共用方式為

步驟 4. 定義 Microsoft Defender 全面偵測回應 角色、責任和監督

  • 發行項

適用於:

  • Microsoft Defender XDR

貴組織必須先建立 Microsoft Defender 全面偵測回應 授權、設定和管理的擁有權和責任,作為初始工作,才能定義任何作業角色。 一般而言,Microsoft 365 和企業安全性 + 行動 (EMS) 服務的授權、訂用帳戶成本和管理 (可能包含 Microsoft Defender 全面偵測回應) 落在安全性營運中心 (SOC) 小組之外。 SOC 小組應該與這些人員合作,以確保適當地監督 Microsoft Defender 全面偵測回應。

許多新式SOC會根據其技能集和功能,將其小組成員指派給類別。 例如:

  • 指派給威脅和分析功能生命週期管理相關工作的威脅情報小組。
  • 由SOC分析師組成的監視小組,負責維護記錄、警示、事件和監視功能。
  • 一個工程 & 作業小組,負責設計及優化安全性裝置。

SOC 小組角色和 Microsoft Defender 全面偵測回應 的責任會自然地整合到這些小組中。

下表列出每個 SOC 小組的角色和責任,以及其角色如何與 Microsoft Defender 全面偵測回應 整合。

SOC小組 角色和責任 Microsoft Defender 全面偵測回應 工作
SOC 監督
  • 執行SOC治理
  • 建立每日、每周、每月的程式
  • 提供訓練和認知
  • 僱用員工、參與對等群組和會議
  • 進行藍色、紅色、紫色小組練習
  • Microsoft Defender 入口網站訪問控制
  • 維護功能/URL 和授權更新緩存器
  • 維護與IT、法律、合規性和隱私權項目關係人的通訊
  • 參與新 Microsoft 365 或 Microsoft Azure 方案的變更控制會議
威脅情報 & 分析
  • 威脅情報摘要管理
  • 病毒和惡意代碼屬性
  • 威脅模型化 & 威脅事件分類
  • 測試人員威脅屬性開發
  • 威脅 Intel 與風險管理計劃整合
  • 在 HR、法律、IT 和安全性小組之間整合數據深入解析與數據科學、BI 和分析
    • 維護 適用於身分識別的 Microsoft Defender 威脅模型化
    • 維護 適用於 Office 365 的 Microsoft Defender 威脅模型化
    • 維護 適用於端點的 Microsoft Defender 威脅模型化
    監視
    • 第 1、2、3 層分析師
    • 記錄來源維護和工程
    • 數據源擷取
    • SIEM 剖析, 警示, 相互關聯, 優化
    • 事件和警示產生
    • 事件和警示分析
    • 事件和警示報告
    • 票證系統維護
    		 使用:
    • 安全性與合規性中心
    • Microsoft Defender 入口網站
    Engineering & SecOps
    • 應用程式、系統和端點的弱點管理
    • XDR/SOAR 自動化
    • 合規性測試
    • 網路釣魚和 DLP 工程
    • 工程
    • 座標變更控件
    • 座標 Runbook 更新
    • 滲透測試
      • Microsoft 雲端 App 安全性
      • 適用於端點的 Defender
      • 適用於身分識別的 Defender
      計算機安全性事件回應小組 (CSIRT)
      • 調查和響應網路事件
      • 執行鑑識
      • 通常可能會與SOC隔離
      		 共同作業及維護 Microsoft Defender 全面偵測回應 事件回應劇本

      下一步

      步驟 5. 開發和測試使用案例

      提示

      想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。