Delen via

Stap 4. Microsoft Defender XDR rollen, verantwoordelijkheden en toezicht definiëren

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR

Uw organisatie moet het eigendom en de verantwoordelijkheid van de Microsoft Defender XDR licenties, configuraties en beheer als eerste taken instellen voordat operationele rollen kunnen worden gedefinieerd. Normaal gesproken valt het eigendom van de licenties, abonnementskosten en het beheer van Microsoft 365- en Enterprise Security + Mobility-services (EMS) (waaronder mogelijk Microsoft Defender XDR) buiten de SOC-teams (Security Operations Center). SOC-teams moeten samenwerken met deze personen om te zorgen voor goed toezicht op Microsoft Defender XDR.

Veel moderne SOC's wijzen hun teamleden toe aan categorieën op basis van hun vaardighedensets en functies. Bijvoorbeeld:

  • Een bedreigingsinformatieteam dat is toegewezen aan taken met betrekking tot levenscyclusbeheer van bedreigings- en analysefuncties.
  • Een bewakingsteam dat bestaat uit SOC-analisten die verantwoordelijk zijn voor het onderhouden van logboeken, waarschuwingen, gebeurtenissen en bewakingsfuncties.
  • Een technisch & operations-team dat is toegewezen aan het engineeren en optimaliseren van beveiligingsapparaten.

SOC-teamrollen en -verantwoordelijkheden voor Microsoft Defender XDR zouden natuurlijk in deze teams kunnen worden geïntegreerd.

De volgende tabel bevat een overzicht van de rollen en verantwoordelijkheden van elk SOC-team en de integratie van hun rollen met Microsoft Defender XDR.

SOC-team Rollen en verantwoordelijkheden taken Microsoft Defender XDR
SOC-toezicht
  • Voert SOC-governance uit
  • Hiermee worden dagelijkse, wekelijkse en maandelijkse processen ingesteld
  • Biedt training en bewustzijn
  • Neemt personeel aan, neemt deel aan peergroepen en vergaderingen
  • Voert blauwe, rode, paarse teamoefeningen uit
  • Toegangsbeheer voor Microsoft Defender portal
  • Onderhoudt het updateregister van functies/URL's en licenties
  • Onderhoudt communicatie met it-, juridische, nalevings- en privacy-belanghebbenden
  • Neemt deel aan wijzigingenbeheervergaderingen voor nieuwe Microsoft 365- of Microsoft Azure-initiatieven
Threat Intelligence & Analytics
  • Beheer van bedreigingsinformatiefeed
  • Virus- en malwaretoewijzing
  • Bedreigingsmodellering & categorisaties van bedreigingsevenementen
  • Ontwikkeling van insider-bedreigingskenmerken
  • Threat Intel Integration with Risk Management-programma
  • Integreert data insights met data science, BI en analytics in HR-, juridische, IT- en beveiligingsteams
    • Onderhoudt Microsoft Defender for Identity threat modeling
    • Onderhoudt Microsoft Defender voor Office 365 threat modeling
    • Onderhoudt Microsoft Defender voor Eindpunt threat modeling
    Monitoring
    • Analisten op laag 1, 2, 3
    • Onderhoud en engineering van logboekbronnen
    • Gegevensbronopname
    • SIEM-parsering, waarschuwingen, correlatie, optimalisatie
    • Gebeurtenis- en waarschuwingsgeneratie
    • Gebeurtenis- en waarschuwingsanalyse
    • Gebeurtenis- en waarschuwingsrapportage
    • Onderhoud van ticketingsysteem
    		 Gebruikt:
    • Beveiligings- en compliancecentrum
    • Microsoft Defender-portal
    Engineering & SecOps
    • Beheer van beveiligingsproblemen voor apps, systemen en eindpunten
    • XDR/SOAR-automatisering
    • Nalevingstests
    • Phishing en DLP-engineering
    • Engineering
    • Coördinaten wijzigen besturingselement
    • Coördineert runbookupdates
    • Penetratietesten
      • Microsoft Defender for Cloud Apps
      • Defender voor Eindpunt
      • Defender for Identity
      Computer Security Incident Response Team (CSIRT)
      • Onderzoekt en reageert op cyberincidenten
      • Forensisch onderzoek uitvoeren
      • Kan vaak worden geïsoleerd van SOC
      		 Playbooks voor het reageren op Microsoft Defender XDR incidenten samenwerken en onderhouden

      Volgende stap

      Stap 5. Use cases ontwikkelen en testen

      Tip

      Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.