Del via


Trinn 4. Definer Microsoft Defender XDR roller, ansvarsområder og tilsyn

Gjelder for:

  • Microsoft Defender XDR

Organisasjonen må etablere eierskap og ansvar for Microsoft Defender XDR lisenser, konfigurasjoner og administrasjon som innledende oppgaver før eventuelle driftsroller kan defineres. Vanligvis faller eierskap av lisenser, abonnementskostnader og administrasjon av Microsoft 365- og Enterprise Security + Mobility (EMS)-tjenester (som kan omfatte Microsoft Defender XDR) utenfor Security Operations Center (SOC)-teamene. SOC-team bør samarbeide med disse personene for å sikre riktig tilsyn med Microsoft Defender XDR.

Mange moderne SOCer tilordner teammedlemmene sine til kategorier basert på deres ferdigheter og funksjoner. Eksempel:

  • Et trusselintelligensteam tilordnet oppgaver relatert til livssyklusstyring av trussel- og analysefunksjoner.
  • Et overvåkingsteam bestående av SOC-analytikere som er ansvarlige for vedlikehold av logger, varsler, hendelser og overvåkingsfunksjoner.
  • Et teknisk & operasjonsteam tilordnet til å utvikle og optimalisere sikkerhetsenheter.

SOC-teamroller og -ansvar for Microsoft Defender XDR vil naturlig integreres i disse teamene.

Tabellen nedenfor bryter ut rollene og ansvarsrollene til hvert SOC-team og hvordan rollene deres integreres med Microsoft Defender XDR.

SOC-team Roller og ansvarsområder Microsoft Defender XDR aktiviteter
SOC-tilsyn
  • Utfører SOC-styring
  • Etablerer daglige, ukentlige, månedlige prosesser
  • Gir opplæring og bevissthet
  • Ansetter ansatte, deltar i nodegrupper og møter
  • Utfører blå, rød, lilla teamøvelser
  • Microsoft Defender portaltilgangskontroller
  • Vedlikeholder registeret for funksjons-/nettadresse- og lisensieringsoppdatering
  • Opprettholder kommunikasjon med IT-, juridiske, samsvars- og personverninteressenter
  • Deltar i endringskontrollmøter for nye Microsoft 365- eller Microsoft Azure-initiativer
Threat Intelligence & Analytics
  • Administrasjon av trusselintellise
  • Attribusjon av virus og skadelig programvare
  • Kategoriseringer av trusselmodellering & trusselhendelser
  • Insider threat Attribute-utvikling
  • Trusselintegrering med risikostyringsprogram
  • Integrerer datainnsikt med datavitenskap, BI og analyser på tvers av PERSONAL-, juridisk-, IT- og sikkerhetsteam
    • Opprettholder Microsoft Defender for identitet trusselmodellering
    • Opprettholder Microsoft Defender for Office 365 trusselmodellering
    • Opprettholder Microsoft Defender for endepunkt trusselmodellering
    Overvåking
    • Nivå 1, 2, 3 analytikere
    • Vedlikehold og utvikling av loggkilde
    • Inntak av datakilde
    • SIEM-analyse, varsling, korrelasjon, optimalisering
    • Generering av hendelse og varsel
    • Hendelses- og varselanalyse
    • Hendelses- og varselrapportering
    • Vedlikehold av billettsystem
    Bruker:
    • Sikkerhets- & samsvarssenter
    • Microsoft Defender portal
    Engineering & SecOps
    • Behandling av sikkerhetsproblemer for apper, systemer og endepunkter
    • XDR/SOAR-automatisering
    • Samsvarstesting
    • Phishing- og DLP-teknikk
    • Engineering
    • Kontroll for endring av koordinater
    • Oppdateringer for coordinates runbook
    • Penetrasjonstesting
      • Microsoft Defender for skyapper
      • Defender for endepunkt
      • Defender for identitet
      Responsteam for datasikkerhetshendelser (CSIRT)
      • Undersøker og reagerer på netthendelser
      • Utfører rettsmedisinske
      • Kan ofte være isolert fra SOC
      Samarbeide og vedlikeholde Microsoft Defender XDR playbooks for hendelsesrespons

      Neste trinn:

      Trinn 5. Utvikle og teste brukstilfeller

      Tips

      Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.