Végponthoz készült Microsoft Defender biztonsági üzemeltetési útmutató

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Ez a cikk áttekintést nyújt a szervezetében Végponthoz készült Microsoft Defender sikeres működéséhez szükséges követelményekről és feladatokról. Ezek a feladatok segítenek a biztonsági üzemeltetési központnak (SOC) hatékonyan észlelni és reagálni Végponthoz készült Microsoft Defender észlelt biztonsági fenyegetésekre.

Ez a cikk azt is ismerteti, hogy a biztonsági csapat napi, heti, havi és alkalmi feladatokat hajthat végre a szervezet számára.

Megjegyzés:

Ezek a javasolt lépések; ellenőrizze őket a saját szabályzatai és környezete alapján, hogy azok megfelelnek-e a célnak.

Előfeltételek:

A Microsoft Defender végpontot úgy kell beállítani, hogy támogassa a rendszeres biztonsági műveletek folyamatát. Bár ez a dokumentum nem foglalkozik ezzel a dokumentumsal, a következő cikkek konfigurációs és beállítási információkat tartalmaznak:

• A Végponthoz készült Defender általános beállításainak konfigurálása

  • Általános
  • Engedélyek
  • Szabályok
  • Eszközkezelés
  • A Microsoft Defender Biztonsági Központ időzónabeállításainak konfigurálása

• Microsoft Defender XDR incidensértesítések beállítása

  Ha e-mail-értesítéseket szeretne kapni a meghatározott Microsoft Defender XDR incidensekről, javasoljuk, hogy konfigurálja az e-mail-értesítéseket. Lásd: Incidensértesítések e-mailben.

• Csatlakozás a SIEM-hez (Sentinel)

  Ha rendelkezik meglévő biztonsági információs és eseménykezelési (SIEM) eszközökkel, integrálhatja őket a Microsoft Defender XDR. Lásd: SIEM-eszközök integrálása Microsoft Defender XDR és Microsoft Defender XDR integrálása a Microsoft Sentinelbe.

• Az adatfelderítés konfigurációjának áttekintése

  Tekintse át az Végponthoz készült Microsoft Defender eszközfelderítési konfigurációt, és győződjön meg arról, hogy az igény szerint van konfigurálva. Lásd: Eszközfelderítés áttekintése.

Napi tevékenységek

Általános

• Műveletek áttekintése

  A műveletközpontban tekintse át a környezetben végrehajtott műveleteket automatizált és manuális módon is. Ezek az információk segítenek ellenőrizni, hogy az automatizált vizsgálat és reagálás (AIR) a várt módon működik-e, és azonosítja azokat a manuális műveleteket, amelyeket felül kell vizsgálni. A szervizelési műveletek megtekintéséhez tekintse meg a Műveletközpont felkeresése című témakört.

Biztonsági üzemeltetési csapat

• A Microsoft Defender XDR Incidensek üzenetsor figyelése

  Ha Végponthoz készült Microsoft Defender azonosítja a biztonsági rések mutatóit (IOC-ket) vagy támadásjelzőket (IOA-kat), és riasztást hoz létre, a riasztás megjelenik egy incidensben, és megjelenik az Incidensek üzenetsorban a Microsoft Defender portálon (https://security.microsoft.com).

  Tekintse át ezeket az incidenseket, hogy reagáljon az Végponthoz készült Microsoft Defender riasztásokra, és az incidens szervizelése után megoldódjon. Lásd: Incidensértesítések e-mailben és a Végponthoz készült Microsoft Defender Incidensek üzenetsor megtekintése és rendszerezése.

• Téves pozitív és hamis negatív észlelések kezelése

  Tekintse át az incidenssort, azonosítsa a téves pozitív és hamis negatív észleléseket, és küldje el őket felülvizsgálatra. Ez segít hatékonyan kezelni a riasztásokat a környezetben, és hatékonyabbá tenni a riasztásokat. Lásd: A téves pozitív/negatív értékek kezelése Végponthoz készült Microsoft Defender.

• A fenyegetéselemzés nagy hatású fenyegetéseinek áttekintése

  Tekintse át a fenyegetéselemzést, és azonosítsa azokat a kampányokat, amelyek hatással vannak a környezetre. A "Nagy hatású fenyegetések" táblázat felsorolja azokat a fenyegetéseket, amelyek a legnagyobb hatással voltak a szervezetre. Ez a szakasz az aktív riasztásokkal rendelkező eszközök száma alapján rangsorolja a fenyegetéseket. Lásd: Újonnan felmerülő fenyegetések nyomon követése és elhárítása fenyegetéselemzéssel.

Biztonsági felügyeleti csapat

• Állapotjelentések áttekintése

  Tekintse át az állapotjelentéseket a kezelendő eszközállapot-trendek azonosításához. Az eszközállapot-jelentések Végponthoz készült Microsoft Defender AV-aláírásra, platformállapotra és EDR-állapotra vonatkoznak. Lásd: Eszközállapot-jelentések Végponthoz készült Microsoft Defender.

• A végpontészlelés és -válasz (EDR) érzékelő állapotának ellenőrzése

  Az EDR állapota fenntartja a kapcsolatot az EDR szolgáltatással annak érdekében, hogy a Végponthoz készült Defender megkapja a riasztáshoz és a biztonsági rések azonosításához szükséges jeleket.

  Tekintse át a nem megfelelő állapotú eszközöket. Lásd: Eszközállapot, Érzékelő állapota & operációsrendszer-jelentés.

• Microsoft Defender víruskereső állapotának ellenőrzése

  A Microsoft Defender víruskereső frissítések állapotának megtekintése kritikus fontosságú a végponthoz készült Defender optimális teljesítménye és a naprakész észlelések szempontjából. Az eszközállapot lapon a platform, az intelligencia és a motorverzió aktuális állapota látható. Lásd: Eszközállapot, Microsoft Defender Víruskereső állapota jelentés.

Heti tevékenységek

Általános

• Üzenetközpont

  Microsoft Defender XDR a Microsoft 365 Üzenetközpont használatával értesíti Önt a közelgő változásokról, például az új és módosított funkciókról, a tervezett karbantartásról vagy más fontos bejelentésekről.

  Az Üzenetközpont üzeneteiből megtudhatja, hogy milyen közelgő változások érintik a környezetet.

  Ezt az Állapot lap Microsoft 365 Felügyeleti központ érheti el. Lásd: A Microsoft 365 szolgáltatás állapotának ellenőrzése.

Biztonsági üzemeltetési csapat

• A fenyegetésjelentés áttekintése

  Tekintse át az állapotjelentéseket a kezelendő eszközfenyegetések trendjeinek azonosításához. Lásd: Veszélyforrások elleni védelemről szóló jelentés.

• Veszélyforrás-elemzések áttekintése

  Tekintse át a fenyegetéselemzést, és azonosítsa a környezetet érintő kampányokat. Lásd: Újonnan felmerülő fenyegetések nyomon követése és elhárítása fenyegetéselemzéssel.

Biztonsági felügyeleti csapat

• A fenyegetés és a biztonsági rés (TVM) állapotának áttekintése

  Tekintse át a TVM-et a beavatkozást igénylő új biztonsági rések és javaslatok azonosításához. Lásd: Biztonságirés-kezelési irányítópult.

• Támadásifelület-csökkentési jelentés áttekintése

  Tekintse át az ASR-jelentéseket a környezetre hatással lévő fájlok azonosításához. Lásd: Támadásifelület-csökkentési szabályokról szóló jelentés.

• Webvédelmi események áttekintése

  Tekintse át a webvédelmi jelentést a blokkolt IP-címek vagy URL-címek azonosításához. Lásd: Webvédelem.

Havi tevékenységek

Általános

A nemrég kiadott frissítések megismeréséhez tekintse át az alábbi cikkeket:

• Melyek a Végponthoz készült Microsoft Defender újdonságai

• A Windows Végponthoz készült Microsoft Defender újdonságai

• A Mac Végponthoz készült Microsoft Defender újdonságai

• A Linuxon futó Végponthoz készült Microsoft Defender újdonságai

• Az iOS Végponthoz készült Microsoft Defender újdonságai

• Az androidos Végponthoz készült Microsoft Defender újdonságai

Biztonsági felügyeleti csapat

• Szabályzatból kizárt eszköz áttekintése

  Ha valamelyik eszköz ki van zárva a Végponthoz készült Defender szabályzataiból, tekintse át, és állapítsa meg, hogy az eszközt továbbra is ki kell-e zárni a szabályzatból.

  Megjegyzés:

  Tekintse át a hibaelhárítási módot a hibaelhárításhoz. Lásd: Ismerkedés a hibaelhárítási móddal Végponthoz készült Microsoft Defender.

Rendszeresen

Ezek a feladatok a biztonsági állapot karbantartásának tekinthetők, és kritikus fontosságúak a folyamatos védelem szempontjából. Mivel azonban időbe és erőfeszítésbe is telhet, javasoljuk, hogy állítson be egy szabványos ütemezést, amelyet fenntarthat a feladatok végrehajtásához.

• Kizárások áttekintése

  Tekintse át a környezetben beállított kizárásokat, és győződjön meg arról, hogy nem hozott létre védelmi rést, ha kizárja azokat a dolgokat, amelyeket már nem kell kizárni.

• Defender-szabályzatkonfigurációk áttekintése

  Rendszeresen tekintse át a Defender konfigurációs beállításait, és ellenőrizze, hogy szükség szerint vannak-e beállítva.

• Automatizálási szintek áttekintése

  Tekintse át az automatizált vizsgálati és javítási képességek automatizálási szintjeit. Lásd: Automatizálási szintek az automatizált vizsgálatban és szervizelésben.

• Egyéni észlelések áttekintése

  Rendszeresen ellenőrizze, hogy a létrehozott egyéni észlelések továbbra is érvényesek és érvényesek-e. Lásd: Egyéni észlelés áttekintése.

• Riasztások mellőzésének áttekintése

  Rendszeresen tekintse át a létrehozott riasztáselfolytatási szabályokat, hogy meggyőződjön arról, hogy továbbra is szükségesek és érvényesek. Lásd: Riasztások mellőzése.

Hibaelhárítás

Az alábbi cikkek útmutatást nyújtanak a Végponthoz készült Microsoft Defender szolgáltatás beállításakor előforduló hibák elhárításához és javításához.

• Érzékelő állapotának hibaelhárítása
• Érzékelő állapotával kapcsolatos problémák elhárítása az Ügyfélelemző használatával
• Valós idejű válaszműveletekkel kapcsolatos problémák elhárítása
• Támogatási naplók gyűjtése a LiveAnalyzer használatával
• Támadásifelület-csökkentési problémák elhárítása
• A bevezetéssel kapcsolatos problémák elhárítása

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.