Del via

Microsoft Defender for endepunkt sikkerhetsoperasjonsveiledning

  • Artikkel

Gjelder for:

Denne artikkelen gir en oversikt over kravene og oppgavene for drift av Microsoft Defender for endepunkt i organisasjonen. Disse oppgavene hjelper sikkerhetsoperasjonssenteret (SOC) med å effektivt oppdage og svare på Microsoft Defender for endepunkt oppdagede sikkerhetstrusler.

Denne artikkelen beskriver også daglige, ukentlige, månedlige og ad hoc-oppgaver sikkerhetsteamet kan utføre for organisasjonen.

Obs!

Dette er anbefalte trinn. kontroller dem mot dine egne policyer og miljøer for å sikre at de er egnet for formålet.

Forutsetninger:

Det Microsoft Defender endepunktet bør konfigureres til å støtte den vanlige sikkerhetsoperasjonsprosessen. Selv om det ikke dekkes i dette dokumentet, gir følgende artikler informasjon om konfigurasjon og oppsett:

Daglige aktiviteter

Generelle

  • Se gjennom handlinger

    Se gjennom handlingene som er utført i miljøet ditt, både automatisert og manuelt i handlingssenteret. Denne informasjonen hjelper deg med å validere at automatisert undersøkelse og respons (AIR) yter som forventet, og identifisere eventuelle manuelle handlinger som må gjennomgås. Se Gå til handlingssenteret for å se utbedringshandlinger.

Sikkerhetsoperasjonsteam

  • Overvåk Microsoft Defender XDR Hendelser-køen

    Når Microsoft Defender for endepunkt identifiserer indikatorer for kompromiss (IOCer) eller indikatorer for angrep (IOAer) og genererer et varsel, inkluderes varselet i en hendelse og vises i Hendelser-køen i Microsoft Defender portal (https://security.microsoft.com).

    Se gjennom disse hendelsene for å svare på eventuelle Microsoft Defender for endepunkt varsler og løse når hendelsen er utbedret. Se hendelsesvarsler via e-post og Vis og organiser Microsoft Defender for endepunkt Hendelser-køen.

  • Administrer falske positive og falske negative gjenkjenninger

    Se gjennom hendelseskøen, identifiser falske positive og falske negative oppdagelser, og send dem inn til gjennomgang. Dette hjelper deg med å administrere varsler i miljøet effektivt og gjøre varslene mer effektive. Se Adresse for falske positiver/negativer i Microsoft Defender for endepunkt.

  • Se gjennom trusler med høy effekt i trusselanalyse

    Se gjennom trusselanalyse for å identifisere eventuelle kampanjer som påvirker miljøet ditt. Tabellen «Trusler med høy innvirkning» viser truslene som har hatt størst innvirkning på organisasjonen. Denne delen rangerer trusler etter antall enheter som har aktive varsler. Se Spor og svar på nye trusler gjennom trusselanalyse.

Sikkerhetsadministrasjonsteam

  • Se gjennom tilstandsrapporter

    Se gjennom tilstandsrapporter for å identifisere eventuelle enhetstilstandstrender som må håndteres. Enhetstilstandsrapportene dekker Microsoft Defender for endepunkt AV-signatur, plattformtilstand og EDR-tilstand. Se enhetstilstandsrapporter i Microsoft Defender for endepunkt.

  • Kontroller gjenkjennings- og responssensortilstanden for endepunkt (EDR)

    EDR-tilstand opprettholder tilkoblingen til EDR-tjenesten for å sikre at Defender for Endpoint mottar de nødvendige signalene for å varsle og identifisere sårbarheter.

    Se gjennom usunne enheter. Se rapport om enhetstilstand, sensortilstand & OS.

  • Kontrollere antivirustilstanden Microsoft Defender

    Visning av statusen for Microsoft Defender Antivirus-oppdateringer er avgjørende for den beste ytelsen til Defender for Endpoint i miljøet og oppdaterte gjenkjenninger. Siden for enhetstilstand viser gjeldende status for plattform, intelligens og motorversjon. Se rapporten enhetstilstand Microsoft Defender antivirustilstand.

Ukentlige aktiviteter

Generelle

  • Meldingssenter

    Microsoft Defender XDR bruker meldingssenteret for Microsoft 365 til å varsle deg om kommende endringer, for eksempel nye og endrede funksjoner, planlagt vedlikehold eller andre viktige kunngjøringer.

    Se gjennom meldingene i meldingssenteret for å forstå eventuelle kommende endringer som påvirker miljøet ditt.

    Du kan få tilgang til dette i Administrasjonssenter for Microsoft 365 under Kategorien Tilstand. Se hvordan du kontrollerer tjenestetilstanden for Microsoft 365.

Sikkerhetsoperasjonsteam

Sikkerhetsadministrasjonsteam

Månedlige aktiviteter

Generelle

Se gjennom følgende artikler for å forstå nylig utgitte oppdateringer:

Sikkerhetsadministrasjonsteam

Med jevne mellomrom

Disse oppgavene blir sett på som vedlikehold for din sikkerhetsstilling og er avgjørende for din kontinuerlige beskyttelse. Men siden de kan ta tid og krefter, anbefales det at du angir en standard tidsplan som du kan vedlikeholde for å utføre disse oppgavene.

  • Se gjennom utelatelser

    Se gjennom utelatelser som er angitt i miljøet ditt for å bekrefte at du ikke har opprettet et beskyttelsesgap ved å ekskludere ting som ikke lenger er nødvendig å utelukke.

  • Se gjennom Konfigurasjoner for Defender-policy

    Se gjennom konfigurasjonsinnstillingene for Defender regelmessig for å bekrefte at de er angitt etter behov.

  • Se gjennom automatiseringsnivåer

    Se gjennom automatiseringsnivåer i automatiserte undersøkelses- og utbedringsfunksjoner. Se automatiseringsnivåer i automatisert undersøkelse og utbedring.

  • Se gjennom egendefinerte gjenkjenninger

    Se regelmessig gjennom om de egendefinerte gjenkjenningene som er opprettet, fortsatt er gyldige og effektive. Se gjennom egendefinert gjenkjenning.

  • Se gjennom varslingsundertrykkelse

    Se regelmessig gjennom eventuelle regler for varslingsundertrykking som er opprettet for å bekrefte at de fremdeles er nødvendige og gyldige. Se undertrykking av varsler.

Feilsøking

Følgende artikler gir veiledning for å feilsøke og løse feil som du kan oppleve når du konfigurerer Microsoft Defender for endepunkt-tjenesten.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.