Passaggio 6. Identificare le attività di manutenzione soc
Si applica a:
- Microsoft Defender XDR
Di seguito sono riportate le attività periodiche o necessarie per gestire il soc per Microsoft Defender XDR.
Attività | Descrizione | Cadenza | Team assegnato |
---|---|---|---|
Collaborazione per l'amministrazione dei servizi con SOC Teams | Amministrazione di servizi periferici come il rilevamento degli asset (CMDB), le licenze delle applicazioni (nuove licenze SaaS), gli acquisti di dispositivi (aggiornamenti o rinnovare le distribuzioni dei dispositivi) e altre modifiche a livello di tenant di Microsoft 365 (Intune, Microsoft 365 e altre) che potrebbero influire sulla distribuzione di prodotti Microsoft Defender XDR. | Settimanale e in base alle esigenze | Engineering & SecOps |
Aggiornare le campagne di prevenzione anti-phishing e perdita di dati | Incorporare casi d'uso soc e lezioni apprese con l'organizzazione estesa (risorse umane, legali, formazione e altri). | Mensile e in base alle esigenze | Supervisione SOC |
Distribuire script e servizi di automazione, se necessario | Scaricare e testare script di automazione e file di configurazione dai siti Microsoft approvati per migliorare le operazioni di Microsoft Defender XDR. | Settimanale e in base alle esigenze | Ingegneria e secOps |
Gestione delle licenze o del portale | Controllare gli annunci e il Centro Microsoft Messaggi per Microsoft Defender portale o le esigenze di licenza in base agli aggiornamenti Microsoft e alle nuove funzionalità. | Settimanale | Supervisione SOC |
Aggiornare i ticket di escalation SOC | Tutti i team SOC aggiornano i ticket di escalation (ad esempio Sentinel, i ticket ServiceNow) assegnati. | Giornaliera | Tutti i team SOC |
Tenere traccia dell'attività di correzione Gestione delle vulnerabilità di Microsoft Defender (MDVM) | Generare attività di correzione del punteggio di sicurezza MDVM e segnalare ai proprietari di asset tramite un portale Intranet. | Giornaliera | Monitoraggio |
Generare un report di punteggio di sicurezza | Il team di monitoraggio tiene traccia e segnala i miglioramenti del punteggio di sicurezza. | SOC settimanale | Monitoraggio |
Eseguire l'esercizio tabletop del runtime di integrazione | Testare i playbook del team SOC nell'esercizio da tavolo. | In base alle esigenze | Tutti i team SOC |
Integrare queste attività nei processi SOC correnti.
Passaggi successivi
È consigliabile esaminare le guide a cui si fa riferimento in questo contenuto e nella libreria Microsoft Defender XDR per determinare come deve essere strutturata e integrata la propria implementazione di Microsoft Defender XDR.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.