Trinn 4. Definer Microsoft Defender XDR roller, ansvarsområder og tilsyn
Gjelder for:
- Microsoft Defender XDR
Organisasjonen må etablere eierskap og ansvar for Microsoft Defender XDR lisenser, konfigurasjoner og administrasjon som innledende oppgaver før eventuelle driftsroller kan defineres. Vanligvis faller eierskap av lisenser, abonnementskostnader og administrasjon av Microsoft 365- og Enterprise Security + Mobility (EMS)-tjenester (som kan omfatte Microsoft Defender XDR) utenfor Security Operations Center (SOC)-teamene. SOC-team bør samarbeide med disse personene for å sikre riktig tilsyn med Microsoft Defender XDR.
Mange moderne SOCer tilordner teammedlemmene sine til kategorier basert på deres ferdigheter og funksjoner. Eksempel:
- Et trusselintelligensteam tilordnet oppgaver relatert til livssyklusstyring av trussel- og analysefunksjoner.
- Et overvåkingsteam bestående av SOC-analytikere som er ansvarlige for vedlikehold av logger, varsler, hendelser og overvåkingsfunksjoner.
- Et teknisk & operasjonsteam tilordnet til å utvikle og optimalisere sikkerhetsenheter.
SOC-teamroller og -ansvar for Microsoft Defender XDR vil naturlig integreres i disse teamene.
Tabellen nedenfor bryter ut rollene og ansvarsrollene til hvert SOC-team og hvordan rollene deres integreres med Microsoft Defender XDR.
SOC-team | Roller og ansvarsområder | Microsoft Defender XDR aktiviteter |
---|---|---|
SOC-tilsyn |
|
|
Threat Intelligence & Analytics |
|
|
Overvåking |
|
Bruker:
|
Engineering & SecOps |
|
|
Responsteam for datasikkerhetshendelser (CSIRT) |
|
Samarbeide og vedlikeholde Microsoft Defender XDR playbooks for hendelsesrespons |
Neste trinn:
Trinn 5. Utvikle og teste brukstilfeller
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.