Handleiding voor Microsoft Defender voor Eindpunt-beveiligingsbewerkingen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Dit artikel bevat een overzicht van de vereisten en taken voor het succesvol uitvoeren van Microsoft Defender voor Eindpunt in uw organisatie. Deze taken helpen uw Security Operations Center (SOC) effectief te detecteren en te reageren op Microsoft Defender voor Eindpunt gedetecteerde beveiligingsrisico's.

In dit artikel worden ook dagelijkse, wekelijkse, maandelijkse en ad-hoctaken beschreven die uw beveiligingsteam voor uw organisatie kan uitvoeren.

Opmerking

Dit zijn aanbevolen stappen; controleer ze op basis van uw eigen beleid en omgeving om ervoor te zorgen dat ze geschikt zijn voor het doel.

Vereisten:

Het Microsoft Defender-eindpunt moet worden ingesteld ter ondersteuning van uw normale beveiligingsbewerkingsproces. Hoewel niet in dit document wordt beschreven, bevatten de volgende artikelen informatie over configuratie en installatie:

• Algemene instellingen voor Defender voor Eindpunt configureren

  • Algemeen
  • Machtigingen
  • Regels
  • Apparaatbeheer
  • Tijdzone-instellingen voor Microsoft Defender-beveiligingscentrum configureren

• Meldingen van Microsoft Defender XDR-incidenten instellen

  Als u e-mailmeldingen wilt ontvangen bij gedefinieerde Microsoft Defender XDR-incidenten, wordt u aangeraden e-mailmeldingen te configureren. Zie Incidentmeldingen per e-mail.

• Verbinding maken met SIEM (Sentinel)

  Als u bestaande SIEM-hulpprogramma's (Security Information and Event Management) hebt, kunt u deze integreren met Microsoft Defender XDR. Zie Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR en Microsoft Defender XDR integratie met Microsoft Sentinel.

• Configuratie van gegevensdetectie controleren

  Controleer de configuratie van Microsoft Defender voor Eindpunt apparaatdetectie om te controleren of deze is geconfigureerd zoals vereist. Zie Overzicht van apparaatdetectie.

Dagelijkse activiteiten

Algemeen

• Acties controleren

  Bekijk in het actiecentrum de acties die zijn uitgevoerd in uw omgeving, zowel geautomatiseerd als handmatig. Met deze informatie kunt u valideren of geautomatiseerd onderzoek en respons (AIR) naar verwachting wordt uitgevoerd en kunt u handmatige acties identificeren die moeten worden beoordeeld. Zie Het actiecentrum bezoeken om herstelacties te bekijken.

Team voor beveiligingsbewerkingen

• De wachtrij Microsoft Defender XDR incidenten bewaken

  Wanneer Microsoft Defender voor Eindpunt Indicatoren van inbreuk (IOC's) of Indicatoren van aanvallen (IO's) identificeert en een waarschuwing genereert, wordt de waarschuwing opgenomen in een incident en weergegeven in de wachtrij Incidenten in de Microsoft Defender portal (https://security.microsoft.com).

  Bekijk deze incidenten om te reageren op eventuele Microsoft Defender voor Eindpunt-waarschuwingen en om op te lossen zodra het incident is hersteld. Zie Incidentmeldingen per e-mail en De wachtrij Microsoft Defender voor Eindpunt incidenten weergeven en organiseren.

• Fout-positieve en fout-negatieve detecties beheren

  Controleer de incidentwachtrij, identificeer fout-positieve en fout-negatieve detecties en verzend deze ter beoordeling. Dit helpt u waarschuwingen in uw omgeving effectief te beheren en uw waarschuwingen efficiënter te maken. Zie Fout-positieven/negatieven adres in Microsoft Defender voor Eindpunt.

• Bedreigingen met hoge impact voor bedreigingsanalyse bekijken

  Bekijk bedreigingsanalyses om te identificeren welke campagnes van invloed zijn op uw omgeving. De tabel 'Bedreigingen met hoge impact' bevat de bedreigingen die de grootste impact op de organisatie hebben gehad. In deze sectie worden bedreigingen gerangschikt op het aantal apparaten met actieve waarschuwingen. Zie Opkomende bedreigingen bijhouden en erop reageren via bedreigingsanalyse.

Beveiligingsbeheerteam

• Statusrapporten bekijken

  Bekijk statusrapporten om eventuele statustrends voor apparaten te identificeren die moeten worden aangepakt. De apparaatstatusrapporten hebben betrekking op Microsoft Defender voor Eindpunt AV-handtekening, platformstatus en EDR-status. Zie Apparaatstatusrapporten in Microsoft Defender voor Eindpunt.

• Status van sensor voor eindpuntdetectie en -respons (EDR) controleren

  De EDR-status onderhoudt de verbinding met de EDR-service om ervoor te zorgen dat Defender voor Eindpunt de vereiste signalen ontvangt om beveiligingsproblemen te waarschuwen en te identificeren.

  Controleer beschadigde apparaten. Zie Het rapport Apparaatstatus, Sensorstatus & besturingssysteem.

• Microsoft Defender Antivirus-status controleren

  Het weergeven van de status van Microsoft Defender Antivirus-updates is essentieel voor de beste prestaties van Defender voor Eindpunt in uw omgeving en actuele detecties. Op de pagina apparaatstatus ziet u de huidige status voor platform, intelligentie en engineversie. Zie het rapport Apparaatstatus, Microsoft Defender Antivirusstatus.

Wekelijkse activiteiten

Algemeen

• Berichtencentrum

  Microsoft Defender XDR gebruikt het Microsoft 365-berichtencentrum om u op de hoogte te stellen van toekomstige wijzigingen, zoals nieuwe en gewijzigde functies, gepland onderhoud of andere belangrijke aankondigingen.

  Bekijk de berichten in het berichtencentrum om inzicht te hebben in toekomstige wijzigingen die van invloed zijn op uw omgeving.

  U kunt dit openen in de Microsoft 365-beheercentrum op het tabblad Status. Zie De servicestatus van Microsoft 365 controleren.

Team voor beveiligingsbewerkingen

• Bedreigingsrapportage bekijken

  Bekijk statusrapporten om eventuele bedreigingstrends voor apparaten te identificeren die moeten worden aangepakt. Zie Bedreigingsbeveiligingsrapport.

• Bedreigingsanalyse bekijken

  Bekijk bedreigingsanalyse om campagnes te identificeren die van invloed zijn op uw omgeving. Zie Opkomende bedreigingen bijhouden en erop reageren via bedreigingsanalyse.

Beveiligingsbeheerteam

• Status van bedreiging en kwetsbaarheid (TVM) controleren

  Bekijk TVM om nieuwe beveiligingsproblemen en aanbevelingen te identificeren die actie vereisen. Zie Dashboard voor beheer van beveiligingsproblemen.

• Rapportage over vermindering van kwetsbaarheid voor aanvallen bekijken

  Bekijk ASR-rapporten om bestanden te identificeren die van invloed zijn op uw omgeving. Zie Rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen.

• Gebeurtenissen voor webbeveiliging bekijken

  Bekijk het webbeveiligingsrapport om eventuele IP-adressen of URL's te identificeren die zijn geblokkeerd. Zie Webbeveiliging.

Maandelijkse activiteiten

Algemeen

Bekijk de volgende artikelen voor meer informatie over onlangs uitgebrachte updates:

• Wat is er nieuw in Microsoft Defender voor Eindpunt

• Wat is er nieuw in Microsoft Defender voor Eindpunt in Windows

• Nieuw in Microsoft Defender voor Eindpunt op Mac

• Nieuw in Microsoft Defender voor Eindpunt in Linux

• Nieuw in Microsoft Defender voor Eindpunt op iOS

• Nieuw in Microsoft Defender voor Eindpunt op Android

Beveiligingsbeheerteam

• Apparaat controleren dat is uitgesloten van beleid

  Als apparaten zijn uitgesloten van Defender for Endpoint-beleid, controleert en bepaalt u of het apparaat nog steeds van het beleid moet worden uitgesloten.

  Opmerking

  Raadpleeg de probleemoplossingsmodus voor probleemoplossing. Zie Aan de slag met de probleemoplossingsmodus in Microsoft Defender voor Eindpunt.

Periodiek

Deze taken worden gezien als onderhoud voor uw beveiligingspostuur en zijn essentieel voor uw doorlopende beveiliging. Maar omdat ze tijd en moeite kunnen kosten, wordt u aangeraden een standaardschema in te stellen dat u kunt bijhouden om deze taken uit te voeren.

• Uitsluitingen controleren

  Bekijk uitsluitingen die zijn ingesteld in uw omgeving om te bevestigen dat u geen beveiligingskloof hebt gemaakt door dingen uit te sluiten die niet langer hoeven te worden uitgesloten.

• Configuraties van Defender-beleid controleren

  Controleer regelmatig uw Defender-configuratie-instellingen om te bevestigen dat ze zijn ingesteld zoals vereist.

• Automatiseringsniveaus controleren

  Controleer de automatiseringsniveaus in mogelijkheden voor geautomatiseerd onderzoek en herstel. Zie Automatiseringsniveaus in geautomatiseerd onderzoek en herstel.

• Aangepaste detecties controleren

  Controleer regelmatig of de aangepaste detecties die zijn gemaakt, nog steeds geldig en effectief zijn. Zie Aangepaste detectie controleren.

• Onderdrukking van waarschuwingen controleren

  Controleer regelmatig alle regels voor het onderdrukken van waarschuwingen die zijn gemaakt om te bevestigen dat ze nog steeds vereist en geldig zijn. Zie Onderdrukking van waarschuwingen controleren.

Probleemoplossing

De volgende artikelen bevatten richtlijnen voor het oplossen en oplossen van fouten die kunnen optreden bij het instellen van uw Microsoft Defender voor Eindpunt-service.

• Problemen met sensorstatus oplossen
• Problemen met de sensorstatus oplossen met Client Analyzer
• Problemen met live-reacties oplossen
• Ondersteuningslogboeken verzamelen met LiveAnalyzer
• Problemen met het verminderen van kwetsbaarheid voor aanvallen oplossen
• Problemen met onboarden oplossen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.