Krok nr 4. Definiowanie Microsoft Defender XDR ról, obowiązków i nadzoru

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Twoja organizacja musi ustanowić własność i odpowiedzialność Microsoft Defender XDR licencji, konfiguracji i administracji jako początkowe zadania, zanim będzie można zdefiniować jakiekolwiek role operacyjne. Zazwyczaj własność licencji, kosztów subskrypcji i administrowania usługami Microsoft 365 i Enterprise Security + Mobility (EMS) (które mogą obejmować Microsoft Defender XDR) wykracza poza zespoły usługi Security Operations Center (SOC). Zespoły SOC powinny współpracować z tymi osobami, aby zapewnić odpowiedni nadzór nad Microsoft Defender XDR.

Wiele nowoczesnych soc przypisać członków zespołu do kategorii na podstawie ich zestawów umiejętności i funkcji. Przykład:

  • Zespół analizy zagrożeń przypisany do zadań związanych z zarządzaniem cyklem życia funkcji analizy i zagrożeń.
  • Zespół monitorujący składający się z analityków SOC odpowiedzialnych za obsługę dzienników, alertów, zdarzeń i funkcji monitorowania.
  • Zespół ds. operacji & inżynierów przypisany do inżyniera i optymalizowania urządzeń zabezpieczeń.

Role i obowiązki zespołu SOC dla Microsoft Defender XDR naturalnie integrują się z tymi zespołami.

W poniższej tabeli przedstawiono role i obowiązki każdego zespołu SOC oraz sposób integracji ich ról z Microsoft Defender XDR.

Zespół SOC Role i obowiązki zadania Microsoft Defender XDR
Nadzór SOC
  • Wykonuje ład SOC
  • Ustanawia procesy codziennie, co tydzień i co miesiąc
  • Zapewnia szkolenia i świadomość
  • Zatrudnia pracowników, uczestniczy w grupach równorzędnych i spotkaniach
  • Prowadzi ćwiczenia zespołowe Blue, Red, Purple
  • Microsoft Defender kontrolki dostępu do portalu
  • Utrzymuje funkcję/adres URL i rejestr aktualizacji licencjonowania
  • Utrzymuje komunikację z osobami biorącymi udział w projekcie it, prawnym, zgodności i prywatności
  • Uczestniczy w spotkaniach kontroli zmian dla nowych inicjatyw platformy Microsoft 365 lub Microsoft Azure
Analiza zagrożeń & Analytics
  • Zarządzanie źródłami danych intel zagrożeń
  • Przypisywanie wirusów i złośliwego oprogramowania
  • Modelowanie zagrożeń & kategoryzacji zdarzeń zagrożeń
  • Opracowywanie atrybutów zagrożeń wewnętrznych
  • Integracja rozwiązania Threat Intel z programem zarządzania ryzykiem
  • Integruje szczegółowe informacje o danych z analizą danych, analizą biznesową i analizą w zespołach ds. kadr, prawnych, IT i zabezpieczeń
    • Utrzymuje modelowanie zagrożeń Microsoft Defender for Identity
    • Utrzymuje modelowanie zagrożeń Ochrona usługi Office 365 w usłudze Microsoft Defender
    • Utrzymuje modelowanie zagrożeń Ochrona punktu końcowego w usłudze Microsoft Defender
    Monitorowania
    • Warstwa 1, 2, 3 analitycy
    • Konserwacja i inżynieria źródła dzienników
    • Pozyskiwanie źródła danych
    • Analiza SIEM, alerty, korelacja, optymalizacja
    • Generowanie zdarzeń i alertów
    • Analiza zdarzeń i alertów
    • Raportowanie zdarzeń i alertów
    • Konserwacja systemu biletów
    		 Używa:
    • Centrum zgodności & zabezpieczeń
    • Portal usługi Microsoft Defender
    Inżynieria & SecOps
    • Zarządzanie lukami w zabezpieczeniach dla aplikacji, systemów i punktów końcowych
    • Automatyzacja XDR/SOAR
    • Testowanie zgodności
    • Wyłudzanie informacji i inżynieria DLP
    • Inżynierii
    • Kontrolka zmian współrzędnych
    • Współrzędne aktualizacji elementu Runbook
    • Testy penetracyjne
      • Microsoft Defender for Cloud Apps
      • Ochrona punktu końcowego w usłudze Microsoft Defender
      • Defender for Identity
      Zespół reagowania na zdarzenia zabezpieczeń komputera (CSIRT)
      • Badanie zdarzeń cybernetycznych i reagowanie na nie
      • Wykonuje badania kryminalistyczne
      • Często mogą być odizolowane od soc
      		 Współpraca i obsługa podręczników Microsoft Defender XDR reagowania na zdarzenia

      Następny krok

      Krok nr 5. Opracowywanie i testowanie przypadków użycia

      Porada

      Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.