Stap 4. Microsoft Defender XDR rollen, verantwoordelijkheden en toezicht definiëren

Van toepassing op:

• Microsoft Defender XDR

Uw organisatie moet het eigendom en de verantwoordelijkheid van de Microsoft Defender XDR licenties, configuraties en beheer als eerste taken instellen voordat operationele rollen kunnen worden gedefinieerd. Normaal gesproken valt het eigendom van de licenties, abonnementskosten en het beheer van Microsoft 365- en Enterprise Security + Mobility-services (EMS) (waaronder mogelijk Microsoft Defender XDR) buiten de SOC-teams (Security Operations Center). SOC-teams moeten samenwerken met deze personen om te zorgen voor goed toezicht op Microsoft Defender XDR.

Veel moderne SOC's wijzen hun teamleden toe aan categorieën op basis van hun vaardighedensets en functies. Bijvoorbeeld:

• Een bedreigingsinformatieteam dat is toegewezen aan taken met betrekking tot levenscyclusbeheer van bedreigings- en analysefuncties.
• Een bewakingsteam dat bestaat uit SOC-analisten die verantwoordelijk zijn voor het onderhouden van logboeken, waarschuwingen, gebeurtenissen en bewakingsfuncties.
• Een technisch & operations-team dat is toegewezen aan het engineeren en optimaliseren van beveiligingsapparaten.

SOC-teamrollen en -verantwoordelijkheden voor Microsoft Defender XDR zouden natuurlijk in deze teams kunnen worden geïntegreerd.

De volgende tabel bevat een overzicht van de rollen en verantwoordelijkheden van elk SOC-team en de integratie van hun rollen met Microsoft Defender XDR.

SOC-team	Rollen en verantwoordelijkheden	taken Microsoft Defender XDR
SOC-toezicht	Voert SOC-governance uit Hiermee worden dagelijkse, wekelijkse en maandelijkse processen ingesteld Biedt training en bewustzijn Neemt personeel aan, neemt deel aan peergroepen en vergaderingen Voert blauwe, rode, paarse teamoefeningen uit	Toegangsbeheer voor Microsoft Defender portal Onderhoudt het updateregister van functies/URL's en licenties Onderhoudt communicatie met it-, juridische, nalevings- en privacy-belanghebbenden Neemt deel aan wijzigingenbeheervergaderingen voor nieuwe Microsoft 365- of Microsoft Azure-initiatieven
Threat Intelligence & Analytics	Beheer van bedreigingsinformatiefeed Virus- en malwaretoewijzing Bedreigingsmodellering & categorisaties van bedreigingsevenementen Ontwikkeling van insider-bedreigingskenmerken Threat Intel Integration with Risk Management-programma Integreert data insights met data science, BI en analytics in HR-, juridische, IT- en beveiligingsteams	Onderhoudt Microsoft Defender for Identity threat modeling Onderhoudt Microsoft Defender voor Office 365 threat modeling Onderhoudt Microsoft Defender voor Eindpunt threat modeling
Monitoring	Analisten op laag 1, 2, 3 Onderhoud en engineering van logboekbronnen Gegevensbronopname SIEM-parsering, waarschuwingen, correlatie, optimalisatie Gebeurtenis- en waarschuwingsgeneratie Gebeurtenis- en waarschuwingsanalyse Gebeurtenis- en waarschuwingsrapportage Onderhoud van ticketingsysteem	Gebruikt: Beveiligings- en compliancecentrum Microsoft Defender-portal
Engineering & SecOps	Beheer van beveiligingsproblemen voor apps, systemen en eindpunten XDR/SOAR-automatisering Nalevingstests Phishing en DLP-engineering Engineering Coördinaten wijzigen besturingselement Coördineert runbookupdates Penetratietesten	Microsoft Defender for Cloud Apps Defender voor Eindpunt Defender for Identity
Computer Security Incident Response Team (CSIRT)	Onderzoekt en reageert op cyberincidenten Forensisch onderzoek uitvoeren Kan vaak worden geïsoleerd van SOC	Playbooks voor het reageren op Microsoft Defender XDR incidenten samenwerken en onderhouden

Volgende stap

Stap 5. Use cases ontwikkelen en testen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.