Paso 4. Definir Microsoft Defender XDR roles, responsabilidades y supervisión

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Su organización debe establecer la propiedad y la responsabilidad de las licencias de Microsoft Defender XDR, las configuraciones y la administración como tareas iniciales antes de que se puedan definir los roles operativos. Normalmente, la propiedad de las licencias, los costos de suscripción y la administración de los servicios de Microsoft 365 y Enterprise Security + Mobility (EMS) (que pueden incluir Microsoft Defender XDR) se encuentran fuera de los equipos del Centro de operaciones de seguridad (SOC). Los equipos de SOC deben trabajar con esas personas para garantizar una supervisión adecuada de Microsoft Defender XDR.

Muchos SOC modernos asignan a sus miembros del equipo a categorías en función de sus conjuntos de aptitudes y funciones. Por ejemplo:

  • Un equipo de inteligencia sobre amenazas asignado a tareas relacionadas con la administración del ciclo de vida de las funciones de análisis y amenazas.
  • Un equipo de supervisión compuesto por analistas de SOC responsables de mantener registros, alertas, eventos y funciones de supervisión.
  • Un equipo de operaciones de ingeniería & asignado a diseñar y optimizar dispositivos de seguridad.

Los roles y las responsabilidades del equipo de SOC para Microsoft Defender XDR se integrarían naturalmente en estos equipos.

En la tabla siguiente se desglosan los roles y responsabilidades de cada equipo de SOC y cómo se integran sus roles con Microsoft Defender XDR.

Equipo de SOC Roles y responsabilidades tareas de Microsoft Defender XDR
Supervisión de SOC
  • Realiza la gobernanza de SOC
  • Establece procesos diarios, semanales y mensuales
  • Proporciona formación y reconocimiento
  • Contrata personal, participa en grupos y reuniones del mismo nivel
  • Realiza ejercicios de equipo azul, rojo y púrpura
  • controles de acceso del portal de Microsoft Defender
  • Mantiene el registro de actualización de características o direcciones URL y licencias
  • Mantiene la comunicación con las partes interesadas de TI, legales, de cumplimiento y de privacidad
  • Participa en reuniones de control de cambios para nuevas iniciativas de Microsoft 365 o Microsoft Azure
Threat Intelligence & Analytics
  • Administración de fuentes intel de amenazas
  • Atribución de virus y malware
  • Modelado de amenazas & categorizaciones de eventos de amenazas
  • Desarrollo de atributos de amenazas internas
  • Integración de Intel con amenazas con el programa de administración de riesgos
  • Integra información de datos con ciencia de datos, BI y análisis en equipos de RR. HH., legales, de TI y de seguridad
    • Mantiene el modelado de amenazas Microsoft Defender for Identity
    • Mantiene el modelado de amenazas Microsoft Defender para Office 365
    • Mantiene el modelado de amenazas Microsoft Defender para punto de conexión
    Supervisión
    • Analistas de nivel 1, 2 y 3
    • Mantenimiento e ingeniería del origen de registro
    • Ingesta del origen de datos
    • Análisis, alertas, correlación y optimización de SIEM
    • Generación de eventos y alertas
    • Análisis de eventos y alertas
    • Informes de eventos y alertas
    • Mantenimiento del sistema de vales
    		 Utiliza:
    • Centro de seguridad y cumplimiento
    • Portal de Microsoft Defender
    Ingeniería & SecOps
    • Administración de vulnerabilidades para aplicaciones, sistemas y puntos de conexión
    • Automatización de XDR/SOAR
    • Pruebas de cumplimiento
    • Ingeniería de phishing y DLP
    • Ingeniería
    • Control de cambio de coordenadas
    • Coordina las actualizaciones del runbook
    • Pruebas de penetración
      • Microsoft Defender for Cloud Apps
      • Defender para punto de conexión
      • Defender for Identity
      Equipo de respuesta a incidentes de seguridad del equipo (CSIRT)
      • Investiga y responde a incidentes cibernéticos
      • Realiza análisis forenses
      • A menudo se puede aislar de SOC
      		 Colaborar y mantener Microsoft Defender XDR cuadernos de estrategias de respuesta a incidentes

      Paso siguiente

      Paso 5. Desarrollar y probar casos de uso

      Sugerencia

      ¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.