Поделиться через

Этап 4. Определение Microsoft Defender XDR ролей, обязанностей и контроля

  • Статья

Область применения:

  • Microsoft Defender XDR

Ваша организация должна установить ответственность и ответственность за Microsoft Defender XDR лицензий, конфигураций и администрирования в качестве начальных задач, прежде чем можно будет определить какие-либо операционные роли. Как правило, ответственность за лицензии, затраты на подписку и администрирование служб Microsoft 365 и Enterprise Security + Mobility (EMS) (которые могут включать Microsoft Defender XDR) не входит в состав команд Центра управления безопасностью (SOC). Команды SOC должны работать с этими лицами, чтобы обеспечить надлежащий контроль за Microsoft Defender XDR.

Многие современные SOC назначают своих членов команды категориям на основе их наборов навыков и функций. Например:

  • Команда аналитики угроз назначена для задач, связанных с управлением жизненным циклом функций угроз и аналитики.
  • Группа мониторинга, состоящая из аналитиков SOC, отвечающих за ведение журналов, оповещений, событий и функций мониторинга.
  • Инженерная группа & эксплуатации, назначенная для проектирования и оптимизации устройств безопасности.

Роли и обязанности команды SOC для Microsoft Defender XDR естественным образом интегрируются в эти команды.

В следующей таблице описаны роли и обязанности каждой команды SOC, а также их интеграция с Microsoft Defender XDR.

Команда SOC Роли и обязанности. задачи Microsoft Defender XDR
Контроль SOC
  • Выполняет управление SOC
  • Устанавливает ежедневные, еженедельные и ежемесячные процессы
  • Обучение и информирование
  • Нанимает сотрудников, участвует в группах коллег и собраниях
  • Проводит синие, красные, фиолетовые командные упражнения
  • элементы управления доступом на портале Microsoft Defender
  • Поддерживает реестр обновлений компонентов или URL-адресов и лицензирования
  • Поддерживает связь с ИТ- и заинтересованными лицами, заинтересованными лицами в области законодательства, соответствия требованиям и конфиденциальности
  • Участвует в собраниях по управлению изменениями для новых инициатив Microsoft 365 или Microsoft Azure
Аналитика & угроз
  • Управление потоками intel для угроз
  • Присвоение вирусов и вредоносных программ
  • Моделирование угроз & классификации событий угроз
  • Разработка атрибутов внутренних угроз
  • Интеграция Intel по угрозам с программой управления рисками
  • Интегрирует аналитику данных с обработкой и анализом данных, бизнес-аналитикой и аналитикой в группах кадров, юристов, ИТ и безопасности.
    • Поддерживает моделирование угроз Microsoft Defender для удостоверений
    • Поддерживает моделирование угроз Microsoft Defender для Office 365
    • Поддерживает моделирование угроз Microsoft Defender для конечной точки
    Мониторинг
    • Аналитики уровня 1, 2, 3
    • Обслуживание и проектирование источника журнала
    • Прием источника данных
    • Синтаксический анализ SIEM, оповещение, корреляция, оптимизация
    • Создание событий и оповещений
    • Анализ событий и оповещений
    • Отчеты о событиях и оповещениях
    • Обслуживание системы билетов
    		 Использует:
    • Центр безопасности и соответствия требованиям
    • Портал Microsoft Defender
    Инженерная & SecOps
    • Управление уязвимостями для приложений, систем и конечных точек
    • Автоматизация XDR/SOAR
    • Тестирование соответствия требованиям
    • Разработка фишинга и защиты от потери данных
    • Проектирование
    • Элемент управления изменением координат
    • Координирует обновления модуля Runbook
    • Тестирование на проникновение
      • Microsoft Defender for Cloud Apps
      • Defender для конечной точки
      • Defender для удостоверений
      Группа реагирования на инциденты компьютерной безопасности (CSIRT)
      • Расследует кибер-инциденты и реагирует на них.
      • Выполняет криминалистическую экспертизу
      • Часто может быть изолирован от SOC
      		 Совместная работа и обслуживание сборников схем реагирования на инциденты Microsoft Defender XDR

      Следующее действие

      Этап 5. Разработка и тестирование вариантов использования

      Совет

      Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.