Dela via

Steg 4. Definiera Microsoft Defender XDR roller, ansvarsområden och tillsyn

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Din organisation måste upprätta ägarskap och ansvar för Microsoft Defender XDR licenser, konfigurationer och administration som inledande uppgifter innan några operativa roller kan definieras. Vanligtvis faller ägarskapet för licenser, prenumerationskostnader och administration av Microsoft 365- och EMS-tjänster (Enterprise Security + Mobility) (som kan omfatta Microsoft Defender XDR) utanför SOC-teamen (Security Operations Center). SOC-teamen bör samarbeta med dessa personer för att säkerställa korrekt tillsyn över Microsoft Defender XDR.

Många moderna soCs tilldelar sina teammedlemmar till kategorier baserat på deras kompetensuppsättningar och funktioner. Till exempel:

  • Ett team för hotinformation som tilldelats uppgifter som rör livscykelhantering av hot- och analysfunktioner.
  • Ett övervakningsteam bestående av SOC-analytiker som ansvarar för att underhålla loggar, aviseringar, händelser och övervakningsfunktioner.
  • Ett tekniskt & driftsteam som har tilldelats till tekniker och optimera säkerhetsenheter.

SOC-teamroller och ansvarsområden för Microsoft Defender XDR skulle naturligtvis integreras i dessa team.

I följande tabell beskrivs varje SOC-teams roller och ansvarsområden och hur deras roller integreras med Microsoft Defender XDR.

SOC-teamet Roller och ansvar Microsoft Defender XDR uppgifter
SOC-tillsyn
  • Utför SOC-styrning
  • Upprättar processer varje dag, varje vecka och varje månad
  • Ger utbildning och medvetenhet
  • Anställer personal, deltar i peer-grupper och möten
  • Genomför övningar i teamet Blue, Red och Purple
  • Microsoft Defender-portalens åtkomstkontroller
  • Underhåller funktion/URL och licensieringsuppdateringsregister
  • Upprätthåller kommunikation med IT-, juridiska, efterlevnads- och sekretessintressenter
  • Deltar i möten med ändringskontroll för nya Microsoft 365- eller Microsoft Azure-initiativ
Hotinformation & Analytics
  • Hantering av hotinformationsflöde
  • Attribution av virus och skadlig kod
  • Hotmodellering & kategoriseringar av hothändelser
  • Utveckling av attribut för insiderhot
  • Hotinformationsintegrering med riskhanteringsprogram
  • Integrerar datainsikter med datavetenskap, BI och analys i hr-, juridik-, IT- och säkerhetsteam
    • Underhåller Microsoft Defender for Identity hotmodellering
    • Underhåller Microsoft Defender för Office 365 hotmodellering
    • Underhåller Microsoft Defender för Endpoint hotmodellering
    Övervakning
    • Nivå 1, 2, 3 analytiker
    • Underhåll och teknik för loggkälla
    • Datakällans inmatning
    • SIEM-parsning, avisering, korrelation, optimering
    • Händelse- och aviseringsgenerering
    • Händelse- och aviseringsanalys
    • Händelse- och aviseringsrapportering
    • Underhåll av biljettsystem
    		 Använder:
    • Säkerhets- och efterlevnadscenter
    • Portalen för Microsoft Defender
    Teknik & SecOps
    • Sårbarhetshantering för appar, system och slutpunkter
    • XDR/SOAR-automatisering
    • Efterlevnadstestning
    • Nätfiske och DLP-teknik
    • Teknik
    • Ändringskontroll för koordinater
    • Samordnar runbook-uppdateringar
    • Intrångstester
      • Microsoft Defender for Cloud Apps
      • Defender för Endpoint
      • Defender för identitet
      CSIRT (Computer Security Incident Response Team)
      • Undersöker och svarar på cyberincidenter
      • Utför kriminaltekniska åtgärder
      • Kan ofta isoleras från SOC
      		 Samarbeta och underhålla spelböcker för Microsoft Defender XDR incidenthantering

      Nästa steg

      Steg 5: Utveckla och testa användningsfall

      Tips

      Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.