4단계. Microsoft 365 Defender 역할, 책임 및 감독 정의

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

• Microsoft 365 Defender

조직은 운영 역할을 정의하기 전에 초기 작업으로 Microsoft 365 Defender 라이선스, 구성 및 관리의 소유권과 책임을 설정해야 합니다. 일반적으로 Microsoft 365 및 Enterprise EMS(Security + Mobility) 서비스(Microsoft 365 Defender 포함)의 라이선스, 구독 비용 및 관리 소유권은 SOC(보안 운영 센터) 팀 외부에 있습니다. SOC 팀은 이러한 개인과 협력하여 Microsoft 365 Defender 대한 적절한 감독을 보장해야 합니다.

많은 최신 SOC는 기술 세트 및 기능에 따라 팀 구성원을 범주에 할당합니다. 예제:

• 위협 및 분석 기능의 수명 주기 관리와 관련된 작업에 할당된 위협 인텔리전스 팀입니다.
• 로그, 경고, 이벤트 및 모니터링 기능을 유지 관리하는 SOC 분석가로 구성된 모니터링 팀입니다.
• 보안 디바이스를 엔지니어링하고 최적화하기 위해 할당된 엔지니어링 & 운영 팀입니다.

Microsoft 365 Defender 대한 SOC 팀 역할 및 책임은 자연스럽게 이러한 팀에 통합됩니다.

다음 표에서는 각 SOC 팀의 역할 및 책임과 해당 역할이 Microsoft 365 Defender 통합하는 방법을 설명합니다.

SOC 팀	역할 및 책임	Microsoft 365 Defender 작업
SOC 감독	SOC 거버넌스 수행 매일, 매주, 매월 프로세스를 설정합니다. 교육 및 인식 제공 직원을 고용하고 피어 그룹 및 모임에 참여합니다. 블루, 레드, 퍼플 팀 연습 실시	Microsoft 365 Defender 포털 액세스 제어 기능/URL 및 라이선스 업데이트 레지스터를 유지 관리합니다. IT, 법률, 규정 준수 및 개인 정보 보호 관련자와의 통신 유지 관리 새 Microsoft 365 또는 Microsoft Azure 이니셔티브를 위한 변경 제어 모임에 참여
위협 인텔리전스 & 분석	위협 인텔 피드 관리 바이러스 및 맬웨어 특성 위협 모델링 & 위협 이벤트 분류 참가자 위협 특성 개발 위협 인텔과 위험 관리 프로그램 통합 HR, 법률, IT 및 보안 팀의 데이터 과학, BI 및 분석과 데이터 인사이트를 통합합니다.	Microsoft Defender for Identity 위협 모델링 유지 관리 Office 365용 Microsoft Defender 위협 모델링 유지 관리 엔드포인트용 Microsoft Defender 위협 모델링 유지 관리
모니터링	계층 1, 2, 3 분석가 로그 원본 유지 관리 및 엔지니어링 데이터 원본 수집 SIEM 구문 분석, 경고, 상관 관계, 최적화 이벤트 및 경고 생성 이벤트 및 경고 분석 이벤트 및 경고 보고 발권 시스템 유지 관리	사용: 보안 및 준수 센터 Microsoft 365 Defender 포털
엔지니어링 & SecOps	앱, 시스템 및 엔드포인트에 대한 취약성 관리 XDR/SOAR 자동화 규정 준수 테스트 피싱 및 DLP 엔지니어링 엔지니어링 좌표 변경 컨트롤 Runbook 업데이트를 조정합니다. 침투 테스트	Microsoft Defender for Cloud Apps 엔드포인트용 Defender ID용 Defender
CSIRT(컴퓨터 보안 인시던트 대응 팀)	사이버 인시던트 조사 및 대응 법의학 수행 SOC에서 격리되는 경우가 많습니다.	인시던트 대응 플레이북을 Microsoft 365 Defender 공동 작업 및 유지 관리

다음 단계

5단계. 사용 사례 개발 및 테스트