步骤 6. 确定 SOC 维护任务
适用于:
- Microsoft Defender XDR
下面是维护 SOC 以Microsoft Defender XDR的定期任务或所需任务。
| 活动 | 说明 | Cadence | 已分配团队 |
|---|---|---|---|
| 与 SOC Teams 的服务管理协作 | 管理外围服务,例如资产跟踪 (CMDB) 、应用程序许可 (新的 SaaS 许可证) 、设备购买 (升级或续订设备部署) ,以及可能影响Microsoft Defender XDR产品部署的其他 Microsoft 365 租户范围的更改 (Intune、Microsoft 365 和其他) 。 | 每周和根据需要 | 工程 & SecOps |
| 更新防钓鱼和数据丢失防护活动 | 将 SOC 用例和经验教训与扩展组织 (人力资源、法律、培训和其他) 。 | 每月和根据需要 | SOC 监督 |
| 在适当情况下部署自动化脚本和服务 | 从批准的 Microsoft 站点下载并测试自动化脚本和配置文件,以改善Microsoft Defender XDR操作。 | 每周和根据需要 | 工程和 SecOps |
| 门户或许可证管理 | 根据 Microsoft 更新和新功能,查看公告和Microsoft 消息中心,了解Microsoft Defender门户或许可需求。 | 每周 | SOC 监督 |
| 更新 SOC 升级票证 | 所有 SOC 团队都会更新升级票证 (,例如 Sentinel、ServiceNow 票证) 分配给他们。 | 每天 | 所有 SOC 团队 |
| 跟踪Microsoft Defender 漏洞管理 (MDVM) 修正活动 | 生成 MDVM 安全功能分数修正活动,并通过 Intranet 门户向资产所有者报告。 | 每天 | 监控 |
| 生成安全功能分数报告 | 监视团队跟踪并报告安全功能分数改进。 | 每周 SOC | 监控 |
| 运行 IR 桌面练习 | 在桌面练习中测试 SOC 团队 playbook。 | (视需要) | 所有 SOC 团队 |
将这些任务集成到当前 SOC 进程中。
后续步骤
应查看此内容和Microsoft Defender XDR库中引用的指南,以确定应如何构建和集成自己的Microsoft Defender XDR实现。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈