Przewodnik po operacjach zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Ten artykuł zawiera omówienie wymagań i zadań dotyczących pomyślnego działania Ochrona punktu końcowego w usłudze Microsoft Defender w organizacji. Te zadania pomagają centrum operacji zabezpieczeń (SOC) skutecznie wykrywać Ochrona punktu końcowego w usłudze Microsoft Defender wykryte zagrożenia bezpieczeństwa i reagować na nie.

W tym artykule opisano również codzienne, cotygodniowe, miesięczne i ad hoc zadania, które zespół ds. zabezpieczeń może wykonywać dla Twojej organizacji.

Uwaga

Są to zalecane kroki; sprawdź je w stosunku do własnych zasad i środowiska, aby upewnić się, że są one odpowiednie do celu.

Wymagania wstępne:

Punkt końcowy Microsoft Defender należy skonfigurować w celu obsługi regularnego procesu operacji zabezpieczeń. Chociaż nie zostały omówione w tym dokumencie, następujące artykuły zawierają informacje o konfiguracji i konfiguracji:

• Konfiguruj ogólne ustawienia usługi ochrony punktu końcowego w usłudze Microsoft Defender

  • Ogólne
  • Uprawnienia
  • Reguły
  • Zarządzanie urządzeniami
  • Skonfiguruj ustawienia strefy czasowej Centrum zabezpieczeń usługi Microsoft Defender

• Konfigurowanie powiadomień o zdarzeniach Microsoft Defender XDR

  Aby otrzymywać powiadomienia e-mail o zdefiniowanych zdarzeniach Microsoft Defender XDR, zaleca się skonfigurowanie powiadomień e-mail. Zobacz Powiadomienia o zdarzeniach pocztą e-mail.

• Nawiązywanie połączenia z usługą SIEM (Sentinel)

  Jeśli masz istniejące narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), możesz zintegrować je z Microsoft Defender XDR. Zobacz Integrowanie narzędzi SIEM z integracją Microsoft Defender XDR i Microsoft Defender XDR z usługą Microsoft Sentinel.

• Przeglądanie konfiguracji odnajdywania danych

  Przejrzyj konfigurację Ochrona punktu końcowego w usłudze Microsoft Defender odnajdywania urządzeń, aby upewnić się, że jest ona skonfigurowana zgodnie z wymaganiami. Zobacz Omówienie odnajdywania urządzeń.

Codzienne działania

Ogólne

• Przeglądanie akcji

  W centrum akcji przejrzyj akcje, które zostały wykonane w środowisku, zarówno zautomatyzowane, jak i ręczne. Te informacje ułatwiają sprawdzenie, czy zautomatyzowane badanie i reagowanie (AIR) działa zgodnie z oczekiwaniami, i identyfikowanie wszelkich ręcznych akcji, które należy przejrzeć. Zobacz Odwiedź centrum akcji, aby zobaczyć akcje korygowania.

Zespół ds. operacji zabezpieczeń

• Monitorowanie kolejki zdarzeń Microsoft Defender XDR

  Gdy Ochrona punktu końcowego w usłudze Microsoft Defender identyfikuje wskaźniki naruszenia zabezpieczeń (IOCs) lub Wskaźniki ataku (IOA) i generuje alert, alert jest uwzględniany w zdarzeniu i wyświetlany w kolejce Zdarzenia w portalu Microsoft Defender (https://security.microsoft.com).

  Przejrzyj te zdarzenia, aby odpowiedzieć na wszelkie alerty Ochrona punktu końcowego w usłudze Microsoft Defender i rozwiązać problem po skorygowaniu zdarzenia. Zobacz Powiadomienia o zdarzeniach pocztą e-mail oraz Wyświetl i zorganizuj kolejkę zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender.

• Zarządzanie wykrywaniem fałszywie dodatnim i fałszywie ujemnym

  Przejrzyj kolejkę zdarzeń, zidentyfikuj wykrycia fałszywie dodatnie i fałszywie ujemne i prześlij je do przeglądu. Pomaga to efektywnie zarządzać alertami w środowisku i zwiększać wydajność alertów. Zobacz Address false positives/negatives in Ochrona punktu końcowego w usłudze Microsoft Defender (Adresowanie fałszywych alarmów/negatywów w Ochrona punktu końcowego w usłudze Microsoft Defender).

• Przeglądanie zagrożeń o dużym wpływie na analizę zagrożeń

  Przejrzyj analizę zagrożeń, aby zidentyfikować kampanie mające wpływ na środowisko. W tabeli "Zagrożenia o dużym wpływie" wymieniono zagrożenia, które miały największy wpływ na organizację. W tej sekcji osadza zagrożenia według liczby urządzeń, które mają aktywne alerty. Zobacz Śledzenie pojawiających się zagrożeń i reagowanie na nie za pośrednictwem analizy zagrożeń.

Zespół ds. administracji zabezpieczeń

• Przeglądanie raportów dotyczących kondycji

  Przejrzyj raporty o kondycji, aby zidentyfikować wszelkie trendy dotyczące kondycji urządzeń, które należy rozwiązać. Raporty dotyczące kondycji urządzenia obejmują Ochrona punktu końcowego w usłudze Microsoft Defender sygnaturę av, kondycję platformy i kondycję EDR. Zobacz Raporty dotyczące kondycji urządzeń w Ochrona punktu końcowego w usłudze Microsoft Defender.

• Sprawdzanie kondycji czujnika wykrywania i reagowania na punkty końcowe (EDR)

  Kondycja EDR utrzymuje połączenie z usługą EDR, aby upewnić się, że usługa Defender dla punktu końcowego odbiera sygnały wymagane do powiadamiania i identyfikowania luk w zabezpieczeniach.

  Przejrzyj urządzenia w złej kondycji. Zobacz Kondycja urządzenia, kondycja czujnika & raport systemu operacyjnego.

• Sprawdzanie kondycji programu antywirusowego Microsoft Defender

  Wyświetlanie stanu aktualizacji programu antywirusowego Microsoft Defender ma kluczowe znaczenie dla najlepszej wydajności usługi Defender for Endpoint w środowisku i aktualnych wykryć. Na stronie kondycji urządzenia jest wyświetlany bieżący stan platformy, analizy i wersji aparatu. Zobacz raport Kondycja urządzenia, Microsoft Defender Kondycja programu antywirusowego.

Cotygodniowe zajęcia

Ogólne

• Centrum wiadomości

  Microsoft Defender XDR używa centrum komunikatów platformy Microsoft 365 do powiadamiania o nadchodzących zmianach, takich jak nowe i zmienione funkcje, planowana konserwacja lub inne ważne ogłoszenia.

  Przejrzyj komunikaty centrum komunikatów, aby zrozumieć wszelkie nadchodzące zmiany wpływające na środowisko.

  Dostęp do tej funkcji można uzyskać w Centrum administracyjne platformy Microsoft 365 na karcie Kondycja. Zobacz Jak sprawdzić kondycję usługi Microsoft 365.

Zespół ds. operacji zabezpieczeń

• Przeglądanie raportowania zagrożeń

  Przejrzyj raporty dotyczące kondycji, aby zidentyfikować wszelkie trendy zagrożeń urządzeń, które należy rozwiązać. Zobacz Raport dotyczący ochrony przed zagrożeniami.

• Przeglądanie analizy zagrożeń

  Przejrzyj analizę zagrożeń, aby zidentyfikować kampanie mające wpływ na środowisko. Zobacz Śledzenie pojawiających się zagrożeń i reagowanie na nie za pośrednictwem analizy zagrożeń.

Zespół ds. administracji zabezpieczeń

• Przejrzyj stan zagrożenia i luki w zabezpieczeniach (TVM)

  Przejrzyj usługę TVM, aby zidentyfikować wszelkie nowe luki w zabezpieczeniach i zalecenia, które wymagają działania. Zobacz Pulpit nawigacyjny zarządzania lukami w zabezpieczeniach.

• Przeglądanie raportowania redukcji obszaru ataków

  Przejrzyj raporty usługi ASR, aby zidentyfikować wszystkie pliki wpływające na środowisko. Zobacz Raport reguł zmniejszania obszaru podatnego na ataki.

• Przeglądanie zdarzeń ochrony sieci Web

  Przejrzyj raport dotyczący ochrony sieci Web, aby zidentyfikować wszystkie zablokowane adresy IP lub adresy URL. Zobacz Ochrona w Sieci Web.

Działania miesięczne

Ogólne

Zapoznaj się z następującymi artykułami, aby zrozumieć ostatnio wydane aktualizacje:

• Co nowego na platformie Ochrona punktu końcowego w usłudze Microsoft Defender

• Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Windows

• Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac

• Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS

• Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android

Zespół ds. administracji zabezpieczeń

• Przeglądanie urządzenia wykluczonego z zasad

  Jeśli jakiekolwiek urządzenia są wykluczone z zasad usługi Defender for Endpoint, przejrzyj i ustal, czy urządzenie nadal musi zostać wykluczone z zasad.

  Uwaga

  Przejrzyj tryb rozwiązywania problemów, aby rozwiązać problemy. Zobacz Wprowadzenie do trybu rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender.

Okresowo

Te zadania są postrzegane jako konserwacja stanu zabezpieczeń i mają kluczowe znaczenie dla bieżącej ochrony. Ale ponieważ mogą one wymagać czasu i wysiłku, zaleca się ustawienie standardowego harmonogramu, który można zachować w celu wykonywania tych zadań.

• Przeglądanie wykluczeń

  Przejrzyj wykluczenia ustawione w środowisku, aby potwierdzić, że nie utworzono luki w ochronie, wykluczając elementy, które nie muszą być już wykluczone.

• Przeglądanie konfiguracji zasad usługi Defender

  Okresowo przeglądaj ustawienia konfiguracji usługi Defender, aby potwierdzić, że zostały ustawione zgodnie z wymaganiami.

• Przeglądanie poziomów automatyzacji

  Przejrzyj poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania. Zobacz Poziomy automatyzacji w zautomatyzowanym badaniu i korygowaniu.

• Przeglądanie wykrywania niestandardowego

  Okresowo sprawdzaj, czy utworzone wykrywania niestandardowe są nadal prawidłowe i skuteczne. Zobacz Przeglądanie wykrywania niestandardowego.

• Przeglądanie pomijania alertów

  Okresowo przeglądaj wszelkie reguły pomijania alertów, które zostały utworzone, aby potwierdzić, że są one nadal wymagane i prawidłowe. Zobacz Przeglądanie pomijania alertów.

Rozwiązywanie problemów

Poniższe artykuły zawierają wskazówki dotyczące rozwiązywania problemów z błędami, które mogą wystąpić podczas konfigurowania usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

• Rozwiązywanie problemów ze stanem czujnika
• Rozwiąż problemy z kondycją czujnika używając analizatora klienta
• Rozwiąż problem z usługą reagowania w czasie rzeczywistym
• Zbieraj dzienniki obsługi technicznej używając funkcji LiveAnalyzer
• Rozwiąż problemy z zmniejszaniem obszaru podatnego na ataki
• Rozwiąż problemy z dołączaniem

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.