Этап 3. Планирование интеграции XDR в Microsoft Defender с каталогом служб SOC

Область применения:

• Microsoft Defender XDR

Установленный центр управления безопасностью (SOC) должен содержать каталог служб, которые могут включать:

• Анализ вредоносных программ & вторжений
• Присвоение & обратного проектирования
• Аналитика угроз
• Аналитика
• Исследование охоты
• судебная экспертиза;
• Реагирование на инциденты
• Группа реагирования на инциденты компьютерной безопасности (CSIRT) (которые могут быть отделены от SOC)
• Тестирование соответствия требованиям
• Мониторинг внутренних угроз & мошенничества
• Мониторинг инцидентов безопасности & событий
• Сканирование уязвимостей
• Расширенное обнаружение и реагирование (XDR)/Оркестрация безопасности, автоматизация и реагирование (SOAR)
• Фишинг
• Защита от потери данных
• Мониторинг торговой марки

Компоненты XDR в Microsoft Defender:

• Microsoft Defender для удостоверений (ранее — Расширенная защита от угроз Azure, также известная как Azure ATP) — это облачное решение для обеспечения безопасности, которое использует сигналы доменных служб Active Directory (AD DS) для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на организации.

• Microsoft Defender для конечной точки — это целостное облачное решение для обеспечения безопасности конечных точек для устройств, включающее управление уязвимостями и оценку на основе рисков, сокращение направлений атак, поведенческую и облачную защиту следующего поколения, обнаружение конечных точек и реагирование на нее (EDR), автоматическое исследование и исправление, управляемые службы охоты, расширенные API и унифицированное управление безопасностью.

• Microsoft Defender для Office 365 — это облачная служба фильтрации электронной почты, которая помогает защитить организации от неизвестных вредоносных программ и вирусов, обеспечивая надежную защиту нулевого дня и включает функции защиты организаций от вредоносных связей в режиме реального времени. Он также предлагает комплексный список исследований и охоты, реагирования и исправления, осведомленности и обучения, а также функций безопасного состояния.

• Microsoft Defender for Cloud Apps — это брокер безопасности доступа к облаку (CASB), который поддерживает различные режимы развертывания, включая сбор журналов, соединители API и обратный прокси-сервер. Она обеспечивает широкие возможности видимости, контроль над перемещением данных и сложную аналитику для выявления киберугроз и борьбы с ними во всех облачных службах Майкрософт и сторонних разработчиков.

Так как компоненты и технологии XDR в Microsoft Defender охватывают различные функции, команде SOC потребуется определить, какие роли и обязанности лучше всего подходят для управления каждым компонентом XDR в Microsoft Defender и согласования с функцией службы.

Чтобы интегрировать возможности XDR в Microsoft Defender, необходимо уточнить службы SOC. Дополнительные сведения о возможностях XDR в Microsoft Defender см. в следующих статьях:

• Что такое Microsoft Defender для конечной точки?
• Что такое Microsoft Defender для удостоверений?
• Что такое Defender для Office 365?
• Что такое Microsoft Defender for Cloud Apps?

Следующее действие

Этап 4. Определение ролей, обязанностей и контроля XDR в Microsoft Defender

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.