Этап 3. Планирование интеграции Microsoft Defender XDR с каталогом служб SOC

Область применения:

• Microsoft Defender XDR

Установленный центр управления безопасностью (SOC) должен содержать каталог служб, которые могут включать:

• Анализ вредоносных программ & вторжений
• Присвоение & обратного проектирования
• Аналитика угроз
• Аналитика
• Исследование охоты
• судебная экспертиза;
• Реагирование на инциденты
• Группа реагирования на инциденты компьютерной безопасности (CSIRT) (которые могут быть отделены от SOC)
• Тестирование соответствия требованиям
• Мониторинг внутренних угроз & мошенничества
• Мониторинг инцидентов безопасности & событий
• Сканирование уязвимостей
• Расширенное обнаружение и реагирование (XDR)/Оркестрация безопасности, автоматизация и реагирование (SOAR)
• Фишинг
• Защита от потери данных
• Мониторинг торговой марки

Компоненты Microsoft Defender XDR:

• Microsoft Defender для удостоверений (ранее — Расширенная защита от угроз Azure, также известная как Azure ATP) — это облачное решение для обеспечения безопасности, использующее доменные службы Active Directory (AD DS) сигналы для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на организации.

• Microsoft Defender для конечной точки — это целостное облачное решение для обеспечения безопасности конечных точек для устройств, включающее управление уязвимостями и оценку уязвимостей на основе рисков, сокращение направлений атак, поведенческую и облачную защиту следующего поколения, обнаружение конечных точек и реагирование на нее (EDR), автоматическое исследование и исправление, управляемые службы охоты, многофункциональные API и унифицированную безопасность. Управления.

• Microsoft Defender для Office 365 — это облачная служба фильтрации электронной почты, которая помогает защитить организации от неизвестных вредоносных программ и вирусов, обеспечивая надежную защиту нулевого дня и включает функции для защиты организаций от вредоносных ссылок в режиме реального времени. Он также предлагает комплексный список исследований и охоты, реагирования и исправления, осведомленности и обучения, а также функций безопасного состояния.

• Microsoft Defender for Cloud Apps — это брокер безопасности доступа к облаку (CASB), который поддерживает различные режимы развертывания, включая сбор журналов, соединители API и обратный прокси-сервер. Она обеспечивает широкие возможности видимости, контроль над перемещением данных и сложную аналитику для выявления киберугроз и борьбы с ними во всех облачных службах Майкрософт и сторонних разработчиков.

Так как Microsoft Defender XDR компоненты и технологии охватывают различные функции, команде SOC потребуется определить, какие роли и обязанности лучше всего подходят для управления каждым компонентом Microsoft Defender XDR и соответствия функциям службы.

Чтобы интегрировать возможности Microsoft Defender XDR, необходимо уточнить службы SOC. Дополнительные сведения о возможностях Microsoft Defender XDR см. в следующих статьях:

• Что такое Microsoft Defender для конечной точки?
• Что такое Microsoft Defender для удостоверений?
• Что такое Defender для Office 365?
• Что такое Microsoft Defender for Cloud Apps?

Следующее действие

Этап 4. Определение Microsoft Defender XDR ролей, обязанностей и контроля

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.