Monitorowanie i obsługa Microsoft 365 Business Premium i Defender dla Firm
Po skonfigurowaniu i skonfigurowaniu Microsoft 365 Business Premium lub autonomicznej wersji Microsoft Defender dla Firm następnym krokiem jest przygotowanie planu konserwacji i operacji. Ważne jest aktualizowanie systemów, urządzeń, kont użytkowników i zasad zabezpieczeń w celu ochrony przed cyberatakami. Możesz użyć tego artykułu jako przewodnika, aby przygotować plan.
Podczas przygotowywania planu można zorganizować różne zadania w dwie główne kategorie, jak wymieniono w poniższej tabeli:
Zadania zabezpieczeń
Zadania zabezpieczeń są zwykle wykonywane przez administratorów zabezpieczeń i operatorów zabezpieczeń.
Codzienne zadania zabezpieczeń
| Zadanie | Opis |
|---|---|
| Sprawdzanie pulpitu nawigacyjnego zarządzania lukami w zabezpieczeniach zagrożeń | Uzyskaj migawkę luki w zabezpieczeniach przed zagrożeniami, przeglądając pulpit nawigacyjny zarządzania lukami w zabezpieczeniach, który odzwierciedla podatność organizacji na zagrożenia cyberbezpieczeństwa. Wysoki wskaźnik ekspozycji oznacza, że urządzenia są bardziej narażone na eksploatację. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Pulpit nawigacyjny zarządzania lukami > w zabezpieczeniach. 2. Przyjrzyj się wskaźnikowi ekspozycji organizacji. Jeśli jest w dopuszczalnym lub "wysokim" zakresie, możesz przejść dalej. Jeśli tak nie jest, wybierz pozycję Ulepsz wynik , aby wyświetlić więcej szczegółów i zaleceń dotyczących zabezpieczeń, aby poprawić ten wynik. Świadomość wskaźnika ekspozycji pomaga: - Szybkie zrozumienie i zidentyfikowanie wniosków wysokiego poziomu dotyczących stanu zabezpieczeń w organizacji — Wykrywanie obszarów wymagających badania lub działania w celu poprawy bieżącego stanu i reagowanie na nie — Komunikowanie się z innymi osobami i zarządzaniem na temat wpływu działań związanych z bezpieczeństwem |
| Przeglądanie oczekujących akcji w Centrum akcji | W miarę wykrywania zagrożeń w grę wchodzą akcje korygowania . W zależności od konkretnego zagrożenia i sposobu konfigurowania ustawień zabezpieczeń akcje korygowania mogą być wykonywane automatycznie lub tylko po zatwierdzeniu, dlatego należy je regularnie monitorować. Akcje korygowania są śledzone w centrum akcji. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Centrum akcji. 2. Wybierz kartę Oczekujące , aby wyświetlić i zatwierdzić (lub odrzucić) wszystkie oczekujące akcje. Takie akcje mogą wynikać z ochrony antywirusowej lub ochrony przed złośliwym kodem, zautomatyzowanych badań, działań ręcznego reagowania lub sesji odpowiedzi na żywo. 3. Wybierz kartę Historia , aby wyświetlić listę ukończonych akcji. |
| Przeglądanie urządzeń z wykrywaniem zagrożeń | W przypadku wykrycia zagrożeń na urządzeniach zespół ds. zabezpieczeń musi wiedzieć, że wszelkie wymagane akcje, takie jak izolowanie urządzenia, mogą być wykonywane natychmiast. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Raporty >> ogólne raport zabezpieczeń. 2. Przewiń w dół do wiersza Urządzenia wrażliwe . Jeśli na urządzeniach wykryto zagrożenia, te informacje będą widoczne w tym wierszu. |
| Dowiedz się więcej o nowych zdarzeniach lub alertach | W miarę wykrywania zagrożeń i wyzwalania alertów tworzone są zdarzenia. Zespół ds. zabezpieczeń twojej firmy może wyświetlać zdarzenia i zarządzać nimi w portalu Microsoft Defender. 1. W portalu Microsoft Defender (https://security.microsoft.com) w menu nawigacji wybierz pozycję Incydenty. Zdarzenia są wyświetlane na stronie ze skojarzonymi alertami. 2. Wybierz alert, aby otworzyć okienko wysuwane, w którym możesz dowiedzieć się więcej na temat alertu. 3. W oknie wysuwnym można wyświetlić tytuł alertu, wyświetlić listę zasobów (takich jak punkty końcowe lub konta użytkowników), których dotyczy problem, podjąć dostępne akcje i użyć linków, aby wyświetlić więcej informacji, a nawet otworzyć stronę szczegółów wybranego alertu. |
| Uruchamianie skanowania lub zautomatyzowanego badania | Twój zespół ds. zabezpieczeń może zainicjować skanowanie lub zautomatyzowane badanie na urządzeniu o wysokim poziomie ryzyka lub wykrytych zagrożeniach. W zależności od wyników skanowania lub zautomatyzowanego badania akcje korygowania mogą być wykonywane automatycznie lub po zatwierdzeniu. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Urządzenia zasobów>. 2. Wybierz urządzenie, aby otworzyć panel wysuwany, i przejrzyj wyświetlane informacje. — Wybierz wielokropek (...), aby otworzyć menu akcji. — Wybierz akcję, taką jak Uruchamianie skanowania antywirusowego lub Inicjowanie zautomatyzowanego badania. |
Cotygodniowe zadania zabezpieczeń
| Zadanie | Opis |
|---|---|
| Monitorowanie i ulepszanie wskaźnika bezpieczeństwa firmy Microsoft | Wskaźnik bezpieczeństwa firmy Microsoft to miara stanu zabezpieczeń organizacji. Wyższe liczby wskazują, że wymagana jest mniejsza liczba akcji poprawy. Za pomocą wskaźnika bezpieczeństwa możesz: — Raport dotyczący bieżącego stanu stanu zabezpieczeń organizacji. - Poprawianie stanu zabezpieczeń przez zapewnienie możliwości odnajdywania, widoczności, wskazówek i kontroli. — Porównanie z testami porównawczymi i ustanawianie kluczowych wskaźników wydajności (KPI). Aby sprawdzić swój wynik, wykonaj następujące kroki: 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Wskaźnik bezpieczeństwa. 2. Przejrzyj i podejmuj decyzje dotyczące korygowania i akcji, aby poprawić ogólny wskaźnik bezpieczeństwa firmy Microsoft. |
| Zwiększanie wskaźnika bezpieczeństwa urządzeń | Popraw konfigurację zabezpieczeń, korygując problemy przy użyciu listy zaleceń dotyczących zabezpieczeń. W miarę tego wskaźnik bezpieczeństwa firmy Microsoft dla urządzeń poprawia się, a twoja organizacja staje się bardziej odporna na zagrożenia i luki w zabezpieczeniach cybernetycznych w przyszłości. Zawsze warto sprawdzić i poprawić swój wynik. Aby sprawdzić wskaźnik bezpieczeństwa, wykonaj następujące kroki: 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Wskaźnik bezpieczeństwa. 2. Na karcie Wskaźnik bezpieczeństwa firmy Microsoft dla urządzeń na pulpicie nawigacyjnym Zarządzanie lukami w zabezpieczeniach w usłudze Defender wybierz jedną z kategorii. Zostanie wyświetlona lista zaleceń związanych z tą kategorią wraz z zaleceniami. 3. Wybierz element na liście, aby wyświetlić szczegóły związane z zaleceniem. 4. Wybierz opcje korygowania. 5. Przeczytaj opis, aby zrozumieć kontekst problemu i co zrobić dalej. Wybierz datę ukończenia, dodaj notatki i wybierz pozycję Eksportuj wszystkie dane działań korygowania do pliku CSV, aby można było dołączyć je do wiadomości e-mail w celu wykonania dalszych działań. Komunikat potwierdzający informuje o utworzeniu zadania korygowania. 6. Wyślij wiadomość e-mail z kontynuacją do administratora IT i zaczekaj na czas przeznaczony na propagację korygowania w systemie. 7. Wróć do karty Microsoft Secure Score for Devices na pulpicie nawigacyjnym. Liczba zaleceń dotyczących kontroli zabezpieczeń zmniejszyła się w wyniku akcji. 8. Wybierz pozycję Mechanizmy kontroli zabezpieczeń , aby wrócić do strony Zalecenia dotyczące zabezpieczeń. Rozwiązany element nie jest już tam wymieniony, co skutkuje poprawą wskaźnika bezpieczeństwa firmy Microsoft. |
Miesięczne zadania zabezpieczeń
| Zadanie | Opis |
|---|---|
| Uruchamianie raportów | W portalu Microsoft Defender () dostępnych jest kilka raportówhttps://security.microsoft.com. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Raporty. 2. Wybierz raport do przejrzenia. Każdy raport zawiera wiele istotnych kategorii dla tego raportu. 3. Wybierz pozycję Wyświetl szczegóły , aby wyświetlić bardziej szczegółowe informacje dla każdej kategorii. 4. Wybierz tytuł określonego zagrożenia, aby wyświetlić szczegóły specyficzne dla niego. |
Zadania zabezpieczeń do wykonania w razie potrzeby
| Zadanie | Opis |
|---|---|
| Zarządzanie wynikami fałszywie dodatnimi/ujemnymi | Wynik fałszywie dodatni to jednostka, taka jak plik lub proces, który został wykryty i zidentyfikowany jako złośliwy, mimo że jednostka w rzeczywistości nie stanowi zagrożenia. Fałszywie ujemny jest jednostką, która nie została wykryta jako zagrożenie, mimo że w rzeczywistości jest złośliwa. Wyniki fałszywie dodatnie/ujemne mogą wystąpić w przypadku dowolnego rozwiązania ochrony przed zagrożeniami, w tym Ochrona usługi Office 365 w usłudze Microsoft Defender i Microsoft Defender dla Firm, które są uwzględnione w Microsoft 365 Business Premium. Na szczęście można podjąć kroki w celu rozwiązania i zmniejszenia tego rodzaju problemów. Aby uzyskać wyniki fałszywie dodatnie/ujemne na urządzeniach, zobacz Address false positives/negatives in Ochrona punktu końcowego w usłudze Microsoft Defender (Adresowanie fałszywych alarmów/negatywów w Ochrona punktu końcowego w usłudze Microsoft Defender). Aby uzyskać wyniki fałszywie dodatnie/ujemne w wiadomości e-mail, zobacz następujące artykuły: - Jak obsługiwać złośliwe wiadomości e-mail dostarczane do adresatów (fałszywie ujemne) przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender - Jak obsługiwać zablokowane uzasadnione wiadomości e-mail (fałszywie dodatnie) przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender |
| Zwiększanie stanu zabezpieczeń | Defender dla Firm zawiera pulpit nawigacyjny zarządzania lukami w zabezpieczeniach, który zapewnia ocenę ekspozycji i umożliwia wyświetlanie informacji o uwidocznianych urządzeniach i wyświetlanie odpowiednich zaleceń dotyczących zabezpieczeń. Możesz użyć pulpitu nawigacyjnego Zarządzanie lukami w zabezpieczeniach w usłudze Defender, aby zmniejszyć narażenie i poprawić stan bezpieczeństwa organizacji. Zobacz następujące artykuły: - Korzystanie z pulpitu nawigacyjnego zarządzania lukami w zabezpieczeniach w Microsoft Defender dla Firm - Szczegółowe informacje o pulpicie nawigacyjnym |
| Dostosowywanie zasad zabezpieczeń |
Raporty są dostępne, dzięki czemu można wyświetlać informacje o wykrytych zagrożeniach, stanie urządzenia i nie tylko. Czasami konieczne jest dostosowanie zasad zabezpieczeń. Na przykład można zastosować ścisłą ochronę do niektórych kont użytkowników lub urządzeń oraz ochronę standardową dla innych. Zobacz następujące artykuły: — W celu ochrony urządzenia: wyświetlanie lub edytowanie zasad w Microsoft Defender dla Firm — W przypadku ochrony poczty e-mail: zalecane ustawienia dotyczące EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender |
| Analizowanie przesyłania przez administratora | Czasami konieczne jest przesłanie do firmy Microsoft jednostek, takich jak wiadomości e-mail, adresy URL lub załączniki do firmy Microsoft w celu dalszej analizy. Elementy raportowania mogą pomóc zmniejszyć występowanie wyników fałszywie dodatnich/ujemnych oraz zwiększyć dokładność wykrywania zagrożeń. Zobacz następujące artykuły: - Strona Przesłane umożliwia przesyłanie do firmy Microsoft wiadomości e-mail z podejrzeniem spamu, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail - przegląd Administracja komunikatów zgłoszonych przez użytkowników |
| Ochrona kont użytkowników o priorytecie | Nie wszystkie konta użytkowników mają dostęp do tych samych informacji firmowych. Niektóre konta mają dostęp do poufnych informacji, takich jak dane finansowe, informacje o rozwoju produktu, dostęp partnera do krytycznych systemów kompilacji i nie tylko. W przypadku naruszenia zabezpieczeń konta, które mają dostęp do wysoce poufnych informacji, stanowią poważne zagrożenie. Nazywamy te typy kont kontami priorytetowymi. Konta priorytetowe obejmują (ale nie są ograniczone do) dyrektorów generalnych, dyrektorów ciso, dyrektorów finansowych, kont administratora infrastruktury, kont systemowych kompilacji i innych. Zobacz następujące artykuły: - Ochrona kont administratorów - Zalecenia dotyczące zabezpieczeń dla kont priorytetów na platformie Microsoft 365 |
| Ochrona urządzeń wysokiego ryzyka | Ogólna ocena ryzyka urządzenia jest oparta na kombinacji czynników, takich jak typy i ważność aktywnych alertów na urządzeniu. Gdy zespół ds. zabezpieczeń rozwiązuje aktywne alerty, zatwierdza działania korygujące i pomija kolejne alerty, poziom ryzyka spada. Zobacz Zarządzanie urządzeniami w Microsoft Defender dla Firm. |
| Dołączanie lub odłączanie urządzeń | Ponieważ urządzenia są zastępowane lub wycofywane, nowe urządzenia są kupowane lub twoje potrzeby biznesowe ulegają zmianie, możesz dołączać lub dołączać urządzenia z Defender dla Firm. Zobacz następujące artykuły: - Dołączanie urządzeń do Microsoft Defender dla Firm - Odłączanie urządzenia od Microsoft Defender dla Firm |
| Korygowanie elementu | Microsoft 365 Business Premium obejmuje kilka akcji korygowania. Niektóre akcje są wykonywane automatycznie, a inne oczekują na zatwierdzenie przez zespół ds. zabezpieczeń. 1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji przejdź do pozycji Urządzenia zasobów>. 2. Wybierz urządzenie, takie jak urządzenie z wysokim poziomem ryzyka lub poziomem narażenia. Zostanie otwarte okienko wysuwane i zostanie wyświetlone więcej informacji o alertach i zdarzeniach wygenerowanych dla tego elementu. 3. Na wysuwu wyświetl wyświetlane informacje. Wybierz wielokropek (...), aby otworzyć menu z listą dostępnych akcji. 4. Wybierz dostępną akcję. Na przykład możesz wybrać pozycję Uruchom skanowanie antywirusowe, co spowoduje, że program antywirusowy Microsoft Defender uruchomi szybkie skanowanie na urządzeniu. Możesz też wybrać pozycję Inicjuj automatyczne badanie , aby wyzwolić automatyczne badanie na urządzeniu. |
Akcje korygowania dla urządzeń
Poniższa tabela zawiera podsumowanie akcji korygowania dostępnych dla urządzeń w Microsoft 365 Business Premium i Defender dla Firm:
| Źródło | Akcje |
|---|---|
| Zautomatyzowane badania | Kwarantanna pliku Usuwanie klucza rejestru Zabij proces Zatrzymywanie usługi Wyłączanie sterownika Usuwanie zaplanowanego zadania |
| Ręczne akcje odpowiedzi | Uruchomiono skanowanie antywirusowe Izolowanie urządzenia Dodawanie wskaźnika w celu zablokowania lub zezwolenia na plik |
| Odpowiedź na żywo | Zbieranie danych kryminalistycznych Analizowanie pliku Uruchom skrypt Wysyłanie podejrzanej jednostki do firmy Microsoft w celu analizy Korygowanie pliku Proaktywne wyszukiwanie zagrożeń |
Zadania administratora ogólnego
Utrzymywanie środowiska obejmuje zarządzanie kontami użytkowników, zarządzanie urządzeniami oraz aktualizowanie i poprawne działanie. Administracja zadania są zwykle wykonywane przez administratorów globalnych i administratorów dzierżaw. Dowiedz się więcej o rolach administratora.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Jeśli jesteś nowym użytkownikiem platformy Microsoft 365, poświęć chwilę, aby uzyskać przegląd Centrum administracyjne platformy Microsoft 365.
zadania centrum Administracja
| Zadanie | Zasoby, aby dowiedzieć się więcej |
|---|---|
| Wprowadzenie do Centrum administracyjne platformy Microsoft 365 | Omówienie centrum administracyjnego platformy Microsoft 365 |
| Dowiedz się więcej o nowych funkcjach w Centrum administracyjne platformy Microsoft 365 | Co nowego w Centrum administracyjne platformy Microsoft 365 |
| Dowiedz się więcej o nowych aktualizacjach produktów i funkcjach, aby ułatwić przygotowanie użytkowników | Bądź na bieżąco ze zmianami produktów i funkcji platformy Microsoft 365 |
| Wyświetlanie raportów użycia, aby zobaczyć, jak użytkownicy korzystają z platformy Microsoft 365 | Raporty platformy Microsoft 365 w centrum administracyjnym |
| Otwieranie biletu pomocy technicznej | Uzyskiwanie pomocy technicznej dla platformy Microsoft 365 dla firm |
Użytkownicy, grupy i hasła
Poczta e-mail i kalendarze
| Zadanie | Zasoby, aby dowiedzieć się więcej |
|---|---|
| Migrowanie poczty e-mail i kontaktów z usługi Gmail lub innego dostawcy poczty e-mail do platformy Microsoft 365 | Migrowanie wiadomości e-mail i kontaktów na platformę Microsoft 365 |
| Dodaj podpis e-mail, zastrzeżenie prawne lub oświadczenie o ujawnieniu do wiadomości e-mail, które przychodzą lub wychodzą | Tworzenie podpisów i zrzeczenia się odpowiedzialności w całej organizacji |
| Konfigurowanie, edytowanie lub usuwanie grupy zabezpieczeń | Tworzenie, edytowanie lub usuwanie grupy zabezpieczeń w Centrum administracyjne platformy Microsoft 365 |
| Dodawanie użytkowników do grupy dystrybucyjnej | Dodawanie użytkownika lub kontaktu do grupy dystrybucyjnej platformy Microsoft 365 |
Skonfiguruj udostępnioną skrzynkę pocztową, aby użytkownicy mogli monitorować i wysyłać wiadomości e-mail z typowych adresów e-mail, takich jak info@contoso.com |
Tworzenie udostępnionej skrzynki pocztowej |
Urządzeń
| Zadanie | Zasoby, aby dowiedzieć się więcej |
|---|---|
| Konfigurowanie i wstępne konfigurowanie nowych urządzeń oraz resetowanie, zmienianie przeznaczenia i odzyskiwanie urządzeń przy użyciu rozwiązania Windows Autopilot (dotyczy Microsoft 365 Business Premium) |
Omówienie rozwiązania Windows Autopilot |
| Wyświetlanie bieżącego stanu urządzeń i zarządzanie nimi | Zarządzanie urządzeniami w Microsoft Defender dla Firm |
| Dołączanie urządzeń do Defender dla Firm | Dołączanie urządzeń do Defender dla Firm |
| Odłączanie urządzeń z Defender dla Firm | Odłączanie urządzenia od Defender dla Firm |
| Zarządzanie urządzeniami przy użyciu Intune |
Co oznacza zarządzanie urządzeniami za pomocą Intune? Zarządzanie urządzeniami i sterowanie funkcjami urządzeń w Microsoft Intune |
Domeny
| Zadanie | Zasoby, aby dowiedzieć się więcej |
|---|---|
| Dodawanie domeny (takiej jak contoso.com) do subskrypcji platformy Microsoft 365 | Dodawanie domeny do platformy Microsoft 365 |
| Zakup domeny | Kupowanie nazwy domeny |
| Usuwanie domeny | Usuwanie domeny |
Subskrypcje i rozliczenia
| Zadanie | Zasoby, aby dowiedzieć się więcej |
|---|---|
| Wyświetlanie rachunku lub faktury | Wyświetlanie rachunku lub faktury z tytułu subskrypcji platformy Microsoft 365 dla firm |
| Zarządzanie formami płatności | Zarządzanie formami płatności |
| Zmienianie częstotliwości płatności | Zmienianie częstotliwości rozliczeń subskrypcji platformy Microsoft 365 |
| Zmienianie adresu rozliczeniowego | Zmienianie adresów rozliczeniowych platformy Microsoft 365 dla firm |