Etapa 4. Definir Microsoft Defender XDR funções, responsabilidades e supervisão

Aplica-se a:

• Microsoft Defender XDR

Sua organização deve estabelecer a propriedade e a responsabilidade do Microsoft Defender XDR licenças, configurações e administração como tarefas iniciais antes que qualquer função operacional possa ser definida. Normalmente, a propriedade das licenças, dos custos de assinatura e da administração dos serviços Microsoft 365 e Enterprise Security + Mobility (EMS) (que podem incluir Microsoft Defender XDR) estão fora das equipes do SOC (Centro de Operações de Segurança). As equipes do SOC devem trabalhar com esses indivíduos para garantir a supervisão adequada de Microsoft Defender XDR.

Muitos SOCs modernos atribuem seus membros de equipe a categorias com base em seus conjuntos de habilidades e funções. Por exemplo:

• Uma equipe de inteligência contra ameaças atribuída a tarefas relacionadas ao gerenciamento do ciclo de vida de funções de ameaça e análise.
• Uma equipe de monitoramento composta por analistas do SOC responsáveis pela manutenção de logs, alertas, eventos e funções de monitoramento.
• Uma equipe de operações de & engenharia atribuída ao engenheiro e otimização de dispositivos de segurança.

As funções e as responsabilidades da equipe SOC para Microsoft Defender XDR se integrariam naturalmente a essas equipes.

A tabela a seguir detalha as funções e as responsabilidades de cada equipe do SOC e como suas funções se integram ao Microsoft Defender XDR.

Equipe SOC	Funções e responsabilidades	Microsoft Defender XDR tarefas
Supervisão do SOC	Executa governança SOC Estabelece processos diários, semanais e mensais Fornece treinamento e conscientização Contrata funcionários, participa de grupos de pares e reuniões Realiza exercícios de equipe Azul, Vermelho, Roxo	Microsoft Defender controles de acesso ao portal Mantém o registro de atualização de recurso/URL e licenciamento Mantém a comunicação com os stakeholders de TI, legais, de conformidade e de privacidade Participa de reuniões de controle de alterações para novas iniciativas do Microsoft 365 ou do Microsoft Azure
Análise de & de Inteligência contra Ameaças	Gerenciamento de feed intel de ameaças Atribuição de vírus e malware Categorizações de eventos de ameaças & modelagem de ameaças Desenvolvimento de atributos de ameaça interna Integração intel de ameaças com o programa gerenciamento de riscos Integra insights de dados à ciência de dados, BI e análise em equipes de RH, jurídico, TI e segurança	Mantém Microsoft Defender para Identidade modelagem de ameaças Mantém Microsoft Defender para Office 365 modelagem de ameaças Mantém Microsoft Defender para Ponto de Extremidade modelagem de ameaças
Monitoramento	Analistas de nível 1, 2, 3 Manutenção e engenharia de origem de log Ingestão de fonte de dados Análise, alerta, correlação, otimização do SIEM Geração de eventos e alertas Análise de eventos e alertas Relatórios de eventos e alertas Manutenção do sistema de bilhetagem	Usa: Centro de Conformidade e Segurança Portal do Microsoft Defender
SecOps & engenharia	Gerenciamento de vulnerabilidades para aplicativos, sistemas e pontos de extremidade Automação XDR/SOAR Teste de conformidade Engenharia de phishing e DLP Engenharia Coordena o controle de alteração Coordena atualizações de runbook Teste de penetração	Microsoft Defender for Cloud Apps Pilot Defender para Ponto de Extremidade Defender para Identidade
Equipe de Resposta a Incidentes de Segurança do Computador (CSIRT)	Investiga e responde a incidentes cibernéticos Realiza perícia Muitas vezes pode ser isolado do SOC	Colaborar e manter Microsoft Defender XDR guias estratégicos de resposta a incidentes

Próxima etapa

Etapa 5. Desenvolver e testar casos de uso

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.