Мониторинг и обслуживание Microsoft 365 бизнес премиум и Defender для бизнеса
После настройки и настройки Microsoft 365 бизнес премиум или автономной версии Microsoft Defender для бизнеса следующим шагом будет подготовка плана обслуживания и эксплуатации. Важно поддерживать актуальность систем, устройств, учетных записей пользователей и политик безопасности, чтобы защититься от кибератак. Эту статью можно использовать в качестве руководства по подготовке плана.
При подготовке плана можно упорядочить различные задачи в две main категории, как указано в следующей таблице:
Задачи безопасности
Задачи безопасности обычно выполняются администраторами безопасности и операторами безопасности.
Ежедневные задачи безопасности
| Задача | Описание |
|---|---|
| Проверьте панель мониторинга управления уязвимостями угроз | Получите snapshot уязвимости, просмотрев панель мониторинга управления уязвимостями, которая отражает уязвимость вашей организации к угрозам кибербезопасности. Высокая оценка означает, что ваши устройства более уязвимы к эксплойту. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Панель мониторинга управления > уязвимостями. 2. Ознакомьтесь с оценкой воздействия организации. Если она находится в допустимом диапазоне (значение "Высокая"), можно перейти к следующим шагам. Если это не так, щелкните Улучшить оценку, чтобы просмотреть дополнительные сведения и рекомендации по безопасности для ее улучшения. Зная о своей оценке воздействия, вы сможете: — Быстрое понимание и выявление общих сведений о состоянии безопасности в вашей организации — Обнаружение областей, требующих исследования или действий для улучшения текущего состояния, и реагирование на них. — Общение с одноранговым звеном и руководством о влиянии усилий по обеспечению безопасности |
| Просмотрите ожидающие выполнения действия в центре уведомлений | При обнаружении угроз вступают в действие действия по исправлению . В зависимости от конкретной угрозы и заданных параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения, поэтому список действий следует регулярно отслеживать. Действия по исправлению отслеживаются в центре уведомлений. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Центр уведомлений. 2. Перейдите на вкладку Ожидание , чтобы просмотреть и утвердить (или отклонить) все ожидающие действия. Такие действия могут быть связаны с защитой от вирусов и вредоносных программ, автоматическими расследованиями, реагированием вручную или сеансами реагирования в реальном времени. 3. Перейдите на вкладку Журнал , чтобы просмотреть список выполненных действий. |
| Просмотрите устройства, на которых обнаружены угрозы | При обнаружении угроз на устройствах ваша группа безопасности должна знать, чтобы можно было быстро выполнить все необходимые действия, такие как изоляция устройства. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Отчеты > Общий > отчет о безопасности. 2. Прокрутите вниз до строки "Уязвимые устройства ". Если угрозы были обнаружены на устройствах, вы увидите эту информацию в этой строке. |
| Узнайте о новых инцидентах или оповещениях | По мере обнаружения угроз инициируются оповещения и создаются инциденты. Команда безопасности вашей компании может просматривать инциденты и управлять ими на портале Microsoft Defender. 1. На портале Microsoft Defender (https://security.microsoft.com) в меню навигации выберите Инциденты. На этой странице показаны инциденты и связанные с ними оповещения. 2. Выберите оповещение, чтобы открыть его всплывающий элемент, где можно узнать больше об оповещении. 3. Во всплывающем элементе можно просмотреть заголовок оповещения, просмотреть список затронутых ресурсов (например, конечные точки или учетные записи пользователей), выполнить доступные действия, а также использовать ссылки для просмотра дополнительных сведений и даже открыть страницу сведений для выбранного оповещения. |
| Запускайте проверки и исследования | Ваша группа безопасности может инициировать сканирование или автоматическое исследование на устройстве с высоким уровнем риска или обнаруженными угрозами. В зависимости от результатов сканирования или автоматического исследования действия по исправлению могут выполняться автоматически или после утверждения. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Активы>устройства. 2. Выберите устройство, чтобы открыть его всплывющую панель, и просмотрите отображаемые сведения. — Выберите многоточие (...), чтобы открыть меню действий. — выберите действие, например Запустить антивирусную проверку или Инициировать автоматическое исследование. |
Еженедельные задачи безопасности
| Задача | Описание |
|---|---|
| Мониторинг и улучшение оценки безопасности Майкрософт | Оценка безопасности (Майкрософт) — это измерение состояния безопасности вашей организации. Более высокие цифры указывают на то, что требуется меньше действий по улучшению. С помощью оценки безопасности можно: — Отчет о текущем состоянии безопасности вашей организации. — Повышение уровня безопасности путем обеспечения возможности обнаружения, видимости, рекомендаций и контроля. — Сравнивайте с эталонными показателями и устанавливайте ключевые показатели эффективности (КПЭ). Чтобы проверка оценку, выполните следующие действия. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Оценка безопасности. 2. Просмотрите и придумайте решения об исправлениях и действиях, чтобы улучшить общую оценку безопасности Майкрософт. |
| Улучшение оценки безопасности для устройств | Улучшение конфигурации безопасности путем устранения проблем с помощью списка рекомендаций по безопасности. По мере выполнения этих шагов оценка безопасности Майкрософт для устройств повышается, а ваша организация становится все более устойчивой к угрозам кибербезопасности и уязвимостям. Время, затраченное на проверку и улучшение оценки, всегда потрачено с пользой. Чтобы проверка оценку безопасности, выполните следующие действия. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Оценка безопасности. 2. В разделе Оценка безопасности Майкрософт для устройств карта на панели мониторинга Управления уязвимостями в Defender выберите одну из категорий. Появится список рекомендаций, связанных с этой категорией, а также сами рекомендации. 3. Выберите элемент в списке, чтобы отобразить сведения, связанные с рекомендацией. 4. Выберите Параметры исправления. 5. Прочитайте описание, чтобы понять контекст проблемы и дальнейшие действия. Выберите дату выполнения, добавьте заметки и выберите Экспорт всех данных о действиях по исправлению в CSV , чтобы вложить их в сообщение электронной почты для дальнейших действий. Сообщение с подтверждением сообщает, что задача по исправлению создана. 6. Отправьте ит-администратору сообщение электронной почты и укажите время, отведенное для распространения исправлений в системе. 7. Вернитесь к microsoft Secure Score for Devices карта на панели мониторинга. В результате ваших действий количество рекомендаций по элементам управления безопасностью уменьшилось. 8. Выберите Элементы управления безопасностью , чтобы вернуться на страницу Рекомендации по безопасности. Обработанная рекомендация исчезла из списка, что привело к повышению оценки безопасности Майкрософт. |
Ежемесячные задачи безопасности
| Задача | Описание |
|---|---|
| Запуск отчетов | Несколько отчетов доступны на портале Microsoft Defender (https://security.microsoft.com). 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Отчеты. 2. Выберите отчет для просмотра. В каждом отчете содержится ряд категорий, актуальных для этого отчета. 3. Выберите Просмотреть сведения, чтобы просмотреть более подробные сведения для каждой категории. 4. Выберите название конкретной угрозы, чтобы просмотреть сведения о ней. |
| Проведите учебную тревогу | Всегда полезно провести тренинг, чтобы повысить готовность сотрудников к отражению угроз безопасности. Вы можете получить доступ к руководствам по имитации на портале Microsoft Defender. В них рассматривается несколько типов киберугроз. Чтобы приступить к работе, выполните следующие действия. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Учебники.< 2. Прочтите пошаговое руководство, которое вы хотите запустить, а затем скачайте файл или скопируйте скрипт, необходимый для запуска имитации в соответствии с инструкциями. |
| Изучите материалы в Центре обучения | Используйте Центр обучения, чтобы расширить свои знания об угрозах кибербезопасности и способах их устранения. Рекомендуется изучить предлагаемые ресурсы, особенно в разделах Microsoft Defender XDR и Конечные точки. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Центр обучения. 2. Выберите область, например Microsoft Defender XDR или Конечные точки. 3. Выберите элемент, чтобы узнать больше о каждой концепции. Некоторые ресурсы в Центре обучения могут охватывать функции, которые не включены в Microsoft 365 бизнес премиум. Например, расширенные возможности охоты включены в корпоративные подписки, такие как Defender для конечной точки плана 2 или Microsoft Defender XDR, но не в Microsoft 365 бизнес премиум. См. статью Сравнение Defender для бизнеса с Microsoft 365 бизнес премиум? |
Задачи безопасности для выполнения по мере необходимости
| Задача | Описание |
|---|---|
| Управление ложноположительными и отрицательными результатами | Ложноположительный результат — это сущность, например файл или процесс, который был обнаружен и определен как вредоносный, хотя сущность на самом деле не представляет угрозы. Ложноотрицательный — это сущность, которая не была обнаружена как угроза, хотя на самом деле является вредоносной. Ложноположительные или отрицательные меры могут возникать в любом решении для защиты от угроз, включая Microsoft Defender для Office 365 и Microsoft Defender для бизнеса, которые включены в Microsoft 365 бизнес премиум. К счастью, можно предпринять шаги для решения и устранения таких проблем. Сведения о ложноположительных и отрицательных результатах на устройствах см. в разделе Устранение ложноположительных и отрицательных результатов в Microsoft Defender для конечной точки. Сведения о ложноположительных или отрицательных результатах в сообщении электронной почты см. в следующих статьях: - Обработка вредоносных сообщений электронной почты, доставляемых получателям (ложноотрицательных), с помощью Microsoft Defender для Office 365 - Обработка заблокированных (ложноположительных) сообщений электронной почты с помощью Microsoft Defender для Office 365 |
| Повышение уровня безопасности | Defender для бизнеса включает панель мониторинга управления уязвимостями, которая предоставляет оценку уязвимости и позволяет просматривать сведения об открытых устройствах и просматривать соответствующие рекомендации по безопасности. Вы можете использовать панель мониторинга управления уязвимостями в Defender, чтобы снизить уязвимость и улучшить состояние безопасности вашей организации. См. следующие статьи: - Использование панели мониторинга управления уязвимостями в Microsoft Defender для бизнеса - Аналитика панели мониторинга |
| Настройка политик безопасности | Отчеты доступны для просмотра сведений об обнаруженных угрозах, состоянии устройства и т. д. Иногда необходимо настроить политики безопасности. Например, можно применить строгую защиту к некоторым учетным записям пользователей или устройствам, а стандартную защиту — к другим. См. следующие статьи: — Для защиты устройств: просмотр или изменение политик в Microsoft Defender для бизнеса — Для защиты электронной почты: рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности. |
| Анализ отправки администратором | Иногда необходимо отправлять сущности, такие как сообщения электронной почты, URL-адреса или вложения, в корпорацию Майкрософт для дальнейшего анализа. Элементы отчетности помогают уменьшить количество ложноположительных и отрицательных результатов и повысить точность обнаружения угроз. См. следующие статьи: - Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты. - Администратор проверка сообщений, сообщаемые пользователем |
| Защита учетных записей приоритетных пользователей | Не все учетные записи пользователей имеют доступ к одной и той же информации о компании. Некоторые учетные записи имеют доступ к конфиденциальной информации, такой как финансовые данные, сведения о разработке продуктов, доступ партнеров к критически важным системам сборки и многому другому. В случае компрометации учетные записи, имеющие доступ к строго конфиденциальной информации, представляют серьезную угрозу. Эти типы учетных записей называются учетными записями с приоритетом. К приоритетным учетным записям относятся (но не ограничиваются ими) руководители, cisos, финансовые директора, учетные записи администраторов инфраструктуры, системные учетные записи сборки и многое другое. См. следующие статьи: - Защита учетных записей администратора - Рекомендации по безопасности для приоритетных учетных записей в Microsoft 365 |
| Защита устройств с высоким риском | Общая оценка риска устройства основана на сочетании факторов, таких как типы и серьезность активных оповещений на устройстве. По мере устранения активных оповещений, утверждения действий по исправлению и подавления последующих оповещений уровень риска снижается. См. раздел Управление устройствами в Microsoft Defender для бизнеса. |
| Подключение или отключение устройств | По мере замены или прекращения использования устройств, приобретения новых устройств или изменения бизнес-потребностей вы можете подключить или отключить устройства из Defender для бизнеса. См. следующие статьи: - Подключение устройств к Microsoft Defender для бизнеса - Отключение устройства от Microsoft Defender для бизнеса |
| Исправление элемента | Microsoft 365 бизнес премиум включает несколько действий по исправлению. Некоторые действия выполняются автоматически, а другие ожидают утверждения вашей группой безопасности. 1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации перейдите в раздел Активы>устройства. 2. Выберите устройство, например устройство с высоким уровнем риска или уровнем подверженности. Откроется всплывающее окно, в котором отображаются дополнительные сведения об оповещениях и инцидентах, созданных для этого элемента. 3. Во всплывающем меню просмотрите отображаемые сведения. Щелкните многоточие (...), чтобы открыть меню со списком доступных действий. 4. Выберите доступное действие. Например, можно выбрать команду Выполнить антивирусную проверку, что приведет к запуску быстрой проверки Антивирусной программы в Microsoft Defender на устройстве. Кроме того, можно выбрать Начать автоматическое исследование, чтобы запустить автоматическое исследование на устройстве. |
Действия по исправлению для устройств
В следующей таблице перечислены действия по исправлению, доступные для устройств в Microsoft 365 бизнес премиум и Defender для бизнеса.
| Источник | Действия |
|---|---|
| Автоматические исследования | Поместить файл в карантин Удаление раздела реестра Завершение процесса Остановка службы Отключение драйвера Удаление запланированной задачи |
| Ответные действия, выполняющиеся вручную | Запуск проверки на вирусы Изоляция устройства Добавление индикатора для блокировки или разрешения файла |
| Реагирование в реальном времени | Сбор данных судебной экспертизы Анализ файла Запуск сценария Отправка подозрительной сущности в корпорацию Майкрософт для анализа Исправление файла Заблаговременный поиск угроз |
Общие задачи администрирования
Обслуживание среды включает в себя управление учетными записями пользователей, управление устройствами, а также обеспечение актуальности и правильной работы. Администратор задачи обычно выполняются глобальными администраторами и администраторами клиентов. Дополнительные сведения о ролях администратора.
Если вы не знакомы с Microsoft 365, ознакомьтесь с обзором Центр администрирования Microsoft 365.
задачи центра Администратор
| Задача | Дополнительные ресурсы |
|---|---|
| Начало работы с Центр администрирования Microsoft 365 | Обзор Центра администрирования Microsoft 365 |
| Сведения о новых возможностях в Центр администрирования Microsoft 365 | Новые возможности Центр администрирования Microsoft 365 |
| Узнайте о новых обновлениях продуктов и функциях, которые помогут подготовить пользователей | Следите за изменениями в продуктах и функциях Microsoft 365 |
| Просмотр отчетов об использовании, чтобы узнать, как пользователи используют Microsoft 365 | Отчеты по Microsoft 365 в Центре администрирования |
| Открыть запрос в службу технической поддержки | Получение поддержки Microsoft 365 для бизнеса |
Пользователи, группы и пароли
Электронная почта и календари
| Задача | Дополнительные ресурсы |
|---|---|
| Перенос электронной почты и контактов из Gmail или другого поставщика электронной почты в Microsoft 365 | Перенос электронной почты и контактов в Microsoft 365 |
| Добавление подписи электронной почты, юридического заявления об отказе от ответственности или заявления о раскрытии информации в сообщения электронной почты, которые приходят или выходят | Создание подписей и отказов от ответственности в масштабах всей организации |
| Настройка, изменение или удаление группы безопасности | Создание, изменение или удаление группы безопасности в Центр администрирования Microsoft 365 |
| Добавление пользователей в группу рассылки | Добавление пользователя или контакта в группу рассылки Microsoft 365 |
Настройка общего почтового ящика, чтобы пользователи могли отслеживать и отправлять сообщения электронной почты с общих адресов электронной почты, таких как info@contoso.com |
Создание общего почтового ящика |
Устройства
| Задача | Дополнительные ресурсы |
|---|---|
| Использование Windows Autopilot для настройки и предварительной настройки новых устройств или для сброса, повторного назначения и восстановления устройств (относится к Microsoft 365 бизнес премиум) |
Обзор Windows Autopilot |
| Просмотр текущего состояния устройств и управление ими | Управление устройствами в Microsoft Defender для бизнеса |
| Подключение устройств к Defender для бизнеса | Подключение устройств к Defender для бизнеса |
| Отключение устройств из Defender для бизнеса | Отключение устройства из Defender для бизнеса |
| Управление устройствами с помощью Intune | Что означает управление устройствами с помощью Intune? Управление устройствами и управление функциями устройств в Microsoft Intune |
Домены
| Задача | Дополнительные ресурсы |
|---|---|
| Добавление домена (например, contoso.com) в подписку Microsoft 365 | Добавление домена в Microsoft 365 |
| Приобретение домена | Приобретение доменного имени |
| Удаление домена | Удаление домена |
Подписки и выставление счетов
| Задача | Дополнительные ресурсы |
|---|---|
| Просмотр счетов | Просмотр счета или квитанции за подписку Microsoft 365 для бизнеса |
| Управление методами оплаты | Управление методами оплаты |
| Изменение частоты платежей | Изменение частоты выставления счетов за подписку Microsoft 365 |
| Изменение адреса выставления счетов | Изменение адресов выставления счетов в Microsoft 365 для бизнеса |
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по