Jaa

Vaihe 4: Määritä Microsoft Defender XDR roolit, vastuut ja valvonta

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Organisaatiosi on määritettävä Microsoft Defender XDR käyttöoikeuksien, määritysten ja hallinnan omistajuus ja vastuu alkuperäisiksi tehtäviksi, ennen kuin mitään operatiivisia rooleja voidaan määrittää. Yleensä Microsoft 365- ja Enterprise Security + Mobility (EMS) -palveluiden (joihin saattaa sisältyä Microsoft Defender XDR) käyttöoikeuksien, tilauskustannusten ja hallinnan omistajuus jää Security Operations Center (SOC) -tiimien ulkopuolelle. SOC-tiimien olisi tehtävä yhteistyötä näiden henkilöiden kanssa varmistaakseen Microsoft Defender XDR asianmukaisen valvonnan.

Monet nykyaikaiset SOC:t määrittävät ryhmänsä jäsenet luokkiin osaamisensa ja toimintojensa perusteella. Esimerkki:

  • Uhkatietotiimi, joka on määritetty uhkien ja analytiikkatoimintojen elinkaaren hallintaan liittyviin tehtäviin.
  • Seurantaryhmä koostuu SOC-analyytikoista, jotka vastaavat lokien, hälytysten, tapahtumien ja valvontatoimintojen ylläpidosta.
  • Tekninen & toimintaryhmä, joka on määritetty suunnittelemaan ja optimoimaan suojauslaitteita.

SOC:n tiimiroolit ja vastuut Microsoft Defender XDR integroituisivat luonnollisesti näihin tiimeihin.

Seuraavassa taulukossa esitetään kunkin SOC-tiimin roolit ja vastuut sekä se, miten heidän roolinsa integroituvat Microsoft Defender XDR.

SOC-tiimi Roolit ja vastuut Microsoft Defender XDR tehtävät
SOC-valvonta
  • Suorittaa SOC-hallintaa
  • Luo päivittäisiä, viikoittaisia ja kuukausittaisia prosesseja
  • Tarjoaa koulutusta ja tietoisuutta
  • Palkkaa henkilöstöä, osallistuu vertaisryhmiin ja kokouksiin
  • Suorittaa sinisiä, punaisia ja violetteja joukkueharjoituksia
  • Microsoft Defender portaalin käyttöoikeuksien hallinta
  • Ylläpitää ominaisuuksien/URL-osoitteiden ja käyttöoikeuksien päivitysrekisteriä
  • Ylläpitää viestintää IT-, juridisen, yhteensopivuuden ja tietosuojan sidosryhmien kanssa
  • Osallistuu uusien Microsoft 365- tai Microsoft Azure -aloitteiden muutostenhallintakokouksiin
Uhkien & analysointi
  • Uhkien intel-syötteen hallinta
  • Virusten ja haittaohjelmien attribuutio
  • Uhkien mallinnus & uhkatapahtuman luokittelut
  • Insider threat Attribute -kehitys
  • Threat Intel Integration with Risk Management -ohjelma
  • Integroi merkityksellisiä tietoja datatieteen, BI:n ja analytiikan avulla henkilöstöhallinto-, laki-, IT- ja tietoturvatiimeissä
    • Ylläpitää uhkien Microsoft Defender for Identity mallinnusta
    • Ylläpitää uhkien Microsoft Defender for Office 365 mallinnusta
    • Ylläpitää uhkien Microsoft Defender for Endpoint mallinnusta
    Seuranta
    • Tason 1, 2, 3 analyytikot
    • Lokilähteiden ylläpito ja suunnittelu
    • Tietolähteen käsittely
    • SIEM-jäsennys, hälytykset, korrelaatio, optimointi
    • Tapahtumien ja hälytysten luominen
    • Tapahtuma- ja hälytysanalyysi
    • Tapahtuma- ja hälytysraportointi
    • Lippujärjestelmän ylläpito
    		 Käyttää:
    • Tietoturva- & yhteensopivuuskeskus
    • Microsoft Defender -portaali
    Engineering & SecOps
    • Sovellusten, järjestelmien ja päätepisteiden haavoittuvuuden hallinta
    • XDR/SOAR-automaatio
    • Yhteensopivuustestaus
    • Tietojenkalastelu ja DLP-suunnittelu
    • Engineering
    • Koordinaattien muutosohjausobjekti
    • Koordinaatit runbook päivityksiä
    • Penetraatiotestaus
      • Microsoft Defender for Cloud Apps
      • Defender for Endpoint
      • Defender for Identity
      Tietokoneen tietoturvatapausten käsittelyryhmä (CSIRT)
      • Tutkii kybertapahtumia ja vastaa niihin
      • Suorittaa rikosteknistä tutkimista
      • Saatetaan usein eristää SOC:stä
      		 Tee yhteistyötä ja ylläpidä Microsoft Defender XDR tapausten käsittelyn pelikirjoja

      Seuraavat vaiheet

      Vaihe 5: Käyttötapausten kehittäminen ja testaaminen

      Vihje

      Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.