第 3 步。 规划 Microsoft Defender XDR 与 SOC 服务目录的集成

适用于：

• Microsoft Defender XDR

已建立的安全运营中心 (SOC) 应有一个服务目录，可能包括：

• 入侵 & 恶意软件分析
• 归因 & 反向工程
• 威胁智能
• 分析
• 狩猎调查
• 取证
• 事件响应
• 计算机安全事件响应团队 (可能与 SOC) 分离的 CSIRT) (
• 符合性测试
• 内部威胁 & 欺诈监视
• 安全事件 & 事件监视
• 漏洞扫描
• 扩展检测和响应 (XDR) /安全业务流程、自动化和响应 (SOAR)
• 网络钓鱼
• 数据丢失防护
• 品牌监视

Microsoft Defender XDR 的组件包括：

• Microsoft Defender for Identity (以前称为 Azure 高级威胁防护（也称为 Azure ATP) ）是一种基于云的安全解决方案，它使用 Active Directory 域服务 (AD DS) 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。

• Microsoft Defender for Endpoint 是一个全面的云交付终结点安全解决方案，适用于设备，包括基于风险的漏洞管理和评估、攻击面减少、基于行为和云的下一代保护、终结点检测和响应 (EDR) 、自动调查和修正、托管搜寻服务、丰富的 API 和统一的安全管理。

• Microsoft Defender for Office 365 是基于云的电子邮件筛选服务，它通过提供可靠的零日保护来帮助保护组织免受未知恶意软件和病毒的侵害，并包含实时保护组织免受有害链接侵害的功能。 它还提供全面的调查和搜寻、响应和修正、意识和培训以及安全姿势功能。

• Microsoft Defender for Cloud Apps 是一个云访问安全代理 (CASB) ，支持各种部署模式，包括日志收集、API 连接器和反向代理。 它提供丰富的可见性、对数据传输的控制，以及复杂的分析功能，以识别和应对所有Microsoft和第三方云服务中的网络威胁。

由于 Microsoft Defender XDR 组件和技术跨越各种功能，因此 SOC 团队需要确定哪些角色和职责最适合管理 Microsoft Defender XDR 的每个组件，并与服务功能保持一致。

若要集成 Microsoft Defender XDR 的功能，需要优化 SOC 服务。 有关 Microsoft Defender XDR 的功能的详细信息，请参阅以下文章：

• 什么是 Microsoft Defender for Endpoint?
• 什么是 Microsoft Defender for Identity?
• 什么是 Defender for Office 365？
• 什么是 Microsoft Defender for Cloud Apps？

后续步骤

步骤 4. 定义Microsoft Defender XDR 角色、职责和监督