Guide des opérations de sécurité Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2

Cet article fournit une vue d’ensemble des conditions requises et des tâches pour le bon fonctionnement des Microsoft Defender pour point de terminaison dans votre organization. Ces tâches aident votre centre des opérations de sécurité (SOC) à détecter efficacement les menaces de sécurité Microsoft Defender pour point de terminaison détectées et à y répondre.

Cet article décrit également les tâches quotidiennes, hebdomadaires, mensuelles et ad hoc que votre équipe de sécurité peut effectuer pour votre organization.

Remarque

Il s’agit des étapes recommandées . case activée-les par rapport à vos propres stratégies et à votre environnement pour vous assurer qu’ils sont adaptés à leur objectif.

Conditions préalables :

Le point de terminaison Microsoft Defender doit être configuré pour prendre en charge votre processus normal d’opérations de sécurité. Bien que non abordés dans ce document, les articles suivants fournissent des informations sur la configuration et l’installation :

• Configurer les paramètres généraux de Defender pour point de terminaison

  • Généralités
  • Autorisations
  • Règles
  • Gestion des périphériques
  • Configurer des paramètres de fuseau horaire du Centre de sécurité Microsoft Defender

• Configurer Microsoft Defender XDR notifications d’incident

  Pour obtenir Notifications par e-mail sur les incidents Microsoft Defender XDR définis, il est recommandé de configurer Notifications par e-mail. Consultez Notifications d’incident par e-mail.

• Se connecter à SIEM (Sentinel)

  Si vous disposez d’outils SIEM (Security Information and Event Management), vous pouvez les intégrer à Microsoft Defender XDR. Consultez Intégrer vos outils SIEM à Microsoft Defender XDR et Microsoft Defender XDR intégration à Microsoft Sentinel.

• Passer en revue la configuration de la découverte des données

  Passez en revue la configuration de la découverte d’appareils Microsoft Defender pour point de terminaison pour vous assurer qu’elle est configurée en fonction des besoins. Consultez Vue d’ensemble de la découverte d’appareils.

Activités quotidiennes

Généralités

• Passer en revue les actions

  Dans le centre de notifications, passez en revue les actions qui ont été effectuées dans votre environnement, à la fois automatisées et manuelles. Ces informations vous aident à vérifier que l’examen et la réponse automatisés (AIR) fonctionnent comme prévu et à identifier toutes les actions manuelles qui doivent être examinées. Consultez Visiter le Centre de notifications pour voir les actions de correction.

Équipe des opérations de sécurité

• Surveiller la file d’attente des incidents Microsoft Defender XDR

  Lorsque Microsoft Defender pour point de terminaison identifie des indicateurs de compromission (ICS) ou des indicateurs d’attaque (E/S) et génère une alerte, l’alerte est incluse dans un incident et affichée dans la file d’attente Incidents dans le portail Microsoft Defender (https://security.microsoft.com).

  Passez en revue ces incidents pour répondre aux alertes Microsoft Defender pour point de terminaison et les résoudre une fois l’incident corrigé. Consultez Notifications d’incident par e-mail et Afficher et organiser la file d’attente des incidents Microsoft Defender pour point de terminaison.

• Gérer les détections de faux positifs et de faux négatifs

  Passez en revue la file d’attente des incidents, identifiez les détections de faux positifs et de faux négatifs et envoyez-les pour révision. Cela vous permet de gérer efficacement les alertes dans votre environnement et de les rendre plus efficaces. Consultez Résoudre les faux positifs/négatifs dans Microsoft Defender pour point de terminaison.

• Passer en revue les menaces à fort impact sur l’analyse des menaces

  Passez en revue l’analyse des menaces pour identifier les campagnes qui ont un impact sur votre environnement. Le tableau « Menaces à fort impact » répertorie les menaces qui ont eu l’impact le plus élevé sur le organization. Cette section classe les menaces par le nombre d’appareils qui ont des alertes actives. Consultez Suivre et répondre aux menaces émergentes par le biais de l’analytique des menaces.

Équipe d’administration de la sécurité

• Passer en revue les rapports d’intégrité

  Passez en revue les rapports d’intégrité pour identifier les tendances d’intégrité des appareils qui doivent être traitées. Les rapports d’intégrité de l’appareil couvrent Microsoft Defender pour point de terminaison signature AV, l’intégrité de la plateforme et l’intégrité EDR. Consultez Rapports d’intégrité de l’appareil dans Microsoft Defender pour point de terminaison.

• Vérifier l’intégrité du capteur EDR (Détection et réponse des points de terminaison)

  L’intégrité EDR maintient la connexion au service EDR pour s’assurer que Defender pour point de terminaison reçoit les signaux nécessaires pour alerter et identifier les vulnérabilités.

  Passez en revue les appareils défectueux. Consultez État de l’appareil, Intégrité du capteur & rapport du système d’exploitation.

• Vérifier Microsoft Defender’intégrité de l’antivirus

  L’affichage de la status des mises à jour antivirus Microsoft Defender est essentiel pour optimiser les performances de Defender pour point de terminaison dans votre environnement et les détections à jour. La page d’intégrité de l’appareil affiche les status actuelles pour la plateforme, l’intelligence et la version du moteur. Consultez le rapport Intégrité de l’appareil, Microsoft Defender Antivirus.

Activités hebdomadaires

Généralités

• Centre de messages

  Microsoft Defender XDR utilise le Centre de messages Microsoft 365 pour vous informer des modifications à venir, telles que les fonctionnalités nouvelles et modifiées, la maintenance planifiée ou d’autres annonces importantes.

  Passez en revue les messages du centre de messages pour comprendre les modifications à venir qui ont un impact sur votre environnement.

  Vous pouvez y accéder dans le Centre d'administration Microsoft 365 sous l’onglet Intégrité. Consultez Guide pratique pour case activée intégrité du service Microsoft 365.

Équipe des opérations de sécurité

• Passer en revue les rapports sur les menaces

  Passez en revue les rapports d’intégrité pour identifier les tendances des menaces d’appareil qui doivent être traitées. Consultez Rapport sur la protection contre les menaces.

• Passer en revue l’analyse des menaces

  Passez en revue l’analyse des menaces pour identifier les campagnes qui affectent votre environnement. Consultez Suivre et répondre aux menaces émergentes par le biais de l’analytique des menaces.

Équipe d’administration de la sécurité

• Passer en revue les status de menaces et de vulnérabilités (TVM)

  Passez en revue TVM pour identifier les nouvelles vulnérabilités et recommandations qui nécessitent une action. Consultez Tableau de bord gestion des vulnérabilités.

• Passer en revue les rapports de réduction de la surface d’attaque

  Passez en revue les rapports ASR pour identifier tous les fichiers qui affectent votre environnement. Consultez Rapport sur les règles de réduction de la surface d’attaque.

• Passer en revue les événements de protection web

  Passez en revue le rapport de défense web pour identifier les adresses IP ou URL qui sont bloquées. Consultez Protection web.

Activités mensuelles

Généralités

Passez en revue les articles suivants pour comprendre les mises à jour récemment publiées :

• Nouveautés dans Microsoft Defender pour point de terminaison

• Nouveautés de Microsoft Defender pour point de terminaison sur Windows

• Nouveautés de Microsoft Defender pour point de terminaison sur Mac

• Nouveautés de Microsoft Defender pour point de terminaison sur Linux

• Nouveautés de Microsoft Defender pour point de terminaison sur iOS

• Nouveautés de Microsoft Defender pour point de terminaison sur Android

Équipe d’administration de la sécurité

• Passer en revue l’appareil exclu de la stratégie

  Si des appareils sont exclus des stratégies Defender pour point de terminaison, vérifiez et déterminez si l’appareil doit toujours être exclu de la stratégie.

  Remarque

  Passez en revue le mode de résolution des problèmes. Consultez Prise en main du mode résolution des problèmes dans Microsoft Defender pour point de terminaison.

Périodiquement

Ces tâches sont considérées comme une maintenance pour votre posture de sécurité et sont essentielles pour votre protection continue. Toutefois, comme elles peuvent prendre du temps et des efforts, il est recommandé de définir une planification standard que vous pouvez maintenir pour effectuer ces tâches.

• Passer en revue les exclusions

  Passez en revue les exclusions qui ont été définies dans votre environnement pour confirmer que vous n’avez pas créé d’écart de protection en excluant les éléments qui ne doivent plus être exclus.

• Passer en revue les configurations de stratégie Defender

  Examinez régulièrement vos paramètres de configuration Defender pour vérifier qu’ils sont définis comme requis.

• Passer en revue les niveaux d’automatisation

  Passez en revue les niveaux d’automatisation dans les fonctionnalités d’investigation et de correction automatisées. Consultez Niveaux d’automatisation dans l’investigation et la correction automatisées.

• Passer en revue les détections personnalisées

  Vérifiez régulièrement si les détections personnalisées qui ont été créées sont toujours valides et efficaces. Consultez Passer en revue la détection personnalisée.

• Passer en revue la suppression des alertes

  Passez régulièrement en revue toutes les règles de suppression d’alerte qui ont été créées pour confirmer qu’elles sont toujours requises et valides. Consultez Vérifier la suppression des alertes.

Résolution des problèmes

Les articles suivants fournissent des conseils pour résoudre les erreurs que vous pouvez rencontrer lors de la configuration de votre service Microsoft Defender pour point de terminaison.

• Résoudre les problèmes d’état du capteur
• Résoudre les problèmes d’intégrité des capteurs à l’aide de l’analyseur client
• Résoudre des problèmes de réponse en direct
• Collecter les journaux du support à l’aide de Live Analyzer
• Résoudre des problèmes de réduction de la surface d'attaque
• Résoudre des problèmes d’intégration

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.