Share via


vejledning til Microsoft Defender for Endpoint sikkerhedshandlinger

Gælder for:

Denne artikel indeholder en oversigt over kravene og opgaverne for korrekt drift af Microsoft Defender for Endpoint i din organisation. Disse opgaver hjælper dit SOC (Security Operations Center) med effektivt at registrere og reagere på Microsoft Defender for Endpoint registrerede sikkerhedstrusler.

I denne artikel beskrives også daglige, ugentlige, månedlige og ad hoc-opgaver, som dit sikkerhedsteam kan udføre for din organisation.

Bemærk!

Disse er anbefalede trin. tjek dem i forhold til dine egne politikker og miljø for at sikre, at de passer til formålet.

Forudsætninger:

Det Microsoft Defender slutpunkt skal konfigureres til at understøtte din almindelige sikkerhedshandlinger. Selvom de ikke er beskrevet i dette dokument, indeholder følgende artikler konfigurations- og konfigurationsoplysninger:

Daglige aktiviteter

Generel

  • Gennemse handlinger

    Gennemse de handlinger, der er udført i dit miljø, både automatiseret og manuelt, i Handlingscenter. Disse oplysninger hjælper dig med at validere, at automatiseret undersøgelse og svar (AIR) fungerer som forventet, og identificere eventuelle manuelle handlinger, der skal gennemses. Se Besøg Løsningscenter for at se afhjælpningshandlinger.

Team for sikkerhedshandlinger

  • Overvåg køen Microsoft Defender XDR hændelser

    Når Microsoft Defender for Endpoint identificerer indikatorer for kompromitterede (IOCs) eller indikatorer for angreb (IOA'er) og genererer en besked, medtages beskeden i en hændelse og vises i køen Hændelser på Microsoft Defender-portalen (https://security.microsoft.com).

    Gennemse disse hændelser for at besvare alle Microsoft Defender for Endpoint beskeder og løse problemet, når hændelsen er blevet løst. Se Meddelelser om hændelser via mail og Få vist og organiser køen Microsoft Defender for Endpoint hændelser.

  • Administrer registreringer af falske positive og falske negative

    Gennemse hændelseskøen, identificer falske positive og falske negative registreringer, og send dem til gennemsyn. Dette hjælper dig med effektivt at administrere beskeder i dit miljø og gøre dine beskeder mere effektive. Se Address false positive/negatives in Microsoft Defender for Endpoint.

  • Gennemse trusselsanalyser med stor indvirkning på trusler

    Gennemse trusselsanalyser for at identificere eventuelle kampagner, der påvirker dit miljø. Tabellen "Trusler med stor indvirkning" viser de trusler, der har haft den største indvirkning på organisationen. I dette afsnit rangordnes trusler efter antallet af enheder, der har aktive beskeder. Se Spor og reager på nye trusler via trusselsanalyser.

Sikkerhedsadministrationsteam

  • Gennemse tilstandsrapporter

    Gennemse tilstandsrapporter for at identificere eventuelle tendenser for enhedens tilstand, der skal håndteres. Rapporterne over enhedens tilstand dækker Microsoft Defender for Endpoint AV-signatur, platformtilstand og EDR-tilstand. Se Rapporter om enhedstilstand i Microsoft Defender for Endpoint.

  • Kontrollér EDR-sensortilstand (Endpoint Detection and Response)

    EDR-tilstand vedligeholder forbindelsen til EDR-tjenesten for at sikre, at Defender for Endpoint modtager de nødvendige signaler til at advare og identificere sikkerhedsrisici.

    Gennemse usunde enheder. Se Enhedstilstand, Sensortilstand & OS-rapport.

  • Kontrollér Microsoft Defender Antiviruss tilstand

    Visning af status for Microsoft Defender Antivirus-opdateringer er afgørende for den bedste ydeevne af Defender for Endpoint i dit miljø og opdaterede registreringer. På siden enhedstilstand vises den aktuelle status for platform-, intelligens- og programversion. Se rapporten Enhedstilstand, Microsoft Defender Antivirustilstand.

Ugentlige aktiviteter

Generel

  • Meddelelsescenter

    Microsoft Defender XDR bruger Microsoft 365 Meddelelsescenter til at give dig besked om kommende ændringer, f.eks. nye og ændrede funktioner, planlagt vedligeholdelse eller andre vigtige meddelelser.

    Gennemse meddelelserne i Meddelelsescenter for at forstå eventuelle kommende ændringer, der påvirker dit miljø.

    Du kan få adgang til dette i Microsoft 365 Administration under fanen Tilstand. Se Sådan kontrollerer du Tjenestetilstand for Microsoft 365.

Team for sikkerhedshandlinger

Sikkerhedsadministrationsteam

Månedlige aktiviteter

Generel

Gennemse følgende artikler for at forstå nyligt udgivne opdateringer:

Sikkerhedsadministrationsteam

  • Gennemse enhed, der er udelukket fra politikken

    Hvis nogen enheder er udelukket fra Defender for Endpoint-politikker, skal du gennemse og afgøre, om enheden stadig skal udelades fra politikken.

    Bemærk!

    Gennemse fejlfindingstilstanden for at få oplysninger om fejlfinding. Se Kom i gang med fejlfindingstilstand i Microsoft Defender for Endpoint.

Regelmæssigt

Disse opgaver betragtes som vedligeholdelse af din sikkerhedsholdning og er afgørende for din løbende beskyttelse. Men da de kan tage tid og kræfter, anbefales det, at du angiver en standardplan, som du kan vedligeholde for at udføre disse opgaver.

  • Gennemse udeladelser

    Gennemse undtagelser, der er angivet i dit miljø, for at bekræfte, at du ikke har oprettet et beskyttelsesgab ved at udelade ting, der ikke længere behøver at blive udelukket.

  • Gennemse konfigurationer af Defender-politik

    Gennemse jævnligt dine Defender-konfigurationsindstillinger for at bekræfte, at de er angivet efter behov.

  • Gennemse automatiseringsniveauer

    Gennemse automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner. Se Automatiseringsniveauer i automatiseret undersøgelse og afhjælpning.

  • Gennemse brugerdefinerede registreringer

    Gennemse jævnligt, om de brugerdefinerede registreringer, der er blevet oprettet, stadig er gyldige og effektive. Se Gennemse brugerdefineret registrering.

  • Gennemse undertrykkelse af beskeder

    Gennemse jævnligt eventuelle regler for undertrykkelse af beskeder, der er blevet oprettet, for at bekræfte, at de stadig er påkrævede og gyldige. Se Gennemse undertrykkelse af beskeder.

Fejlfinding

Følgende artikler indeholder en vejledning i fejlfinding og rettelse af fejl, som du kan opleve, når du konfigurerer din Microsoft Defender for Endpoint-tjeneste.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.