步骤 4. 定义Microsoft Defender XDR角色、职责和监督

  • 项目

适用于:

  • Microsoft Defender XDR

在定义任何操作角色之前,组织必须将Microsoft Defender XDR许可证、配置和管理的所有权和责任确立为初始任务。 通常,Microsoft 365 和企业安全性 + 移动性 (EMS 的许可证所有权、订阅成本和管理) 服务 (可能包括Microsoft Defender XDR) 不在安全运营中心 (SOC) 团队之外。 SOC 团队应与这些人合作,以确保对Microsoft Defender XDR进行适当的监督。

许多新式 SOC 根据其技能组和职能为其团队成员分配类别。 例如:

  • 一个威胁情报团队,分配给与威胁和分析功能生命周期管理相关的任务。
  • 由 SOC 分析师组成的监视团队,负责维护日志、警报、事件和监视功能。
  • 分配给设计和优化安全设备的工程 & 运营团队。

MICROSOFT DEFENDER XDR的 SOC 团队角色和职责自然会融入这些团队。

下表细分了每个 SOC 团队的角色和职责,以及他们的角色如何与Microsoft Defender XDR集成。

SOC 团队 角色和职责 Microsoft Defender XDR任务
SOC 监督
  • 执行 SOC 治理
  • 建立每日、每周、每月流程
  • 提供培训和认知
  • 雇用员工、参与对等组和会议
  • 进行蓝色、红色、紫色团队练习
  • Microsoft Defender门户访问控制
  • 维护功能/URL 和许可更新注册
  • 与 IT、法律、合规性和隐私利益干系人保持通信
  • 参与新的 Microsoft 365 或 Microsoft Azure 计划的变更控制会议
威胁情报 & 分析
  • 威胁 intel 源管理
  • 病毒和恶意软件属性
  • 威胁建模 & 威胁事件分类
  • 内部威胁属性开发
  • 威胁 Intel 与风险管理计划集成
  • 将数据见解与跨 HR、法律、IT 和安全团队的数据科学、BI 和分析集成
    • 维护Microsoft Defender for Identity威胁建模
    • 维护Microsoft Defender for Office 365威胁建模
    • 维护Microsoft Defender for Endpoint威胁建模
    监控
    • 第 1、2、3 层分析师
    • 日志源维护和工程
    • 数据源引入
    • SIEM 分析、警报、关联、优化
    • 事件和警报生成
    • 事件和警报分析
    • 事件和警报报告
    • 票证系统维护
    		 使用:
    • 安全与合规中心
    • Microsoft Defender 门户
    工程 & SecOps
    • 应用、系统和终结点的漏洞管理
    • XDR/SOAR 自动化
    • 符合性测试
    • 钓鱼和 DLP 工程
    • 工程
    • 坐标更改控件
    • 协调 Runbook 更新
    • 渗透测试
      • Microsoft Defender for Cloud Apps
      • Defender for Endpoint
      • Defender for Identity
      计算机安全事件响应团队 (CSIRT)
      • 调查和响应网络事件
      • 执行取证
      • 通常可以与 SOC 隔离
      		 协作和维护Microsoft Defender XDR事件响应 playbook

      后续步骤

      步骤 5. 开发和测试用例

      提示

      想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区