Passo 4. Definir Microsoft Defender XDR funções, responsabilidades e supervisão

Aplica-se a:

• Microsoft Defender XDR

A sua organização tem de estabelecer a propriedade e a responsabilidade dos Microsoft Defender XDR licenças, configurações e administração como tarefas iniciais antes de poderem ser definidas quaisquer funções operacionais. Normalmente, a propriedade das licenças, dos custos da subscrição e da administração dos serviços microsoft 365 e Enterprise Security + Mobility (EMS) (que podem incluir Microsoft Defender XDR) está fora das equipas do Centro de Operações de Segurança (SOC). As equipas SOC devem trabalhar com esses indivíduos para garantir uma supervisão adequada dos Microsoft Defender XDR.

Muitos SOCs modernos atribuem os seus membros de equipa a categorias com base nos respetivos conjuntos de competências e funções. Por exemplo:

• Uma equipa de informações sobre ameaças atribuída a tarefas relacionadas com a gestão do ciclo de vida das funções de ameaças e análise.
• Uma equipa de monitorização composta por analistas soc responsáveis pela manutenção de registos, alertas, eventos e funções de monitorização.
• Uma equipa de operações de & de engenharia atribuída para criar e otimizar dispositivos de segurança.

As funções e responsabilidades da equipa SOC para Microsoft Defender XDR integrar-se-iam naturalmente nestas equipas.

A tabela seguinte divide as funções e responsabilidades de cada equipa do SOC e a forma como as respetivas funções se integram com Microsoft Defender XDR.

Equipa SOC	Funções e responsabilidades	Microsoft Defender XDR tarefas
Supervisão do SOC	Executa a governação do SOC Estabelece processos diários, semanais e mensais Proporciona formação e sensibilização Contrata pessoal, participa em grupos de pares e reuniões Realiza exercícios de equipa Azul, Vermelho e Roxo	controlos de acesso do portal do Microsoft Defender Mantém o registo de atualização de funcionalidades/URLs e licenciamento Mantém a comunicação com os intervenientes em TI, legal, conformidade e privacidade Participa em reuniões de controlo de alterações para novas iniciativas do Microsoft 365 ou do Microsoft Azure
Análise de & de Informações sobre Ameaças	Gestão de feeds intel de ameaças Atribuição de vírus e software maligno Modelação de ameaças & categorização de eventos de ameaças Desenvolvimento de atributos de ameaças do Insider Threat Intel Integration with Risk Management program (Integração intel de ameaças com o programa de Gestão de Riscos) Integra informações de dados com ciência de dados, BI e análise em equipas de RH, legais, de TI e de segurança	Mantém a modelação de ameaças Microsoft Defender para Identidade Mantém a modelação de ameaças Microsoft Defender para Office 365 Mantém a modelação de ameaças Microsoft Defender para Endpoint
Monitorização	Camada 1, 2, 3 analistas Manutenção e engenharia da origem de registos Ingestão de origens de dados Análise, alertas, correlação, otimização do SIEM Geração de eventos e alertas Análise de eventos e alertas Relatórios de eventos e alertas Manutenção do sistema de pedidos de suporte	Utiliza: Centro de Conformidade do & de Segurança Portal do Microsoft Defender
SecOps do & de Engenharia	Gestão de vulnerabilidades para aplicações, sistemas e pontos finais Automatização XDR/SOAR Testes de conformidade Engenharia de phishing e DLP Engenharia As coordenadas alteram o controlo Coordenadas de atualizações do runbook Testes de penetração	Microsoft Defender for Cloud Apps Defender para Ponto Final Microsoft Defender para Identidade
Equipa de Resposta a Incidentes de Segurança informática (CSIRT)	Investiga e responde a incidentes cibernéticos Efetua a perícia Pode ser frequentemente isolado do SOC	Colaborar e manter Microsoft Defender XDR manuais de procedimentos de resposta a incidentes

Passo seguinte

Passo 5. Desenvolver e testar casos de utilização

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.