Share via


Guida alle operazioni di sicurezza di Microsoft Defender per endpoint

Si applica a:

Questo articolo offre una panoramica dei requisiti e delle attività per il corretto funzionamento delle Microsoft Defender per endpoint nell'organizzazione. Queste attività consentono al Centro operativo di sicurezza (SOC) di rilevare e rispondere in modo efficace a Microsoft Defender per endpoint minacce alla sicurezza rilevate.

Questo articolo descrive anche le attività giornaliere, settimanali, mensili e ad hoc che il team di sicurezza può eseguire per l'organizzazione.

Nota

Questi sono i passaggi consigliati; controllarli in base ai propri criteri e all'ambiente per assicurarsi che siano adatti allo scopo.

Prerequisiti:

L'endpoint Microsoft Defender deve essere configurato per supportare il normale processo delle operazioni di sicurezza. Anche se non sono trattati in questo documento, gli articoli seguenti forniscono informazioni di configurazione e configurazione:

Attività quotidiane

Generale

  • Esaminare le azioni

    Nel centro notifiche esaminare le azioni eseguite nell'ambiente, sia automatizzate che manuali. Queste informazioni consentono di verificare che l'analisi automatizzata e la risposta (AIR) funzionino come previsto e identificare eventuali azioni manuali che devono essere esaminate. Vedere Visitare il Centro notifiche per visualizzare le azioni correttive.

Team delle operazioni di sicurezza

Team di amministrazione della sicurezza

  • Esaminare i report sull'integrità

    Esaminare i report sull'integrità per identificare eventuali tendenze di integrità dei dispositivi che devono essere affrontate. I report sull'integrità dei dispositivi riguardano Microsoft Defender per endpoint firma AV, integrità della piattaforma e integrità EDR. Vedere Report sull'integrità dei dispositivi in Microsoft Defender per endpoint.

  • Controllare l'integrità del sensore EDR (Endpoint Detection and Response)

    L'integrità edr mantiene la connessione al servizio EDR per assicurarsi che Defender per endpoint riceva i segnali necessari per segnalare e identificare le vulnerabilità.

    Esaminare i dispositivi non integri. Vedere Integrità del dispositivo, Integrità dei sensori & report del sistema operativo.

  • Controllare Microsoft Defender integrità antivirus

    La visualizzazione dello stato degli aggiornamenti di Microsoft Defender Antivirus è fondamentale per le migliori prestazioni di Defender per endpoint nell'ambiente e per i rilevamenti aggiornati. La pagina integrità del dispositivo mostra lo stato corrente per la piattaforma, l'intelligence e la versione del motore. Vedere il report Integrità del dispositivo Microsoft Defender Integrità antivirus.

Attività settimanali

Generale

  • Centro messaggi

    Microsoft Defender XDR usa il Centro messaggi di Microsoft 365 per notificare le modifiche imminenti, ad esempio le funzionalità nuove e modificate, la manutenzione pianificata o altri annunci importanti.

    Esaminare i messaggi del Centro messaggi per comprendere eventuali modifiche imminenti che influiscono sull'ambiente.

    È possibile accedervi nella interfaccia di amministrazione di Microsoft 365 nella scheda Integrità. Vedere Come controllare l'integrità del servizio Microsoft 365.

Team delle operazioni di sicurezza

Team di amministrazione della sicurezza

  • Esaminare lo stato di minaccia e vulnerabilità (TVM)

    Esaminare TVM per identificare eventuali nuove vulnerabilità e raccomandazioni che richiedono un'azione. Vedere Dashboard di gestione delle vulnerabilità.

  • Esaminare i report sulla riduzione della superficie di attacco

    Esaminare i report asr per identificare eventuali file che influiscono sull'ambiente. Vedere Report regole di riduzione della superficie di attacco.

  • Esaminare gli eventi di protezione Web

    Esaminare il report di difesa Web per identificare eventuali URL o indirizzi IP bloccati. Vedere Protezione Web.

Attività mensili

Generale

Esaminare gli articoli seguenti per comprendere gli aggiornamenti rilasciati di recente:

Team di amministrazione della sicurezza

Periodicamente

Queste attività sono considerate come manutenzione per il comportamento di sicurezza e sono fondamentali per la protezione in corso. Tuttavia, poiché potrebbero richiedere tempo e fatica, è consigliabile impostare una pianificazione standard che è possibile gestire per eseguire queste attività.

  • Esaminare le esclusioni

    Esaminare le esclusioni impostate nell'ambiente per verificare che non sia stato creato un gap di protezione escludendo gli elementi che non sono più necessari per essere esclusi.

  • Esaminare le configurazioni dei criteri di Defender

    Esaminare periodicamente le impostazioni di configurazione di Defender per verificare che siano impostate come richiesto.

  • Esaminare i livelli di automazione

    Esaminare i livelli di automazione nelle funzionalità di analisi e correzione automatizzate. Vedere Livelli di automazione nell'analisi automatizzata e nella correzione.

  • Esaminare i rilevamenti personalizzati

    Verificare periodicamente se i rilevamenti personalizzati creati sono ancora validi ed efficaci. Vedere Esaminare il rilevamento personalizzato.

  • Esaminare l'eliminazione degli avvisi

    Esaminare periodicamente tutte le regole di eliminazione degli avvisi create per verificare che siano ancora necessarie e valide. Vedere Esaminare l'eliminazione degli avvisi.

Risoluzione dei problemi

Gli articoli seguenti forniscono indicazioni per risolvere e correggere gli errori che possono verificarsi durante la configurazione del servizio Microsoft Defender per endpoint.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.