Steg 3. Planera för Microsoft Defender XDR-integrering med soc-katalogen med tjänster
Gäller för:
- Microsoft Defender XDR
Ett etablerat Security Operations Center (SOC) bör ha en katalog med tjänster som kan innehålla:
- Intrång & analys av skadlig kod
- Attribution & omvänd teknik
- Hotinformation
- Analytics
- Jaktundersökning
- Kriminalteknik
- Incidentsvar
- CSIRT (Computer Security Incident Response Team) (som kan skiljas från SOC)
- Efterlevnadstestning
- Övervakning av insiderhot & bedrägeri
- Övervakning av säkerhetsincidenter & händelse
- Sårbarhetsgenomsökning
- Utökad identifiering och svar (XDR)/Säkerhetsorkestrering, automatisering och svar (SOAR)
- Fiske
- Dataförlustskydd
- Varumärkesövervakning
Komponenterna i Microsoft Defender XDR är:
Microsoft Defender for Identity (tidigare Azure Advanced Threat Protection, även kallat Azure ATP) är en molnbaserad säkerhetslösning som använder AD DS-signaler (Active Directory Domain Services) för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot organisationer.
Microsoft Defender för Endpoint är en holistisk, molnbaserad slutpunktssäkerhetslösning för enheter som innehåller riskbaserad sårbarhetshantering och utvärdering, minskning av attackytan, beteendebaserad och molnbaserad nästa generations skydd, slutpunktsidentifiering och svar (EDR), automatisk undersökning och reparation, hanterade jakttjänster, omfattande API:er och enhetlig säkerhetshantering.
Microsoft Defender för Office 365 är en molnbaserad e-postfiltreringstjänst som hjälper till att skydda organisationer mot okänd skadlig kod och virus genom att tillhandahålla robust nolldagarsskydd och innehåller funktioner för att skydda organisationer från skadliga länkar i realtid. Det erbjuder också en omfattande skiffer av undersökning och jakt, svar och reparation, medvetenhet och utbildning och säkra hållningsfunktioner.
Microsoft Defender för Cloud Apps är en molnåtkomstsäkerhetskoordinator (CASB) som stöder olika distributionslägen, inklusive logginsamling, API-anslutningsappar och omvänd proxy. Det ger omfattande synlighet, kontroll över dataresor och avancerad analys för att identifiera och bekämpa cyberhot i alla Microsoft- och tredjepartsmolntjänster.
Eftersom Microsoft Defender XDR-komponenter och -tekniker omfattar olika funktioner måste SOC-teamet avgöra vilka roller och ansvarsområden som passar bäst för att hantera varje komponent i Microsoft Defender XDR och anpassa sig till tjänstfunktionen.
För att integrera funktionerna i Microsoft Defender XDR måste du förfina SOC-tjänsterna. Mer information om funktionerna i Microsoft Defender XDR finns i följande artiklar:
- Vad är Microsoft Defender för Endpoint?
- Vad är Microsoft Defender for Identity?
- Vad är Defender för Office 365?
- Vad är Microsoft Defender for Cloud Apps?
Nästa steg
Steg 4. Definiera Microsoft Defender XDR-roller, ansvarsområden och tillsyn
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.