Steg 3. Planera för Microsoft 365 Defender med SOC-katalogen med tjänster

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Ett etablerat säkerhetsoperationscenter (SOC) bör ha en katalog med tjänster som kan omfatta:

  • Intrångsanalys & skadlig programvara
  • Attribution & reverse engineering
  • Hotinformation
  • Analys
  • Undersökning av misstänkt information
  • Forensiska
  • Incidentsvar
  • CsIRT (Computer Security Incident Response Team) (som kan skiljas från SOC)
  • Efterlevnadstestning
  • Övervaka och övervaka & med Insider-hot
  • Säkerhetshändelse & händelseövervakning
  • Sårbarhetsskanning
  • Utökad identifiering och svar (XDR)/säkerhetslösning, automatisering och svar (SOAR)
  • Nätfiske
  • Dataförlustskydd
  • Varumärkesövervakning

Eftersom Microsoft 365 Defender-teknikerna spänner över olika funktioner behöver SOC-teamet avgöra vilka roller och ansvarsområden som är lämpligast för att hantera varje del av Microsoft 365 Defender och anpassa efter tjänstefunktionen.

Komponenterna i Microsoft 365 Defender är:

  • Microsoft Defender för identitet (tidigare Azure Advanced Threat Protection, även kallat Azure ATP) är en molnbaserad säkerhetslösning som använder AD DS -signaler (Active Directory Domain Services) för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga Insider-åtgärder riktade till organisationer.

  • Microsoft Defender för Endpoint är en moln levererat slutpunktssäkerhetslösning för enheter som innehåller riskbaserade hantering av säkerhetsrisker och bedömningar, minskning av attackytan, beteendebaserat och molnbaserat skydd, identifiering och åtgärd på slutpunkt ( Identifiering och åtgärd på slutpunkt), automatisk undersökning och åtgärd, hanterade tjänster för letaring, avancerade API:er och enhetlig säkerhetshantering.

  • Microsoft Defender för Office 365 är en molnbaserad tjänst för e-postfiltrering som hjälper till att skydda organisationer mot okänd skadlig programvara och virus genom att ge ett stabilt skydd utan dag, vilket omfattar funktioner som skyddar organisationer från skadliga länkar i realtid. Det ger också en omfattande översikt över undersökning och letar, svar och åtgärder, information och utbildning och säkra säkerhetsfunktioner.

  • Microsoft Defender för molnappar är en CASB (Cloud Access Security Broker) som har stöd för olika distributionslägen, bland annat logginsamling, API-anslutningsprogram och omvänd proxy. It provides rich visibility, control over data travel, and sophisticated analytics to identify and combat cyberthreats across all Microsoft and third-party cloud services.

Eftersom Microsoft 365 Defender komponenter och tekniker spänner över olika funktioner, kommer SOC-teamet att behöva avgöra vilka roller och ansvarsområden som är bäst lämpat att hantera varje del av Microsoft 365 Defender och anpassa till tjänsten.

Om du vill integrera funktionerna Microsoft 365 Defender måste du förfina SOC-tjänsterna. Mer information om funktionerna i Microsoft 365 Defender finns i följande artiklar:

Nästa steg

Steg 4. Definiera Microsoft 365 Defender roller, ansvarsområden och överblick