Guía de operaciones de seguridad de Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

En este artículo se proporciona información general sobre los requisitos y las tareas para operar correctamente Microsoft Defender para punto de conexión en su organización. Estas tareas ayudan al centro de operaciones de seguridad (SOC) a detectar y responder de forma eficaz a Microsoft Defender para punto de conexión amenazas de seguridad detectadas.

En este artículo también se describen las tareas diarias, semanales, mensuales y ad hoc que el equipo de seguridad puede realizar para su organización.

Nota:

Estos son los pasos recomendados; compruébalos con sus propias directivas y entorno para asegurarse de que se ajusten a su propósito.

Requisitos previos:

El punto de conexión de Microsoft Defender debe configurarse para admitir el proceso de operaciones de seguridad normales. Aunque no se trata en este documento, los artículos siguientes proporcionan información de configuración y configuración:

• Configurar las opciones generales de Defender para punto de conexión

  • General
  • Permissions
  • Rules
  • Administración de dispositivos
  • Configurar la zona horaria en el Centro de seguridad de Microsoft Defender

• Configuración Microsoft Defender XDR notificaciones de incidentes

  Para obtener notificaciones por correo electrónico sobre incidentes de Microsoft Defender XDR definidos, se recomienda configurar las notificaciones por correo electrónico. Consulte Notificaciones de incidentes por correo electrónico.

• Conexión a SIEM (Sentinel)

  Si tiene herramientas de administración de eventos e información de seguridad (SIEM) existentes, puede integrarlas con Microsoft Defender XDR. Consulte Integración de las herramientas SIEM con Microsoft Defender XDR y Microsoft Defender XDR integración con Microsoft Sentinel.

• Revisión de la configuración de detección de datos

  Revise la configuración de detección de dispositivos Microsoft Defender para punto de conexión para asegurarse de que está configurada según sea necesario. Consulte Introducción a la detección de dispositivos.

Actividades diarias

General

• Revisar acciones

  En el centro de acciones, revise las acciones que se han realizado en su entorno, tanto automatizadas como manuales. Esta información le ayuda a validar que la investigación y respuesta automatizada (AIR) funciona según lo esperado e identificar las acciones manuales que deben revisarse. Consulte Visitar el Centro de acciones para ver las acciones de corrección.

Equipo de operaciones de seguridad

• Supervisión de la cola de incidentes de Microsoft Defender XDR

  Cuando Microsoft Defender para punto de conexión identifica indicadores de riesgo (IOC) o indicadores de ataque (E/S/S) y genera una alerta, la alerta se incluye en un incidente y se muestra en la cola Incidentes del portal de Microsoft Defender (https://security.microsoft.com).

  Revise estos incidentes para responder a las alertas de Microsoft Defender para punto de conexión y resolverlos una vez corregido el incidente. Consulte Notificaciones de incidentes por correo electrónico y Ver y organizar la cola de incidentes de Microsoft Defender para punto de conexión.

• Administración de detecciones de falsos positivos y falsos negativos

  Revise la cola de incidentes, identifique las detecciones de falsos positivos y falsos negativos y envíelas para su revisión. Esto le ayuda a administrar de forma eficaz las alertas en su entorno y a hacer que las alertas sean más eficaces. Consulte Dirección de falsos positivos o negativos en Microsoft Defender para punto de conexión.

• Revisión de las amenazas de alto impacto del análisis de amenazas

  Revise el análisis de amenazas para identificar las campañas que afectan a su entorno. En la tabla "Amenazas de alto impacto" se enumeran las amenazas que han tenido el mayor impacto en la organización. En esta sección se clasifican las amenazas por el número de dispositivos que tienen alertas activas. Consulte Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas.

Equipo de administración de seguridad

• Revisión de informes de estado

  Revise los informes de estado para identificar las tendencias de estado de los dispositivos que deben abordarse. Los informes de estado del dispositivo cubren Microsoft Defender para punto de conexión firma de AV, estado de la plataforma y estado de EDR. Consulte Informes de estado del dispositivo en Microsoft Defender para punto de conexión.

• Comprobación del estado del sensor de detección y respuesta del punto de conexión (EDR)

  El estado de EDR mantiene la conexión con el servicio EDR para asegurarse de que Defender para punto de conexión recibe las señales necesarias para alertar e identificar vulnerabilidades.

  Revise los dispositivos incorrectos. Consulte Estado del dispositivo, Estado del sensor & informe del sistema operativo.

• Comprobación del estado de Microsoft Defender Antivirus

  Ver el estado de las actualizaciones de Microsoft Defender Antivirus es fundamental para obtener el mejor rendimiento de Defender para punto de conexión en su entorno y detecciones actualizadas. La página estado del dispositivo muestra el estado actual de la plataforma, la inteligencia y la versión del motor. Consulte el informe Estado del dispositivo, Microsoft Defender Antivirus.

Actividades semanales

General

• Centro de mensajes

  Microsoft Defender XDR usa el Centro de mensajes de Microsoft 365 para notificarle los próximos cambios, como características nuevas y modificadas, mantenimiento planeado u otros anuncios importantes.

  Revise los mensajes del Centro de mensajes para comprender los próximos cambios que afectan al entorno.

  Puede acceder a esta información en el Centro de administración de Microsoft 365 en la pestaña Estado. Consulte Cómo comprobar el estado del servicio de Microsoft 365.

Equipo de operaciones de seguridad

• Revisión de los informes de amenazas

  Revise los informes de estado para identificar las tendencias de amenazas de dispositivos que deben abordarse. Consulte Informe de protección contra amenazas.

• Revisión del análisis de amenazas

  Revise el análisis de amenazas para identificar las campañas que afectan a su entorno. Consulte Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas.

Equipo de administración de seguridad

• Revisión del estado de amenazas y vulnerabilidades (TVM)

  Revise TVM para identificar las nuevas vulnerabilidades y recomendaciones que requieran acción. Consulte Panel de administración de vulnerabilidades.

• Revisión de los informes de reducción de la superficie expuesta a ataques

  Revise los informes de ASR para identificar los archivos que afectan al entorno. Consulte Informe de reglas de reducción de superficie expuesta a ataques.

• Revisión de eventos de protección web

  Revise el informe de defensa web para identificar las direcciones IP o direcciones URL que están bloqueadas. Consulte Protección web.

Actividades mensuales

General

Revise los siguientes artículos para comprender las actualizaciones publicadas recientemente:

• Novedades de Microsoft Defender para punto de conexión

• Novedades de Microsoft Defender para punto de conexión en Windows

• Novedades de Microsoft Defender para punto de conexión en Mac

• Novedades de Microsoft Defender para punto de conexión en Linux

• Novedades de Microsoft Defender para punto de conexión en iOS

• Novedades de Microsoft Defender para punto de conexión en Android

Equipo de administración de seguridad

• Revisión del dispositivo excluido de la directiva

  Si se excluye algún dispositivo de las directivas de Defender para punto de conexión, revise y determine si el dispositivo todavía debe excluirse de la directiva.

  Nota:

  Revise el modo de solución de problemas para solucionar problemas. Consulte Introducción al modo de solución de problemas en Microsoft Defender para punto de conexión.

Periódicamente

Estas tareas se consideran mantenimiento de la posición de seguridad y son fundamentales para la protección continua. Pero como pueden tardar tiempo y esfuerzo, se recomienda establecer una programación estándar que pueda mantener para realizar estas tareas.

• Revisar exclusiones

  Revise las exclusiones que se han establecido en su entorno para confirmar que no ha creado una brecha de protección mediante la exclusión de elementos que ya no son necesarios para excluirse.

• Revisión de las configuraciones de directivas de Defender

  Revise periódicamente los valores de configuración de Defender para confirmar que se establecen según sea necesario.

• Revisión de los niveles de automatización

  Revise los niveles de automatización en las funcionalidades automatizadas de investigación y corrección. Consulte Niveles de automatización en investigación y corrección automatizadas.

• Revisión de detecciones personalizadas

  Revise periódicamente si las detecciones personalizadas que se han creado siguen siendo válidas y eficaces. Consulte Revisión de la detección personalizada.

• Revisión de la supresión de alertas

  Revise periódicamente las reglas de supresión de alertas que se hayan creado para confirmar que siguen siendo necesarias y válidas. Consulte Revisión de la supresión de alertas.

Solución de problemas

En los artículos siguientes se proporcionan instrucciones para solucionar los errores que puede experimentar al configurar el servicio de Microsoft Defender para punto de conexión.

• Solución de problemas del estado del sensor
• Solución de problemas de mantenimiento del sensor mediante el Analizador de clientes
• Solucionar problemas de respuesta en vivo
• Recopilar registros de soporte técnico con LiveAnalyzer
• Solucionar problemas de la reducción de la superficie expuesta a ataques
• Solucionar problemas de incorporación

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.