Guida alle operazioni di sicurezza di Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Questo articolo offre una panoramica dei requisiti e delle attività per il corretto funzionamento delle Microsoft Defender per endpoint nell'organizzazione. Queste attività consentono al Centro operativo di sicurezza (SOC) di rilevare e rispondere in modo efficace a Microsoft Defender per endpoint minacce alla sicurezza rilevate.

Questo articolo descrive anche le attività giornaliere, settimanali, mensili e ad hoc che il team di sicurezza può eseguire per l'organizzazione.

Nota

Questi sono i passaggi consigliati; controllarli in base ai propri criteri e all'ambiente per assicurarsi che siano adatti allo scopo.

Prerequisiti:

L'endpoint Microsoft Defender deve essere configurato per supportare il normale processo delle operazioni di sicurezza. Anche se non sono trattati in questo documento, gli articoli seguenti forniscono informazioni di configurazione e configurazione:

• Configurare le impostazioni generali di Defender per endpoint

  • Generale
  • Autorizzazioni
  • Regole
  • Gestione dei dispositivi
  • Configurare le impostazioni del fuso orario del Microsoft Defender Security Center

• Configurare le notifiche degli eventi imprevisti Microsoft Defender XDR

  Per ottenere notifiche tramite posta elettronica in caso di eventi imprevisti definiti Microsoft Defender XDR, è consigliabile configurare le notifiche tramite posta elettronica. Vedere Notifiche degli eventi imprevisti tramite posta elettronica.

• Connettersi a SIEM (Sentinel)

  Se si dispone di strumenti siEM (Security Information and Event Management) esistenti, è possibile integrarli con Microsoft Defender XDR. Vedere Integrare gli strumenti SIEM con Microsoft Defender XDR e Microsoft Defender XDR integrazione con Microsoft Sentinel.

• Esaminare la configurazione dell'individuazione dati

  Esaminare la configurazione di individuazione dei dispositivi Microsoft Defender per endpoint per assicurarsi che sia configurata in base alle esigenze. Vedere Panoramica dell'individuazione dei dispositivi.

Attività quotidiane

Generale

• Esaminare le azioni

  Nel centro notifiche esaminare le azioni eseguite nell'ambiente, sia automatizzate che manuali. Queste informazioni consentono di verificare che l'analisi automatizzata e la risposta (AIR) funzionino come previsto e identificare eventuali azioni manuali che devono essere esaminate. Vedere Visitare il Centro notifiche per visualizzare le azioni correttive.

Team delle operazioni di sicurezza

• Monitorare la coda degli eventi imprevisti Microsoft Defender XDR

  Quando Microsoft Defender per endpoint identifica gli indicatori di compromissione (IIC) o gli indicatori di attacco (I/O) e genera un avviso, l'avviso viene incluso in un evento imprevisto e visualizzato nella coda Eventi imprevisti nel portale di Microsoft Defender (https://security.microsoft.com).

  Esaminare questi eventi imprevisti per rispondere agli avvisi di Microsoft Defender per endpoint e risolverli dopo la correzione dell'evento imprevisto. Vedere Notifiche degli eventi imprevisti tramite posta elettronica e Visualizzare e organizzare la coda eventi imprevisti Microsoft Defender per endpoint.

• Gestire i rilevamenti falsi positivi e falsi negativi

  Esaminare la coda degli eventi imprevisti, identificare i rilevamenti falsi positivi e falsi negativi e inviarli per la revisione. In questo modo è possibile gestire in modo efficace gli avvisi nell'ambiente e rendere più efficienti gli avvisi. Vedere Indirizzo falsi positivi/negativi in Microsoft Defender per endpoint.

• Esaminare le minacce ad alto impatto dell'analisi delle minacce

  Esaminare l'analisi delle minacce per identificare eventuali campagne che influiscono sull'ambiente. La tabella "Minacce ad alto impatto" elenca le minacce che hanno avuto il massimo impatto sull'organizzazione. Questa sezione classifica le minacce in base al numero di dispositivi con avvisi attivi. Vedere Tenere traccia e rispondere alle minacce emergenti tramite l'analisi delle minacce.

Team di amministrazione della sicurezza

• Esaminare i report sull'integrità

  Esaminare i report sull'integrità per identificare eventuali tendenze di integrità dei dispositivi che devono essere affrontate. I report sull'integrità dei dispositivi riguardano Microsoft Defender per endpoint firma AV, integrità della piattaforma e integrità EDR. Vedere Report sull'integrità dei dispositivi in Microsoft Defender per endpoint.

• Controllare l'integrità del sensore EDR (Endpoint Detection and Response)

  L'integrità edr mantiene la connessione al servizio EDR per assicurarsi che Defender per endpoint riceva i segnali necessari per segnalare e identificare le vulnerabilità.

  Esaminare i dispositivi non integri. Vedere Integrità del dispositivo, Integrità dei sensori & report del sistema operativo.

• Controllare Microsoft Defender integrità antivirus

  La visualizzazione dello stato degli aggiornamenti di Microsoft Defender Antivirus è fondamentale per le migliori prestazioni di Defender per endpoint nell'ambiente e per i rilevamenti aggiornati. La pagina integrità del dispositivo mostra lo stato corrente per la piattaforma, l'intelligence e la versione del motore. Vedere il report Integrità del dispositivo Microsoft Defender Integrità antivirus.

Attività settimanali

Generale

• Centro messaggi

  Microsoft Defender XDR usa il Centro messaggi di Microsoft 365 per notificare le modifiche imminenti, ad esempio le funzionalità nuove e modificate, la manutenzione pianificata o altri annunci importanti.

  Esaminare i messaggi del Centro messaggi per comprendere eventuali modifiche imminenti che influiscono sull'ambiente.

  È possibile accedervi nella interfaccia di amministrazione di Microsoft 365 nella scheda Integrità. Vedere Come controllare l'integrità del servizio Microsoft 365.

Team delle operazioni di sicurezza

• Esaminare la segnalazione delle minacce

  Esaminare i report sull'integrità per identificare eventuali tendenze delle minacce dei dispositivi che devono essere risolte. Vedere Report sulla protezione dalle minacce.

• Esaminare l'analisi delle minacce

  Esaminare l'analisi delle minacce per identificare eventuali campagne che influiscono sull'ambiente. Vedere Tenere traccia e rispondere alle minacce emergenti tramite l'analisi delle minacce.

Team di amministrazione della sicurezza

• Esaminare lo stato di minaccia e vulnerabilità (TVM)

  Esaminare TVM per identificare eventuali nuove vulnerabilità e raccomandazioni che richiedono un'azione. Vedere Dashboard di gestione delle vulnerabilità.

• Esaminare i report sulla riduzione della superficie di attacco

  Esaminare i report asr per identificare eventuali file che influiscono sull'ambiente. Vedere Report regole di riduzione della superficie di attacco.

• Esaminare gli eventi di protezione Web

  Esaminare il report di difesa Web per identificare eventuali URL o indirizzi IP bloccati. Vedere Protezione Web.

Attività mensili

Generale

Esaminare gli articoli seguenti per comprendere gli aggiornamenti rilasciati di recente:

• Novità di Microsoft Defender per Endpoint

• Novità di Microsoft Defender per endpoint in Windows

• Novità di Microsoft Defender per endpoint in Mac

• Novità di Microsoft Defender per endpoint in Linux

• Novità di Microsoft Defender per endpoint in iOS

• Novità di Microsoft Defender per endpoint in Android

Team di amministrazione della sicurezza

• Esaminare il dispositivo escluso dai criteri

  Se i dispositivi sono esclusi dai criteri di Defender per endpoint, verificare e determinare se il dispositivo deve ancora essere escluso dai criteri.

  Nota

  Esaminare la modalità di risoluzione dei problemi per la risoluzione dei problemi. Vedere Introduzione alla modalità di risoluzione dei problemi in Microsoft Defender per endpoint.

Periodicamente

Queste attività sono considerate come manutenzione per il comportamento di sicurezza e sono fondamentali per la protezione in corso. Tuttavia, poiché potrebbero richiedere tempo e fatica, è consigliabile impostare una pianificazione standard che è possibile gestire per eseguire queste attività.

• Esaminare le esclusioni

  Esaminare le esclusioni impostate nell'ambiente per verificare che non sia stato creato un gap di protezione escludendo gli elementi che non sono più necessari per essere esclusi.

• Esaminare le configurazioni dei criteri di Defender

  Esaminare periodicamente le impostazioni di configurazione di Defender per verificare che siano impostate come richiesto.

• Esaminare i livelli di automazione

  Esaminare i livelli di automazione nelle funzionalità di analisi e correzione automatizzate. Vedere Livelli di automazione nell'analisi automatizzata e nella correzione.

• Esaminare i rilevamenti personalizzati

  Verificare periodicamente se i rilevamenti personalizzati creati sono ancora validi ed efficaci. Vedere Esaminare il rilevamento personalizzato.

• Esaminare l'eliminazione degli avvisi

  Esaminare periodicamente tutte le regole di eliminazione degli avvisi create per verificare che siano ancora necessarie e valide. Vedere Esaminare l'eliminazione degli avvisi.

Risoluzione dei problemi

Gli articoli seguenti forniscono indicazioni per risolvere e correggere gli errori che possono verificarsi durante la configurazione del servizio Microsoft Defender per endpoint.

• Risolvere i problemi relativi allo stato del sensore
• Risolvere i problemi di integrità dei sensori tramite l'analizzatore client
• Risolvere i problemi relativi alle risposte in tempo reale
• Raccogliere log di supporto con LiveAnalyzer
• Risolvere i problemi di riduzione della superficie di attacco
• Risolvere i problemi di onboarding

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.