Przewodnik po operacjach zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

Ten artykuł zawiera omówienie wymagań i zadań dotyczących pomyślnego działania Ochrona punktu końcowego w usłudze Microsoft Defender w organizacji. Te zadania pomagają centrum operacji zabezpieczeń (SOC) skutecznie wykrywać Ochrona punktu końcowego w usłudze Microsoft Defender wykryte zagrożenia bezpieczeństwa i reagować na nie.

W tym artykule opisano również codzienne, cotygodniowe, miesięczne i ad hoc zadania, które zespół ds. zabezpieczeń może wykonywać dla Twojej organizacji.

Uwaga

Są to zalecane kroki; sprawdź je w stosunku do własnych zasad i środowiska, aby upewnić się, że są one odpowiednie do celu.

Wymagania wstępne:

Punkt końcowy Microsoft Defender należy skonfigurować w celu obsługi regularnego procesu operacji zabezpieczeń. Chociaż nie zostały omówione w tym dokumencie, następujące artykuły zawierają informacje o konfiguracji i konfiguracji:

Codzienne działania

Ogólne

  • Przeglądanie akcji

    W centrum akcji przejrzyj akcje, które zostały wykonane w środowisku, zarówno zautomatyzowane, jak i ręczne. Te informacje ułatwiają sprawdzenie, czy zautomatyzowane badanie i reagowanie (AIR) działa zgodnie z oczekiwaniami, i identyfikowanie wszelkich ręcznych akcji, które należy przejrzeć. Zobacz Odwiedź centrum akcji, aby zobaczyć akcje korygowania.

Zespół ds. operacji zabezpieczeń

Zespół ds. administracji zabezpieczeń

  • Przeglądanie raportów dotyczących kondycji

    Przejrzyj raporty o kondycji, aby zidentyfikować wszelkie trendy dotyczące kondycji urządzeń, które należy rozwiązać. Raporty dotyczące kondycji urządzenia obejmują Ochrona punktu końcowego w usłudze Microsoft Defender sygnaturę av, kondycję platformy i kondycję EDR. Zobacz Raporty dotyczące kondycji urządzeń w Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Sprawdzanie kondycji czujnika wykrywania i reagowania na punkty końcowe (EDR)

    Kondycja EDR utrzymuje połączenie z usługą EDR, aby upewnić się, że usługa Defender dla punktu końcowego odbiera sygnały wymagane do powiadamiania i identyfikowania luk w zabezpieczeniach.

    Przejrzyj urządzenia w złej kondycji. Zobacz Kondycja urządzenia, kondycja czujnika & raport systemu operacyjnego.

  • Sprawdzanie kondycji programu antywirusowego Microsoft Defender

    Wyświetlanie stanu aktualizacji programu antywirusowego Microsoft Defender ma kluczowe znaczenie dla najlepszej wydajności usługi Defender for Endpoint w środowisku i aktualnych wykryć. Na stronie kondycji urządzenia jest wyświetlany bieżący stan platformy, analizy i wersji aparatu. Zobacz raport Kondycja urządzenia, Microsoft Defender Kondycja programu antywirusowego.

Cotygodniowe zajęcia

Ogólne

  • Centrum wiadomości

    Microsoft Defender XDR używa centrum komunikatów platformy Microsoft 365 do powiadamiania o nadchodzących zmianach, takich jak nowe i zmienione funkcje, planowana konserwacja lub inne ważne ogłoszenia.

    Przejrzyj komunikaty centrum komunikatów, aby zrozumieć wszelkie nadchodzące zmiany wpływające na środowisko.

    Dostęp do tej funkcji można uzyskać w Centrum administracyjne platformy Microsoft 365 na karcie Kondycja. Zobacz Jak sprawdzić kondycję usługi Microsoft 365.

Zespół ds. operacji zabezpieczeń

Zespół ds. administracji zabezpieczeń

Działania miesięczne

Ogólne

Zapoznaj się z następującymi artykułami, aby zrozumieć ostatnio wydane aktualizacje:

Zespół ds. administracji zabezpieczeń

Okresowo

Te zadania są postrzegane jako konserwacja stanu zabezpieczeń i mają kluczowe znaczenie dla bieżącej ochrony. Ale ponieważ mogą one wymagać czasu i wysiłku, zaleca się ustawienie standardowego harmonogramu, który można zachować w celu wykonywania tych zadań.

  • Przeglądanie wykluczeń

    Przejrzyj wykluczenia ustawione w środowisku, aby potwierdzić, że nie utworzono luki w ochronie, wykluczając elementy, które nie muszą być już wykluczone.

  • Przeglądanie konfiguracji zasad usługi Defender

    Okresowo przeglądaj ustawienia konfiguracji usługi Defender, aby potwierdzić, że zostały ustawione zgodnie z wymaganiami.

  • Przeglądanie poziomów automatyzacji

    Przejrzyj poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania. Zobacz Poziomy automatyzacji w zautomatyzowanym badaniu i korygowaniu.

  • Przeglądanie wykrywania niestandardowego

    Okresowo sprawdzaj, czy utworzone wykrywania niestandardowe są nadal prawidłowe i skuteczne. Zobacz Przeglądanie wykrywania niestandardowego.

  • Przeglądanie pomijania alertów

    Okresowo przeglądaj wszelkie reguły pomijania alertów, które zostały utworzone, aby potwierdzić, że są one nadal wymagane i prawidłowe. Zobacz Przeglądanie pomijania alertów.

Rozwiązywanie problemów

Poniższe artykuły zawierają wskazówki dotyczące rozwiązywania problemów z błędami, które mogą wystąpić podczas konfigurowania usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.