Руководство по операциям с безопасностью Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

В этой статье приводятся общие сведения о требованиях и задачах для успешной работы Microsoft Defender для конечной точки в организации. Эти задачи помогают центру управления безопасностью (SOC) эффективно обнаруживать угрозы безопасности и реагировать на них Microsoft Defender для конечной точки обнаруженных угроз безопасности.

В этой статье также описаны ежедневные, еженедельные, ежемесячные и нерегламентированные задачи, которые группа безопасности может выполнять для вашей организации.

Примечание.

Это рекомендуемые действия. проверка их в соответствии с вашими собственными политиками и средой, чтобы убедиться, что они подходят для целей.

Предварительные требования:

Конечная точка Microsoft Defender должна быть настроена для поддержки обычных операций безопасности. Хотя в этом документе не рассматривается, в следующих статьях содержатся сведения о конфигурации и настройке.

• Настройка общих параметров Defender для конечной точки

  • Общие указания
  • Разрешения
  • Правила
  • Управление устройствами
  • Настройка параметров часового пояса Центра безопасности в Microsoft Defender

• Настройка уведомлений об инцидентах Microsoft Defender XDR

  Чтобы получить Уведомления по электронной почте об определенных инцидентах Microsoft Defender XDR, рекомендуется настроить Уведомления по электронной почте. См. раздел Уведомления об инцидентах по электронной почте.

• Подключение к SIEM (Sentinel)

  Если у вас есть существующие средства управления информационной безопасностью и событиями безопасности (SIEM), их можно интегрировать с Microsoft Defender XDR. См. статью Интеграция средств SIEM с Microsoft Defender XDR и Microsoft Defender XDR интеграции с Microsoft Sentinel.

• Просмотр конфигурации обнаружения данных

  Проверьте конфигурацию Microsoft Defender для конечной точки обнаружения устройств, чтобы убедиться, что она настроена по мере необходимости. См . статью Общие сведения об обнаружении устройств.

Ежедневные мероприятия

Общие указания

• Проверка действий

  В центре уведомлений просмотрите действия, выполненные в вашей среде как автоматически, так и вручную. Эти сведения помогают проверить, что автоматическое исследование и реагирование (AIR) выполняется должным образом, и определить все действия, которые необходимо проверить вручную. Сведения о действиях по исправлению см. в разделе Просмотр центра уведомлений.

Группа по операциям с безопасностью

• Мониторинг очереди инцидентов Microsoft Defender XDR

  Когда Microsoft Defender для конечной точки определяет индикаторы компрометации (IOCs) или индикаторы атаки (IOA) и создает оповещение, оповещение включается в инцидент и отображается в очереди инцидентов на портале Microsoft Defender (https://security.microsoft.com).

  Просмотрите эти инциденты, чтобы ответить на любые оповещения Microsoft Defender для конечной точки и устранить их после устранения инцидента. См. статьи Уведомления об инцидентах по электронной почтеи Просмотр и упорядочение очереди инцидентов Microsoft Defender для конечной точки.

• Управление обнаружением ложноположительных и ложноотрицательных результатов

  Просмотрите очередь инцидентов, определите ложноположительные и ложноотрицательных обнаружения и отправьте их на проверку. Это помогает эффективно управлять оповещениями в среде и повысить эффективность оповещений. См. раздел Устранение ложноположительных и отрицательных результатов в Microsoft Defender для конечной точки.

• Обзор угроз аналитики угроз с высоким уровнем влияния

  Просмотрите аналитику угроз, чтобы определить все кампании, влияющие на вашу среду. В таблице "Угрозы с высоким воздействием" перечислены угрозы, которые оказали наибольшее влияние на организацию. В этом разделе угрозы ранжировались по количеству устройств с активными оповещениями. См . статью Отслеживание новых угроз и реагирование на них с помощью аналитики угроз.

Группа администрирования безопасности

• Просмотр отчетов о работоспособности

  Просмотрите отчеты о работоспособности, чтобы определить все тенденции работоспособности устройств, которые необходимо устранить. Отчеты о работоспособности устройств охватывают Microsoft Defender для конечной точки сигнатуры av, работоспособности платформы и работоспособности EDR. См. статью Отчеты о работоспособности устройств в Microsoft Defender для конечной точки.

• Проверка работоспособности датчика обнаружения и реагирования конечной точки (EDR)

  Работоспособности EDR поддерживает подключение к службе EDR, чтобы убедиться, что Defender для конечной точки получает необходимые сигналы для оповещения и выявления уязвимостей.

  Проверьте неработоспособные устройства. См. сведения о работоспособности устройства, работоспособности датчиков & отчете ОС.

• Проверка работоспособности антивирусной программы Microsoft Defender

  Просмотр состояния обновлений Microsoft Defender антивирусной программы имеет решающее значение для обеспечения максимальной производительности Defender для конечной точки в вашей среде и актуальных обнаружений. На странице работоспособности устройства отображается текущее состояние платформы, аналитики и версии обработчика. См. отчет о работоспособности устройств Microsoft Defender антивирусной программы.

Еженедельные мероприятия

Общие указания

• Центр сообщений

  Microsoft Defender XDR использует Центр сообщений Microsoft 365 для уведомления о предстоящих изменениях, таких как новые и измененные функции, плановое обслуживание или другие важные объявления.

  Просмотрите сообщения Центра сообщений, чтобы понять, какие предстоящие изменения повлияют на вашу среду.

  Доступ к этому можно получить в Центр администрирования Microsoft 365 на вкладке Работоспособности. См. статью Как проверка работоспособности служб Microsoft 365.

Группа по операциям с безопасностью

• Просмотр отчетов об угрозах

  Просмотрите отчеты о работоспособности, чтобы определить все тенденции угроз устройств, которые необходимо устранить. См. отчет о защите от угроз.

• Обзор аналитики угроз

  Просмотрите аналитику угроз, чтобы определить кампании, влияющие на вашу среду. См . статью Отслеживание новых угроз и реагирование на них с помощью аналитики угроз.

Группа администрирования безопасности

• Просмотр состояния угроз и уязвимостей (TVM)

  Просмотрите TVM, чтобы определить новые уязвимости и рекомендации, требующие действий. См. панель мониторинга управления уязвимостями.

• Просмотр отчетов о сокращении направлений атак

  Просмотрите отчеты ASR, чтобы определить все файлы, влияющие на вашу среду. См . отчет о правилах сокращения направлений атак.

• Просмотр событий веб-защиты

  Просмотрите отчет о веб-защите, чтобы определить все ЗАБЛОКИРОВАНные IP-адреса или URL-адреса. См. раздел Защита веб-сайтов.

Ежемесячные действия

Общие указания

Ознакомьтесь со следующими статьями, чтобы узнать о недавно выпущенных обновлениях:

• Новые возможности Microsoft Defender для конечной точки

• Новые возможности Microsoft Defender для конечной точки в Windows

• Новые возможности Microsoft Defender для конечной точки на Mac

• Новые возможности Microsoft Defender для конечной точки в Linux

• Новые возможности Microsoft Defender для конечной точки в iOS

• Новые возможности Microsoft Defender для конечной точки на Android

Группа администрирования безопасности

• Проверка устройства, исключенного из политики

  Если какие-либо устройства исключены из политик Defender для конечной точки, проверьте и определите, нужно ли по-прежнему исключить устройство из политики.

  Примечание.

  Ознакомьтесь с режимом устранения неполадок. См. статью Начало работы с режимом устранения неполадок в Microsoft Defender для конечной точки.

Периодически

Эти задачи рассматриваются как обслуживание вашей системы безопасности и имеют решающее значение для текущей защиты. Но поскольку они могут потребовать времени и усилий, рекомендуется установить стандартное расписание, которое можно поддерживать для выполнения этих задач.

• Проверка исключений

  Просмотрите исключения, заданные в вашей среде, чтобы убедиться, что вы не создали пробел в защите, исключив элементы, которые больше не требуются для исключения.

• Просмотр конфигураций политик Defender

  Периодически проверяйте параметры конфигурации Defender, чтобы убедиться, что они заданы по мере необходимости.

• Просмотр уровней автоматизации

  Просмотрите уровни автоматизации в возможностях автоматического исследования и исправления. См . статью Уровни автоматизации в автоматизированном исследовании и исправлении.

• Просмотр пользовательских обнаружений

  Периодически проверяйте, являются ли созданные пользовательские обнаружения допустимыми и эффективными. См . раздел Проверка пользовательского обнаружения.

• Проверка подавления оповещений

  Периодически проверяйте все созданные правила подавления оповещений, чтобы убедиться, что они по-прежнему необходимы и действительны. См . раздел Проверка подавления оповещений.

Устранение неполадок

В следующих статьях содержатся рекомендации по устранению и устранению ошибок, которые могут возникнуть при настройке службы Microsoft Defender для конечной точки.

• Устранение неполадок с состоянием датчика
• Устранение неполадок работоспособности датчика с помощью анализатора клиента
• Устранение неполадок с live response
• Сбор журналов поддержки с помощью LiveAnalyzer
• Устранение неполадок сокращения направлений атак
• Устранение неполадок с подключением

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.