Steg 4. Definiera Microsoft 365 Defender roller, ansvarsområden och överblick

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Din organisation måste upprätta ägarskap och ansvarstagande för Microsoft 365 Defender-licenser, konfigurationer och administration som inledande uppgifter innan eventuella driftroller kan definieras. Ägarskap för licenser, prenumerationskostnader och administration av Microsoft 365- och Enterprise Security + Mobility-tjänster (EMS) (som kan omfatta Microsoft 365 Defender) faller utanför SOC-teamen (Security Operations Center). SOC-team bör samarbeta med dessa personer för att säkerställa korrekt överblick över Microsoft 365 Defender.

Många moderna soc-grupper tilldelar sina gruppmedlemmar kategorier baserat på deras kompetenser och funktioner. Till exempel:

  • Ett team för hotinformation som tilldelats uppgifter i livscykelhantering av hot- och analysfunktioner.
  • Ett övervakningsteam bestående av SOC-analytiker som ansvarar för att underhålla loggar, aviseringar, händelser och övervakningsfunktioner.
  • En tekniker & har tilldelats att tekniker och optimera säkerhetsenheter.

SOC-teamets roller och ansvar för Microsoft 365 Defender integrerar naturligt i dessa grupper.

I följande tabell bryts varje SOC-grupps roller och ansvar samt hur deras roller integreras med Microsoft 365 Defender.

SOC-team Roller och ansvar Microsoft 365 Defender aktiviteter
SOC-överblick
  • Utför SOC-styrning
  • Upprättar dagliga, veckovisa och månatliga processer
  • Ger utbildning och information
  • Anställer personal, deltar i peer-grupper och möten
  • Utför blå, röd, lila team-övningar
  • Microsoft 365 Defender åtkomstkontroller för portal
  • Bevarar register över funktions-/URL- och licensieringsuppdatering
  • Håller kommunikationen med IT-, juridiska personer, efterlevnads- och sekretessgrupper
  • Deltar i ändringsmöten för nya Microsoft 365 och Microsoft Azure initiativ
Threat Intelligence & Analytics
  • Hantering av intel-feed med hot
  • Attribut för virus och skadlig programvara
  • Modellering av & hothändelsekategoriering
  • Utveckling av Insider-hotattribut
  • Threat Intel-integrering med riskhanteringsprogrammet
  • Integrerar datainsikter med datavetenskap, BI och analys i HR-, juridiska team, IT-team och säkerhetsteam
    • Behåller Microsoft Defender för identitetshotsmodellering
    • Behåller Microsoft Defender för Office 365 av hotmodellering
    • Bevarar Microsoft Defender för modellering av slutpunktshot
    Övervakning
    • Nivå 1, 2, 3 analytiker
    • Logga källunderhåll och -teknik
    • Ingestion av datakälla
    • SIEM-tolkning, avisering, korrelation, optimering
    • Generering av händelser och aviseringar
    • Händelse- och aviseringsanalys
    • Händelse- och aviseringsrapportering
    • Systemunderhåll av biljettsystem
    Använder:
    • Säkerhets- och efterlevnadscenter
    • Microsoft 365 Defender portal
    Engineering & SecOps
    • Sårbarhetshantering för appar, system och slutpunkter
    • XDR/SOAR automation
    • Efterlevnadstestning
    • Nätfiske och DLP-teknik
    • Teknik
    • Ändringskontroll för koordinater
    • Koordinater som uppdateras i runbook
    • Test av testning
      • Microsoft Defender for Cloud Apps
      • Defender för Endpoint
      • Defender för identitet
      Svarsteam för datorsäkerhetstillbud (CSIRT)
      • Undersöker och svarar på cybertillbud
      • Utför en forensisk undersökning
      • Kan ofta isoleras från SOC
      Samarbeta och underhålla Microsoft 365 Defender svarsböcker för incidenter

      Nästa steg

      Steg 5. Utveckla och testa användningsfall