Passaggio 4. Definire Microsoft Defender XDR ruoli, responsabilità e supervisione

  • Articolo

Si applica a:

  • Microsoft Defender XDR

L'organizzazione deve stabilire la proprietà e la responsabilità delle licenze, delle configurazioni e dell'amministrazione Microsoft Defender XDR come attività iniziali prima di poter definire i ruoli operativi. In genere, la proprietà delle licenze, i costi di sottoscrizione e l'amministrazione dei servizi Microsoft 365 e Enterprise Security + Mobility (EMS), che possono includere Microsoft Defender XDR, non rientrano nei team del Centro operazioni di sicurezza (SOC). I team SOC devono collaborare con tali individui per garantire un'adeguata supervisione delle Microsoft Defender XDR.

Molti soc moderni assegnano i membri del team a categorie in base ai set di competenze e alle funzioni. Ad esempio:

  • Un team di intelligence sulle minacce assegnato alle attività correlate alla gestione del ciclo di vita delle funzioni di analisi e minacce.
  • Un team di monitoraggio composto da analisti SOC responsabili della gestione di log, avvisi, eventi e funzioni di monitoraggio.
  • Un team tecnico & operativo assegnato per progettare e ottimizzare i dispositivi di sicurezza.

I ruoli e le responsabilità del team SOC per Microsoft Defender XDR si integrano naturalmente in questi team.

La tabella seguente illustra i ruoli e le responsabilità di ogni team SOC e il modo in cui i ruoli si integrano con Microsoft Defender XDR.

Team SOC Ruoli e responsabilità attività Microsoft Defender XDR
Supervisione SOC
  • Esegue la governance SOC
  • Stabilisce processi giornalieri, settimanali e mensili
  • Fornisce formazione e consapevolezza
  • Assume personale, partecipa a gruppi di pari livello e riunioni
  • Esegue esercizi di squadra blu, rossi, viola
  • controlli di accesso al portale di Microsoft Defender
  • Gestisce il registro di aggiornamento delle funzionalità/URL e delle licenze
  • Mantiene la comunicazione con gli stakeholder IT, legali, di conformità e privacy
  • Partecipa alle riunioni di controllo delle modifiche per le nuove iniziative di Microsoft 365 o Microsoft Azure
Threat Intelligence & Analytics
  • Gestione dei feed intel per le minacce
  • Attribuzione di virus e malware
  • Modellazione delle minacce & categorizzazioni di eventi di minaccia
  • Sviluppo di attributi di minaccia Insider
  • Integrazione intel delle minacce con il programma di gestione dei rischi
  • Integra informazioni dettagliate sui dati con data science, business intelligence e analisi tra i team hr, legali, IT e di sicurezza
    • Gestisce Microsoft Defender per identità modellazione delle minacce
    • Gestisce Microsoft Defender per Office 365 modellazione delle minacce
    • Gestisce Microsoft Defender per endpoint modellazione delle minacce
    Monitoraggio
    • Analisti di livello 1, 2 e 3
    • Manutenzione e progettazione dell'origine log
    • Inserimento dell'origine dati
    • Analisi SIEM, avvisi, correlazione, ottimizzazione
    • Generazione di eventi e avvisi
    • Analisi di eventi e avvisi
    • Segnalazione di eventi e avvisi
    • Manutenzione del sistema di ticketing
    		 Utilizza:
    • Centro sicurezza e conformità
    • Portale di Microsoft Defender
    Engineering & SecOps
    • Gestione delle vulnerabilità per app, sistemi ed endpoint
    • Automazione XDR/SOAR
    • Test di conformità
    • Ingegneria del phishing e della prevenzione della perdita dei dati
    • Progettazione
    • Controllo delle modifiche delle coordinate
    • Coordina gli aggiornamenti del runbook
    • Test di penetrazione
      • Microsoft Defender for Cloud Apps
      • Defender per endpoint
      • Defender per identità
      Computer Security Incident Response Team (CSIRT)
      • Analizza e risponde agli incidenti informatici
      • Esegue analisi forensi
      • Può spesso essere isolato dal SOC
      		 Collaborare e gestire Microsoft Defender XDR playbook di risposta agli eventi imprevisti

      Passaggio successivo

      Passaggio 5. Sviluppare e testare casi d'uso

      Consiglio

      Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.