步骤 1. 规划Microsoft Defender XDR操作准备情况

适用于：

• Microsoft Defender XDR

无论安全操作的当前成熟度如何，都务必与安全运营中心 (SOC) 保持一致。 虽然没有适合每个组织的单个模型，但某些方面比其他方面更常见。

以下部分介绍 SOC 的核心功能。

提供对新式威胁的态势感知

SOC 团队准备并搜寻新的和传入的威胁，以便他们可以与组织合作制定对策和响应。 SOC 团队的人员应受过新式攻击方法和技术的高度培训，并了解威胁参与者。 共享威胁情报和框架（如 网络杀伤链 或 MITRE ATT&CK 框架 ）可为威胁分析师和威胁猎手的员工提供支持。

为网络事件和事件提供第一级、第二级和潜在的第三级响应

SOC 是安全事件和事件防御的前线。 当事件、威胁、攻击、策略违规或审核发现触发警报或行动号召时，SOC 团队会进行评估，以会审并包含它或上报调查。 因此，SOC 一线响应者必须对安全事件和指标具有广泛的技术知识。

集中监视和记录组织的安全源

通常，SOC 团队的核心功能是确保所有安全设备（如防火墙、入侵防护系统、数据丢失防护系统、漏洞管理系统和标识系统）正常运行并受到监视。 SOC 团队与更广泛的网络运营（如标识、DevOps、云、应用程序、数据科学和其他业务团队）合作，以确保集中分析安全信息的安全。 此外，SOC 团队还负责维护可用和可读格式的数据日志，可能包括分析和规范化不同的格式。

建立红色、蓝色和紫色团队的运营准备情况

每个 SOC 团队都应测试其应对网络事件的准备情况。 测试可以通过培训练习来完成，例如桌面和与 IT、安全和业务级别的各种人员一起练习运行。 个人训练练习团队是基于代表性角色创建的，他们要么扮演蓝队) (后卫、 (红队) 的攻击者的角色，要么作为观察者寻求通过练习 (中发现的蓝队和红队) 中发现的长处和弱点来改进蓝队和红队的方法和技术。

后续步骤

步骤 2. 使用 零信任 框架执行 SOC 集成就绪情况评估

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。