Guia de operações de segurança Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Este artigo fornece uma visão geral dos requisitos e tarefas para Microsoft Defender para Ponto de Extremidade operacionais com êxito em sua organização. Essas tarefas ajudam o SOC (centro de operações de segurança) a detectar e responder efetivamente a Microsoft Defender para Ponto de Extremidade ameaças de segurança detectadas.
Este artigo também descreve tarefas diárias, semanais, mensais e ad hoc que sua equipe de segurança pode executar para sua organização.
Observação
Estas são as etapas recomendadas; marcar-os contra suas próprias políticas e ambiente para garantir que eles estejam aptos para o propósito.
Pré-requisitos:
O ponto de extremidade Microsoft Defender deve ser configurado para dar suporte ao processo de operações de segurança regulares. Embora não estejam cobertos neste documento, os seguintes artigos fornecem informações de configuração e configuração:
Definir as configurações gerais do Defender para Ponto de Extremidade
- Geral
- Permissões
- Regras
- Gerenciamento de dispositivos
- Definir as configurações de fuso horário da Central de Segurança do Microsoft Defender
Configurar Microsoft Defender XDR notificações de incidentes
Para obter notificações por email em incidentes de Microsoft Defender XDR definidos, é recomendável configurar notificações por email. Consulte Notificações de incidentes por email.
Conectar-se ao SIEM (Sentinel)
Se você tiver ferramentas de SIEM (gerenciamento de eventos e informações de segurança) existentes, poderá integrá-las ao Microsoft Defender XDR. Consulte Integrar suas ferramentas SIEM à integração de Microsoft Defender XDR e Microsoft Defender XDR com o Microsoft Sentinel.
Examinar a configuração de descoberta de dados
Examine o Microsoft Defender para Ponto de Extremidade configuração de descoberta de dispositivo para garantir que ele esteja configurado conforme necessário. Consulte Visão geral da descoberta de dispositivo.
Atividades diárias
Geral
Revisar ações
No centro de ações, examine as ações que foram tomadas em seu ambiente, automatizadas e manuais. Essas informações ajudam você a validar que a investigação e a resposta automatizadas (AIR) estão sendo executadas conforme o esperado e identificam todas as ações manuais que precisam ser revisadas. Consulte Visitar o Centro de Ações para ver as ações de correção.
Equipe de operações de segurança
Monitorar a fila de incidentes de Microsoft Defender XDR
Quando Microsoft Defender para Ponto de Extremidade identifica Indicadores de comprometimento (IOCs) ou Indicadores de ataque (IOAs) e gera um alerta, o alerta é incluído em um incidente e exibido na fila Incidentes no portal do Microsoft Defender (https://security.microsoft.com).
Examine esses incidentes para responder a quaisquer alertas Microsoft Defender para Ponto de Extremidade e resolve depois que o incidente for corrigido. Consulte Notificações de incidentes por email e Exibir e organize a fila Microsoft Defender para Ponto de Extremidade Incidentes.
Gerenciar detecções falsas positivas e falsas negativas
Examine a fila de incidentes, identifique detecções falsas positivas e falsas negativas e envie-as para revisão. Isso ajuda você a gerenciar alertas efetivamente em seu ambiente e tornar seus alertas mais eficientes. Consulte Endereçar falsos positivos/negativos no Microsoft Defender para Ponto de Extremidade.
Examinar ameaças de análise de ameaças de alto impacto
Examine a análise de ameaças para identificar todas as campanhas que estão afetando seu ambiente. A tabela "Ameaças de alto impacto" lista as ameaças que tiveram o maior impacto para a organização. Esta seção classifica as ameaças pelo número de dispositivos que têm alertas ativos. Consulte Acompanhar e responder a ameaças emergentes por meio da análise de ameaças.
Equipe de administração de segurança
Examinar relatórios de integridade
Examine os relatórios de integridade para identificar as tendências de integridade do dispositivo que precisam ser abordadas. Os relatórios de integridade do dispositivo abrangem Microsoft Defender para Ponto de Extremidade assinatura do AV, integridade da plataforma e integridade do EDR. Consulte Relatórios de integridade do dispositivo no Microsoft Defender para Ponto de Extremidade.
Verificar a integridade do sensor EDR (detecção e resposta do ponto de extremidade)
A integridade do EDR está mantendo a conexão com o serviço EDR para garantir que o Defender para Ponto de Extremidade esteja recebendo os sinais necessários para alertar e identificar vulnerabilidades.
Examine dispositivos não íntegros. Consulte Integridade do dispositivo, relatório do sistema operacional & integridade do sensor.
Verificar Microsoft Defender integridade antivírus
Exibir o status de Microsoft Defender atualizações do Antivírus é fundamental para o melhor desempenho do Defender para Ponto de Extremidade em seu ambiente e detecções atualizadas. A página de integridade do dispositivo mostra o status atual para a plataforma, a inteligência e a versão do mecanismo. Consulte o relatório integridade do dispositivo, Microsoft Defender Antivírus.
Atividades semanais
Geral
Centro de Mensagens
Microsoft Defender XDR usa o Centro de Mensagens do Microsoft 365 para notificá-lo das alterações futuras, como recursos novos e alterados, manutenção planejada ou outros anúncios importantes.
Examine as mensagens do Centro de Mensagens para entender as alterações futuras que afetam seu ambiente.
Você pode acessar isso na Centro de administração do Microsoft 365 na guia Integridade. Consulte Como marcar integridade do serviço do Microsoft 365.
Equipe de operações de segurança
Revisar relatórios de ameaças
Examine os relatórios de integridade para identificar as tendências de ameaça de dispositivo que precisam ser resolvidas. Consulte Relatório de proteção contra ameaças.
Examinar análise de ameaças
Examine a análise de ameaças para identificar todas as campanhas que afetam seu ambiente. Consulte Acompanhar e responder a ameaças emergentes por meio da análise de ameaças.
Equipe de administração de segurança
Examinar status de ameaças e vulnerabilidades (TVM)
Examine a TVM para identificar quaisquer novas vulnerabilidades e recomendações que exijam ação. Consulte Dashboard de gerenciamento de vulnerabilidades.
Revisar relatórios de redução de superfície de ataque
Examine os relatórios do ASR para identificar todos os arquivos que afetam seu ambiente. Consulte Relatório de regras de redução de superfície de ataque.
Examinar eventos de proteção da Web
Examine o relatório de defesa da Web para identificar quaisquer endereços IP ou URLs bloqueados. Consulte Proteção da Web.
Atividades mensais
Geral
Examine os seguintes artigos para entender as atualizações lançadas recentemente:
Novidades no Microsoft Defender para Ponto de Extremidade no Windows
Novidades no Microsoft Defender para Ponto de Extremidade no Mac
Novidades no Microsoft Defender para Ponto de Extremidade no Linux
Novidades no Microsoft Defender para Ponto de Extremidade no iOS
Novidades no Microsoft Defender para Ponto de Extremidade no Android
Equipe de administração de segurança
Examinar dispositivo excluído da política
Se algum dispositivo for excluído das políticas do Defender para Ponto de Extremidade, examine e determine se o dispositivo ainda precisa ser excluído da política.
Observação
Examine o modo de solução de problemas para solução de problemas. Consulte Introdução ao modo de solução de problemas no Microsoft Defender para Ponto de Extremidade.
Periodicamente
Essas tarefas são vistas como manutenção para sua postura de segurança e são essenciais para sua proteção contínua. Mas, como eles podem levar tempo e esforço, é recomendável que você defina uma agenda padrão que você pode manter para executar essas tarefas.
Revisar exclusões
Examine as exclusões que foram definidas em seu ambiente para confirmar que você não criou uma lacuna de proteção excluindo coisas que não são mais necessárias para serem excluídas.
Examinar configurações de política do Defender
Examine periodicamente as configurações do Defender para confirmar se elas estão definidas como necessárias.
Examinar os níveis de automação
Examine os níveis de automação em recursos automatizados de investigação e correção. Consulte Níveis de automação em investigação e correção automatizadas.
Examinar detecções personalizadas
Examine periodicamente se as detecções personalizadas que foram criadas ainda são válidas e eficazes. Consulte Examinar a detecção personalizada.
Revisar supressão de alertas
Examine periodicamente todas as regras de supressão de alerta que foram criadas para confirmar que elas ainda são necessárias e válidas. Consulte Revisar supressão de alertas.
Solução de problemas
Os artigos a seguir fornecem diretrizes para solucionar problemas e corrigir erros que você pode experimentar ao configurar seu serviço de Microsoft Defender para Ponto de Extremidade.
- Solucionar problemas do estado do sensor
- Solucionar problemas de integridade do sensor usando o Analisador de Cliente
- Solucionar problemas de resposta dinâmica
- Coletar registros de suporte usando LiveAnalyzer
- Solucionar problemas de redução da superfície de ataque
- Solucionar problemas de integração
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de