Microsoft Defender pour les applications cloud ?

Étape suivante

Étape 4. Définir les rôles, responsabilités et supervision de Microsoft Defender XDR

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.