Étape 3. Planifier l’intégration Microsoft Defender XDR à votre catalogue de services SOC

S’applique à :

• Microsoft Defender XDR

Un centre d’opérations de sécurité (SOC) établi doit avoir un catalogue de services pouvant inclure :

• Analyse des programmes malveillants & d’intrusion
• Attribution & rétro-ingénierie
• Threat Intelligence
• Analyse
• Enquête de chasse
• Investigations
• Réponse aux incidents
• Équipe de réponse aux incidents de sécurité informatique (CSIRT) (qui peut être séparée du SOC)
• Tests de conformité
• Surveillance des menaces internes & des fraudes
• Surveillance des incidents de sécurité & des événements
• Analyse des vulnérabilités
• Détection et réponse étendues (XDR)/Orchestration, automatisation et réponse de sécurité (SOAR)
• Hameçonnage
• Prévention des pertes de données
• Surveillance de la marque

Les composants de Microsoft Defender XDR sont les suivants :

• Microsoft Defender pour Identity (anciennement Azure Advanced Threat Protection, également appelé Azure ATP) est une solution de sécurité basée sur le cloud qui utilise services de domaine Active Directory Signaux (AD DS) pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre les organisations.

• Microsoft Defender pour point de terminaison est une solution holistique de sécurité de point de terminaison fournie par le cloud pour les appareils qui inclut la gestion et l’évaluation des vulnérabilités basées sur les risques, la réduction de la surface d’attaque, la protection nouvelle génération basée sur le comportement et alimentée par le cloud, la détection et la réponse des points de terminaison (EDR), l’investigation et la correction automatiques, les services de chasse managés, les API enrichies et les API enrichies et gestion de la sécurité unifiée.

• Microsoft Defender pour Office 365 est un service de filtrage du courrier électronique basé sur le cloud qui permet de protéger les organisations contre les programmes malveillants et les virus inconnus en fournissant une protection zero-day robuste et inclut des fonctionnalités pour protéger les organisations contre les liens dangereux en temps réel. Il offre également une liste complète d’investigation et de repérage, de réponse et de correction, de sensibilisation et de formation, et de fonctionnalités de posture sécurisée.

• Microsoft Defender for Cloud Apps est un répartiteur de sécurité d’accès cloud (CASB) qui prend en charge différents modes de déploiement, notamment la collecte de journaux, les connecteurs d’API et le proxy inverse. Il offre une visibilité enrichie, un contrôle sur le déplacement des données et des analyses sophistiquées pour identifier et combattre les cybermenaces dans tous les services cloud Microsoft et tiers.

Étant donné que Microsoft Defender XDR composants et technologies couvrent différentes fonctions, votre équipe SOC doit déterminer les rôles et responsabilités les mieux adaptés pour gérer chaque composant de Microsoft Defender XDR et s’aligner sur la fonction de service.

Pour intégrer les fonctionnalités de Microsoft Defender XDR, vous devez affiner les services SOC. Pour plus d’informations sur les fonctionnalités de Microsoft Defender XDR, consultez les articles suivants :

• Qu’est-ce que Microsoft Defender pour point de terminaison ?
• Qu’est-ce que Microsoft Defender pour Identity ?
• Qu’est-ce que Defender pour Office 365 ?
• Qu'est-ce que Microsoft Defender pour les applications cloud ?

Étape suivante

Étape 4. Définir Microsoft Defender XDR rôles, responsabilités et supervision

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.