Passaggio 3. Pianificare l'integrazione di Microsoft Defender XDR con il catalogo di servizi SOC
Si applica a:
- Microsoft Defender XDR
Un centro operativo di sicurezza (SOC) stabilito deve avere un catalogo di servizi che potrebbero includere:
- Analisi di malware & intrusione
- Attribuzione & reverse engineering
- Threat intelligence
- Analisi
- Indagine di ricerca
- Analisi
- Intervento in caso di incidente
- Computer Security Incident Response Team (CSIRT) (che può essere separato da SOC)
- Test di conformità
- Insider threat & fraud monitoring
- Monitoraggio degli eventi & eventi imprevisti di sicurezza
- Analisi delle vulnerabilità
- Rilevamento e risposta estesi (XDR)/Orchestrazione della sicurezza, automazione e risposta (SOAR)
- Phishing
- Prevenzione della perdita dei dati
- Monitoraggio del marchio
I componenti di Microsoft Defender XDR sono:
Microsoft Defender per identità (in precedenza Azure Advanced Threat Protection, noto anche come Azure ATP) è una soluzione di sicurezza basata sul cloud che usa segnali di Active Directory Domain Services (AD DS) per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose dirette alle organizzazioni.
Microsoft Defender per endpoint è una soluzione olistica di sicurezza degli endpoint distribuita nel cloud per i dispositivi che include la gestione e la valutazione delle vulnerabilità basate sui rischi, la riduzione della superficie di attacco, la protezione di nuova generazione basata sul comportamento e basata sul cloud, il rilevamento e la risposta degli endpoint , l'analisi e la correzione automatiche, i servizi di ricerca gestiti, le API avanzate e la gestione unificata della sicurezza.
Microsoft Defender per Office 365 è un servizio di filtro della posta elettronica basato sul cloud che consente di proteggere le organizzazioni da malware e virus sconosciuti fornendo una protezione affidabile zero-day e include funzionalità per proteggere le organizzazioni da collegamenti dannosi in tempo reale. Offre anche una lista completa di analisi e ricerca, risposta e correzione, consapevolezza e formazione e funzionalità di postura sicure.
Microsoft Defender per le app cloud è un cloud access security broker (CASB) che supporta varie modalità di distribuzione, tra cui la raccolta dei log, i connettori API e il proxy inverso. Offre visibilità avanzata, controllo sui viaggi dei dati e analisi sofisticate per identificare e combattere le minacce informatiche in tutti i servizi cloud Microsoft e di terze parti.
Poiché i componenti e le tecnologie XDR di Microsoft Defender si estendono su varie funzioni, il team SOC dovrà determinare quali ruoli e responsabilità sono più adatti per gestire ogni componente di Microsoft Defender XDR e allinearsi alla funzione del servizio.
Per integrare le funzionalità di Microsoft Defender XDR, è necessario perfezionare i servizi SOC. Per altre informazioni sulle funzionalità di Microsoft Defender XDR, vedere gli articoli seguenti:
- Cos'è Microsoft Defender per endpoint?
- Che cos'è Microsoft Defender per identità?
- Cos'è Defender per Office 365?
- Che cos'è Microsoft Defender for Cloud Apps?
Passaggio successivo
Passaggio 4. Definire ruoli, responsabilità e supervisione di Microsoft Defender XDR
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.