Megosztás a következőn keresztül:

4. lépés: Szerepkörök, felelősségek és felügyelet Microsoft Defender XDR meghatározása

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A szervezetnek kezdeti feladatként meg kell határoznia a Microsoft Defender XDR licencek, konfigurációk és felügyelet tulajdonjogát és elszámoltathatóságát, mielőtt bármilyen operatív szerepkör meghatározható lenne. A Microsoft 365 és az Enterprise Security + Mobility (EMS) szolgáltatások (amelyek Microsoft Defender XDR is tartalmazhatnak) licenceinek, előfizetési költségeinek és felügyeletének tulajdonjoga általában kívül esik a Security Operations Center (SOC) csapatán. Az SOC-csapatoknak együtt kell működnie ezekkel a személyekkel a Microsoft Defender XDR megfelelő felügyeletének biztosítása érdekében.

Számos modern soCs hozzárendeli a csapattagokat a kategóriákhoz a képességcsoportjuk és a funkcióik alapján. Például:

  • A fenyegetésfelderítési csapat a fenyegetés- és elemzési funkciók életciklus-kezelésével kapcsolatos feladatokhoz van hozzárendelve.
  • A monitorozási csapat a naplók, riasztások, események és monitorozási funkciók karbantartásáért felelős SOC-elemzőkből áll.
  • Egy mérnöki & üzemeltetési csapat, amely a biztonsági eszközök tervezéséhez és optimalizálásához van hozzárendelve.

Az SOC-csapat szerepkörei és feladatkörei a Microsoft Defender XDR természetesen integrálódnak ezekbe a csapatokba.

Az alábbi táblázat az soc csapat szerepköreit és felelősségeit, valamint a szerepkörök és a Microsoft Defender XDR integrálásának módját ismerteti.

SOC-csapat Szerepkörök és felelősségek Microsoft Defender XDR tevékenységek
SOC-felügyelet
  • SOC-szabályozás végrehajtása
  • Napi, heti, havi folyamatok létrehozása
  • Képzést és tudatosságot biztosít
  • Alkalmazottak felvétele, társcsoportokban és értekezleteken való részvétel
  • Kék, piros, lila csapatgyakorlatokat tart
  • Microsoft Defender portál hozzáférés-vezérlése
  • Szolgáltatás-/URL-cím- és licencfrissítési regiszter karbantartása
  • Kommunikációt tart fenn az informatikai, jogi, megfelelőségi és adatvédelmi érdekeltekkel
  • Részt vesz az új Microsoft 365- vagy Microsoft Azure-kezdeményezések változásvezérlési értekezletein
Fenyegetésfelderítési & Analytics
  • Fenyegetésfelderítési hírcsatorna kezelése
  • Vírus- és kártevő-forrásmegjelölés
  • Fenyegetésmodellezés & fenyegetésesemény-kategóriák
  • Insider threat Attribútumok fejlesztése
  • Threat Intel Integration with Risk Management program
  • Adatelemzéseket integrál az adatelemzéssel, a BI-val és az elemzésekkel a HR-, jogi, informatikai és biztonsági csapatok között
    • Fenntartja Microsoft Defender for Identity fenyegetésmodellezést
    • Fenntartja Office 365-höz készült Microsoft Defender fenyegetésmodellezést
    • Fenntartja Végponthoz készült Microsoft Defender fenyegetésmodellezést
    Megfigyelő
    • 1. rétegbeli, 2. és 3. szintű elemzők
    • Naplóforrás karbantartása és tervezése
    • Adatforrások betöltése
    • SIEM-elemzés, riasztás, korreláció, optimalizálás
    • Esemény- és riasztáslétrehozás
    • Esemény- és riasztáselemzés
    • Esemény- és riasztásjelentés
    • Jegykezelő rendszer karbantartása
    		 Használ:
    • Biztonsági & megfelelőségi központ
    • Microsoft Defender portál
    Műszaki & SecOps
    • Biztonságirés-kezelés alkalmazásokhoz, rendszerekhez és végpontokhoz
    • XDR/SOAR automatizálás
    • Megfelelőségi tesztelés
    • Adathalászat és DLP-tervezés
    • Mérnöki
    • Koordináta-változásvezérlés
    • Runbookfrissítések koordinálása
    • Behatolástesztelés
      • Microsoft Defender for Cloud Apps
      • Végponthoz készült Defender
      • Defender for Identity
      Számítógépes biztonsági incidensmegoldási csapat (CSIRT)
      • Kiberesemények kivizsgálása és megválaszolása
      • Kriminalisztikai műveleteket végez
      • Gyakran el lehet különíteni az SOC-től
      		 Együttműködés és Microsoft Defender XDR incidensmegoldási forgatókönyvek karbantartása

      További lépés

      5. lépés: Használati esetek fejlesztése és tesztelése

      Tipp

      Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.