Guia de Operações de Segurança do Microsoft Defender para Endpoint

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Este artigo fornece uma descrição geral dos requisitos e tarefas para operações com êxito Microsoft Defender para Endpoint na sua organização. Estas tarefas ajudam o centro de operações de segurança (SOC) a detetar e responder eficazmente a ameaças de segurança Microsoft Defender para Endpoint detetadas.

Este artigo também descreve tarefas diárias, semanais, mensais e ad-hoc que a sua equipa de segurança pode realizar para a sua organização.

Nota

Estes são passos recomendados; verifique-as em relação às suas próprias políticas e ambiente para garantir que são adequadas para fins.

Pré-requisitos:

O Ponto Final Microsoft Defender deve ser configurado para suportar o seu processo regular de operações de segurança. Apesar de não estar abrangido neste documento, os seguintes artigos fornecem informações de configuração e configuração:

• Configurar definições gerais do Defender para Endpoint

  • Geral
  • Permissões
  • Regras
  • Gestão de dispositivos
  • Configurar definições de fuso horário do Centro de Segurança do Microsoft Defender

• Configurar Microsoft Defender XDR notificações de incidentes

  Para receber notificações por e-mail sobre incidentes Microsoft Defender XDR definidos, recomenda-se que configure as notificações por e-mail. Veja Notificações de incidentes por e-mail.

• Ligar ao SIEM (Sentinel)

  Se tiver ferramentas de gestão de informações e eventos de segurança (SIEM) existentes, pode integrá-las com Microsoft Defender XDR. Veja Integrar as ferramentas SIEM com Microsoft Defender XDR e Microsoft Defender XDR integração com o Microsoft Sentinel.

• Rever a configuração da deteção de dados

  Reveja a configuração Microsoft Defender para Endpoint de deteção de dispositivos para garantir que está configurada conforme necessário. Veja Descrição geral da deteção de dispositivos.

Atividades diárias

Geral

• Rever ações

  No centro de ação, reveja as ações que foram executadas no seu ambiente, automatizadas e manuais. Estas informações ajudam-no a validar que a investigação e resposta automatizadas (AIR) estão a funcionar conforme esperado e a identificar quaisquer ações manuais que precisem de ser revistas. Consulte Visitar o Centro de ação para ver as ações de remediação.

Equipa de operações de segurança

• Monitorizar a fila Microsoft Defender XDR Incidentes

  Quando Microsoft Defender para Endpoint identifica Indicadores de compromisso (IOCs) ou Indicadores de ataque (IOAs) e gera um alerta, o alerta é incluído num incidente e apresentado na fila Incidentes no portal do Microsoft Defender (https://security.microsoft.com).

  Reveja estes incidentes para responder a quaisquer alertas de Microsoft Defender para Endpoint e resolva assim que o incidente tiver sido remediado. Veja Notificações de incidentes por e-mail e Ver e organizar a fila Microsoft Defender para Endpoint Incidentes.

• Gerir deteções de falsos positivos e falsos negativos

  Reveja a fila de incidentes, identifique deteções de falsos positivos e falsos negativos e submeta-as para revisão. Isto ajuda-o a gerir eficazmente os alertas no seu ambiente e a tornar os alertas mais eficientes. Veja Resolver falsos positivos/negativos no Microsoft Defender para Endpoint.

• Rever ameaças de impacto elevado da análise de ameaças

  Reveja a análise de ameaças para identificar quaisquer campanhas que estejam a afetar o seu ambiente. A tabela "Ameaças de alto impacto" lista as ameaças que tiveram o maior impacto na organização. Esta secção classifica as ameaças pelo número de dispositivos com alertas ativos. Veja Controlar e responder a ameaças emergentes através da análise de ameaças.

Equipa de administração de segurança

• Rever relatórios de estado de funcionamento

  Reveja os relatórios de estado de funcionamento para identificar quaisquer tendências de estado de funcionamento do dispositivo que precisem de ser abordadas. Os relatórios de estado de funcionamento do dispositivo abrangem Microsoft Defender para Endpoint assinatura AV, o estado de funcionamento da plataforma e o estado de funcionamento do EDR. Veja Relatórios de estado de funcionamento do dispositivo no Microsoft Defender para Endpoint.

• Verificar o estado de funcionamento do sensor de deteção e resposta de pontos finais (EDR)

  O estado de funcionamento do EDR mantém a ligação ao serviço EDR para garantir que o Defender para Endpoint está a receber os sinais necessários para alertar e identificar vulnerabilidades.

  Reveja os dispositivos em mau estado de funcionamento. Veja Estado de funcionamento do dispositivo, Estado de funcionamento do sensor & relatório do SO.

• Verificar Microsoft Defender estado de funcionamento do Antivírus

  Ver o estado das atualizações do Antivírus do Microsoft Defender é fundamental para o melhor desempenho do Defender para Endpoint no seu ambiente e deteções atualizadas. A página de estado de funcionamento do dispositivo mostra o estado atual da plataforma, inteligência e versão do motor. Veja o relatório Estado de funcionamento do dispositivo Microsoft Defender Antivírus.

Atividades semanais

Geral

• Centro de Mensagens

  Microsoft Defender XDR utiliza o Centro de Mensagens do Microsoft 365 para notificá-lo sobre alterações futuras, tais como funcionalidades novas e alteradas, manutenção planeada ou outros anúncios importantes.

  Reveja as mensagens do Centro de mensagens para compreender as alterações futuras que afetam o seu ambiente.

  Pode aceder a esta opção no centro de administração do Microsoft 365 no separador Estado de Funcionamento. Veja Como verificar o estado de funcionamento do serviço Microsoft 365.

Equipa de operações de segurança

• Rever relatórios de ameaças

  Reveja os relatórios de estado de funcionamento para identificar quaisquer tendências de ameaças de dispositivos que precisem de ser abordadas. Veja Relatório de proteção contra ameaças.

• Rever a análise de ameaças

  Reveja a análise de ameaças para identificar as campanhas que afetam o seu ambiente. Veja Controlar e responder a ameaças emergentes através da análise de ameaças.

Equipa de administração de segurança

• Rever estado de ameaça e vulnerabilidade (TVM)

  Reveja TVM para identificar quaisquer novas vulnerabilidades e recomendações que exijam ação. Veja Dashboard de gestão de vulnerabilidades.

• Rever relatórios de redução da superfície de ataque

  Reveja os relatórios do ASR para identificar quaisquer ficheiros que afetem o seu ambiente. Veja Relatório de regras de redução da superfície de ataque.

• Rever eventos de proteção Web

  Reveja o relatório de defesa da Web para identificar quaisquer endereços IP ou URLs bloqueados. Consulte Proteção Web.

Atividades mensais

Geral

Reveja os seguintes artigos para compreender as atualizações lançadas recentemente:

• Novidades no Microsoft Defender para Endpoint

• Novidades no Microsoft Defender para Endpoint no Windows

• Novidades no Microsoft Defender para Endpoint no Mac

• Novidades no Microsoft Defender para Endpoint no Linux

• Novidades no Microsoft Defender para Endpoint no iOS

• Novidades no Microsoft Defender para Endpoint no Android

Equipa de administração de segurança

• Rever o dispositivo excluído da política

  Se algum dispositivo for excluído das políticas do Defender para Endpoint, reveja e determine se o dispositivo ainda precisa de ser excluído da política.

  Nota

  Reveja o modo de resolução de problemas para resolução de problemas. Veja Introdução ao modo de resolução de problemas no Microsoft Defender para Endpoint.

Periodicamente

Estas tarefas são vistas como manutenção para a sua postura de segurança e são fundamentais para a sua proteção contínua. No entanto, como podem demorar algum tempo e esforço, recomenda-se que defina uma agenda padrão que pode manter para realizar estas tarefas.

• Rever exclusões

  Reveja as exclusões que foram definidas no seu ambiente para confirmar que não criou uma lacuna de proteção ao excluir itens que já não têm de ser excluídos.

• Rever as configurações da política do Defender

  Reveja periodicamente as definições de configuração do Defender para confirmar que estão definidas conforme necessário.

• Rever os níveis de automatização

  Reveja os níveis de automatização nas capacidades de investigação e remediação automatizadas. Veja Níveis de automatização na investigação e remediação automatizadas.

• Rever deteções personalizadas

  Reveja periodicamente se as deteções personalizadas que foram criadas ainda são válidas e eficazes. Veja Rever a deteção personalizada.

• Rever a supressão de alertas

  Reveja periodicamente quaisquer regras de supressão de alertas que tenham sido criadas para confirmar que ainda são necessárias e válidas. Veja Rever supressão de alertas.

Resolução de Problemas

Os artigos seguintes fornecem orientações para resolver problemas e corrigir erros que possam ocorrer ao configurar o serviço Microsoft Defender para Endpoint.

• Resolver problemas do estado do Sensor
• Resolução de problemas de estado de funcionamento do sensor com o Client Analyzer
• Resolução de problemas da resposta imediata
• Recolher registos de suporte com o LiveAnalyzer
• Resolução de problemas de redução da superfície de ataque
• Resolução de problemas de integração

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.