步驟 6. 識別SOC維護工作
適用於:
- Microsoft Defender XDR
以下是維護SOC以進行 Microsoft Defender 全面偵測回應的定期或必要工作。
活動 | 描述 | 步調 | 已指派小組 |
---|---|---|---|
與 SOC Teams 的服務管理共同作業 | 管理周邊服務,例如資產追蹤 (CMDB) 、應用程式授權 (新的 SaaS 授權) 、裝置購買 (升級或更新裝置部署) ,以及其他可能影響 Microsoft Defender 全面偵測回應 產品部署的 Microsoft 365 全租用戶變更 (Intune、Microsoft 365 和其他) 可能影響 Microsoft Defender 全面偵測回應 產品的部署。 | 每周和視需要 | Engineering & SecOps |
更新防網路釣魚和數據外洩防護活動 | 將SOC使用案例和學習到的經驗與擴充組織 (人力資源、法律、訓練及其他) 。 | 每月和視需要 | SOC 監督 |
適當地部署自動化腳本和服務 | 從核准的 Microsoft 網站下載並測試自動化腳本和組態檔,以改善 Microsoft Defender 全面偵測回應 作業。 | 每周和視需要 | Engineering 和 SecOps |
入口網站或授權管理 | 根據 Microsoft 更新和新功能,查看公告和 Microsoft 訊息中心 中心,以瞭解 Microsoft Defender 入口網站或授權需求。 | 每週 | SOC 監督 |
更新SOC呈報票證 | 所有SOC小組都會更新 (,例如Sentinel、ServiceNow票證) 指派給他們。 | 每日 | 所有 SOC 小組 |
追蹤 Microsoft Defender 弱點管理 (MDVM) 補救活動 | 產生 MDVM 安全分數補救活動,並透過內部網路入口網站向資產擁有者報告。 | 每日 | 監視 |
產生安全分數報告 | 監視小組會追蹤並報告安全分數改善。 | 每周 SOC | 監視 |
執行 IR 桌面練習 | 在表格式練習中測試 SOC 小組劇本。 | 視需要 | 所有 SOC 小組 |
將這些工作整合到您目前的SOC程式中。
後續步驟
您應該檢閱本內容和 Microsoft Defender 全面偵測回應 文檔庫中所參考的指南,以判斷您自己的 Microsoft Defender 全面偵測回應 實作結構和整合方式。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。