Этап 4. Определение Microsoft Defender XDR ролей, обязанностей и контроля

Область применения:

• Microsoft Defender XDR

Ваша организация должна установить ответственность и ответственность за Microsoft Defender XDR лицензий, конфигураций и администрирования в качестве начальных задач, прежде чем можно будет определить какие-либо операционные роли. Как правило, ответственность за лицензии, затраты на подписку и администрирование служб Microsoft 365 и Enterprise Security + Mobility (EMS) (которые могут включать Microsoft Defender XDR) не входит в состав команд Центра управления безопасностью (SOC). Команды SOC должны работать с этими лицами, чтобы обеспечить надлежащий контроль за Microsoft Defender XDR.

Многие современные SOC назначают своих членов команды категориям на основе их наборов навыков и функций. Например:

• Команда аналитики угроз назначена для задач, связанных с управлением жизненным циклом функций угроз и аналитики.
• Группа мониторинга, состоящая из аналитиков SOC, отвечающих за ведение журналов, оповещений, событий и функций мониторинга.
• Инженерная группа & эксплуатации, назначенная для проектирования и оптимизации устройств безопасности.

Роли и обязанности команды SOC для Microsoft Defender XDR естественным образом интегрируются в эти команды.

В следующей таблице описаны роли и обязанности каждой команды SOC, а также их интеграция с Microsoft Defender XDR.

Команда SOC	Роли и обязанности.	задачи Microsoft Defender XDR
Контроль SOC	Выполняет управление SOC Устанавливает ежедневные, еженедельные и ежемесячные процессы Обучение и информирование Нанимает сотрудников, участвует в группах коллег и собраниях Проводит синие, красные, фиолетовые командные упражнения	элементы управления доступом на портале Microsoft Defender Поддерживает реестр обновлений компонентов или URL-адресов и лицензирования Поддерживает связь с ИТ- и заинтересованными лицами, заинтересованными лицами в области законодательства, соответствия требованиям и конфиденциальности Участвует в собраниях по управлению изменениями для новых инициатив Microsoft 365 или Microsoft Azure
Аналитика & угроз	Управление потоками intel для угроз Присвоение вирусов и вредоносных программ Моделирование угроз & классификации событий угроз Разработка атрибутов внутренних угроз Интеграция Intel по угрозам с программой управления рисками Интегрирует аналитику данных с обработкой и анализом данных, бизнес-аналитикой и аналитикой в группах кадров, юристов, ИТ и безопасности.	Поддерживает моделирование угроз Microsoft Defender для удостоверений Поддерживает моделирование угроз Microsoft Defender для Office 365 Поддерживает моделирование угроз Microsoft Defender для конечной точки
Мониторинг	Аналитики уровня 1, 2, 3 Обслуживание и проектирование источника журнала Прием источника данных Синтаксический анализ SIEM, оповещение, корреляция, оптимизация Создание событий и оповещений Анализ событий и оповещений Отчеты о событиях и оповещениях Обслуживание системы билетов	Использует: Центр безопасности и соответствия требованиям Портал Microsoft Defender
Инженерная & SecOps	Управление уязвимостями для приложений, систем и конечных точек Автоматизация XDR/SOAR Тестирование соответствия требованиям Разработка фишинга и защиты от потери данных Проектирование Элемент управления изменением координат Координирует обновления модуля Runbook Тестирование на проникновение	Microsoft Defender for Cloud Apps Defender для конечной точки Defender для удостоверений
Группа реагирования на инциденты компьютерной безопасности (CSIRT)	Расследует кибер-инциденты и реагирует на них. Выполняет криминалистическую экспертизу Часто может быть изолирован от SOC	Совместная работа и обслуживание сборников схем реагирования на инциденты Microsoft Defender XDR

Следующее действие

Этап 5. Разработка и тестирование вариантов использования

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.