Поделиться через


Мониторинг и обслуживание Microsoft 365 бизнес премиум и Defender для бизнеса

После настройки и настройки Microsoft 365 бизнес премиум или автономной версии Microsoft Defender для бизнеса следующим шагом будет подготовка плана обслуживания и эксплуатации. Важно поддерживать актуальность систем, устройств, учетных записей пользователей и политик безопасности, чтобы защититься от кибератак. Эту статью можно использовать в качестве руководства по подготовке плана.

При подготовке плана можно упорядочить различные задачи в две main категории, как указано в следующей таблице:

Тип задачи Sections
Задачи безопасности Ежедневные задачи безопасности
Еженедельные задачи безопасности
Ежемесячные задачи безопасности
Задачи безопасности для выполнения по мере необходимости
Общие задачи администрирования задачи центра Администратор
Пользователи, группы и пароли
Электронная почта и календари
Устройства
Подписки и выставление счетов

Задачи безопасности

Задачи безопасности обычно выполняются администраторами безопасности и операторами безопасности.

Ежедневные задачи безопасности

Задача Описание
Проверьте панель мониторинга управления уязвимостями угроз Получите snapshot уязвимости, просмотрев панель мониторинга управления уязвимостями, которая отражает уязвимость вашей организации к угрозам кибербезопасности. Высокая оценка означает, что ваши устройства более уязвимы к эксплойту.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Панель мониторинга управления > уязвимостями.

2. Ознакомьтесь с оценкой воздействия организации. Если она находится в допустимом диапазоне (значение "Высокая"), можно перейти к следующим шагам. Если это не так, щелкните Улучшить оценку, чтобы просмотреть дополнительные сведения и рекомендации по безопасности для ее улучшения.

Зная о своей оценке воздействия, вы сможете:
— Быстрое понимание и выявление общих сведений о состоянии безопасности в вашей организации
— Обнаружение областей, требующих исследования или действий для улучшения текущего состояния, и реагирование на них.
— Общение с одноранговым звеном и руководством о влиянии усилий по обеспечению безопасности
Просмотрите ожидающие выполнения действия в центре уведомлений При обнаружении угроз вступают в действие действия по исправлению . В зависимости от конкретной угрозы и заданных параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения, поэтому список действий следует регулярно отслеживать. Действия по исправлению отслеживаются в центре уведомлений.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Центр уведомлений.

2. Перейдите на вкладку Ожидание , чтобы просмотреть и утвердить (или отклонить) все ожидающие действия. Такие действия могут быть связаны с защитой от вирусов и вредоносных программ, автоматическими расследованиями, реагированием вручную или сеансами реагирования в реальном времени.

3. Перейдите на вкладку Журнал , чтобы просмотреть список выполненных действий.
Просмотрите устройства, на которых обнаружены угрозы При обнаружении угроз на устройствах ваша группа безопасности должна знать, чтобы можно было быстро выполнить все необходимые действия, такие как изоляция устройства.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Отчеты > Общий > отчет о безопасности.

2. Прокрутите вниз до строки "Уязвимые устройства ". Если угрозы были обнаружены на устройствах, вы увидите эту информацию в этой строке.
Узнайте о новых инцидентах или оповещениях По мере обнаружения угроз инициируются оповещения и создаются инциденты. Команда безопасности вашей компании может просматривать инциденты и управлять ими на портале Microsoft Defender.

1. На портале Microsoft Defender (https://security.microsoft.com) в меню навигации выберите Инциденты. На этой странице показаны инциденты и связанные с ними оповещения.

2. Выберите оповещение, чтобы открыть его всплывающий элемент, где можно узнать больше об оповещении.

3. Во всплывающем элементе можно просмотреть заголовок оповещения, просмотреть список затронутых ресурсов (например, конечные точки или учетные записи пользователей), выполнить доступные действия, а также использовать ссылки для просмотра дополнительных сведений и даже открыть страницу сведений для выбранного оповещения.
Запускайте проверки и исследования Ваша группа безопасности может инициировать сканирование или автоматическое исследование на устройстве с высоким уровнем риска или обнаруженными угрозами. В зависимости от результатов сканирования или автоматического исследования действия по исправлению могут выполняться автоматически или после утверждения.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Активы>устройства.

2. Выберите устройство, чтобы открыть его всплывющую панель, и просмотрите отображаемые сведения.
— Выберите многоточие (...), чтобы открыть меню действий.
— выберите действие, например Запустить антивирусную проверку или Инициировать автоматическое исследование.

Еженедельные задачи безопасности

Задача Описание
Мониторинг и улучшение оценки безопасности Майкрософт Оценка безопасности (Майкрософт) — это измерение состояния безопасности вашей организации. Более высокие цифры указывают на то, что требуется меньше действий по улучшению. С помощью оценки безопасности можно:
— Отчет о текущем состоянии безопасности вашей организации.
— Повышение уровня безопасности путем обеспечения возможности обнаружения, видимости, рекомендаций и контроля.
— Сравнивайте с эталонными показателями и устанавливайте ключевые показатели эффективности (КПЭ).

Чтобы проверка оценку, выполните следующие действия.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Оценка безопасности.

2. Просмотрите и придумайте решения об исправлениях и действиях, чтобы улучшить общую оценку безопасности Майкрософт.
Улучшение оценки безопасности для устройств Улучшение конфигурации безопасности путем устранения проблем с помощью списка рекомендаций по безопасности. По мере выполнения этих шагов оценка безопасности Майкрософт для устройств повышается, а ваша организация становится все более устойчивой к угрозам кибербезопасности и уязвимостям. Время, затраченное на проверку и улучшение оценки, всегда потрачено с пользой.

Чтобы проверка оценку безопасности, выполните следующие действия.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Оценка безопасности.

2. В карта Microsoft Secure Score for Devices (Оценка безопасности для устройств) на панели мониторинга Управление уязвимостями Defender выберите одну из категорий. Появится список рекомендаций, связанных с этой категорией, а также сами рекомендации.

3. Выберите элемент в списке, чтобы отобразить сведения, связанные с рекомендацией.

4. Выберите Параметры исправления.

5. Прочитайте описание, чтобы понять контекст проблемы и дальнейшие действия. Выберите дату выполнения, добавьте заметки и выберите Экспорт всех данных о действиях по исправлению в CSV , чтобы вложить их в сообщение электронной почты для дальнейших действий. Сообщение с подтверждением сообщает, что задача по исправлению создана.

6. Отправьте ит-администратору сообщение электронной почты и укажите время, отведенное для распространения исправлений в системе.

7. Вернитесь к microsoft Secure Score for Devices карта на панели мониторинга. В результате ваших действий количество рекомендаций по элементам управления безопасностью уменьшилось.

8. Выберите Элементы управления безопасностью , чтобы вернуться на страницу Рекомендации по безопасности. Обработанная рекомендация исчезла из списка, что привело к повышению оценки безопасности Майкрософт.

Ежемесячные задачи безопасности

Задача Описание
Запуск отчетов Несколько отчетов доступны на портале Microsoft Defender (https://security.microsoft.com).

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Отчеты.

2. Выберите отчет для просмотра. В каждом отчете содержится ряд категорий, актуальных для этого отчета.

3. Выберите Просмотреть сведения, чтобы просмотреть более подробные сведения для каждой категории.

4. Выберите название конкретной угрозы, чтобы просмотреть сведения о ней.

Задачи безопасности для выполнения по мере необходимости

Задача Описание
Управление ложноположительными и отрицательными результатами Ложноположительный результат — это сущность, например файл или процесс, который был обнаружен и определен как вредоносный, хотя сущность на самом деле не представляет угрозы. Ложноотрицательный — это сущность, которая не была обнаружена как угроза, хотя на самом деле является вредоносной. Ложноположительные или отрицательные меры могут возникать в любом решении для защиты от угроз, включая Microsoft Defender для Office 365 и Microsoft Defender для бизнеса, которые включены в Microsoft 365 бизнес премиум. К счастью, можно предпринять шаги для решения и устранения таких проблем.

Сведения о ложноположительных и отрицательных результатах на устройствах см. в разделе Устранение ложноположительных и отрицательных результатов в Microsoft Defender для конечной точки.

Сведения о ложноположительных или отрицательных результатах в сообщении электронной почты см. в следующих статьях:
- Обработка вредоносных сообщений электронной почты, доставляемых получателям (ложноотрицательных), с помощью Microsoft Defender для Office 365
- Обработка заблокированных (ложноположительных) сообщений электронной почты с помощью Microsoft Defender для Office 365
Укрепление состояния безопасности Defender для бизнеса включает панель мониторинга управления уязвимостями, которая предоставляет оценку уязвимости и позволяет просматривать сведения об открытых устройствах и просматривать соответствующие рекомендации по безопасности. Вы можете использовать панель мониторинга Управление уязвимостями Defender для снижения уязвимости и улучшения состояния безопасности организации.

См. следующие статьи:
- Использование панели мониторинга управления уязвимостями в Microsoft Defender для бизнеса
- Аналитика панели мониторинга
Настройка политик безопасности Отчеты доступны для просмотра сведений об обнаруженных угрозах, состоянии устройства и т. д. Иногда необходимо настроить политики безопасности. Например, можно применить строгую защиту к некоторым учетным записям пользователей или устройствам, а стандартную защиту — к другим.

См. следующие статьи:
— Для защиты устройств: просмотр или изменение политик в Microsoft Defender для бизнеса
— Для защиты электронной почты: рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Анализ отправки администратором Иногда необходимо отправлять сущности, такие как сообщения электронной почты, URL-адреса или вложения, в корпорацию Майкрософт для дальнейшего анализа. Элементы отчетности помогают уменьшить количество ложноположительных и отрицательных результатов и повысить точность обнаружения угроз.

См. следующие статьи:
- Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
- Администратор проверка сообщений, сообщаемые пользователем
Защита учетных записей приоритетных пользователей Не все учетные записи пользователей имеют доступ к одной и той же информации о компании. Некоторые учетные записи имеют доступ к конфиденциальной информации, такой как финансовые данные, сведения о разработке продуктов, доступ партнеров к критически важным системам сборки и многому другому. В случае компрометации учетные записи, имеющие доступ к строго конфиденциальной информации, представляют серьезную угрозу. Эти типы учетных записей называются учетными записями с приоритетом. К приоритетным учетным записям относятся (но не ограничиваются ими) руководители, cisos, финансовые директора, учетные записи администраторов инфраструктуры, системные учетные записи сборки и многое другое.

См. следующие статьи:
- Защита учетных записей администратора
- Рекомендации по безопасности для приоритетных учетных записей в Microsoft 365
Защита устройств с высоким риском Общая оценка риска устройства основана на сочетании факторов, таких как типы и серьезность активных оповещений на устройстве. По мере устранения активных оповещений, утверждения действий по исправлению и подавления последующих оповещений уровень риска снижается.

См. раздел Управление устройствами в Microsoft Defender для бизнеса.
Подключение или отключение устройств По мере замены или прекращения использования устройств, приобретения новых устройств или изменения бизнес-потребностей вы можете подключить или отключить устройства из Defender для бизнеса.

См. следующие статьи:
- Подключение устройств к Microsoft Defender для бизнеса
- Отключение устройства от Microsoft Defender для бизнеса
Исправление элемента Microsoft 365 бизнес премиум включает несколько действий по исправлению. Некоторые действия выполняются автоматически, а другие ожидают утверждения вашей группой безопасности.

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации перейдите в раздел Активы>устройства.

2. Выберите устройство, например устройство с высоким уровнем риска или уровнем подверженности. Откроется всплывающее окно, в котором отображаются дополнительные сведения об оповещениях и инцидентах, созданных для этого элемента.

3. Во всплывающем меню просмотрите отображаемые сведения. Щелкните многоточие (...), чтобы открыть меню со списком доступных действий.

4. Выберите доступное действие. Например, можно выбрать команду Выполнить антивирусную проверку, что приведет к запуску быстрой проверки Антивирусной программы в Microsoft Defender на устройстве. Кроме того, можно выбрать Начать автоматическое исследование, чтобы запустить автоматическое исследование на устройстве.

Действия по исправлению для устройств

В следующей таблице перечислены действия по исправлению, доступные для устройств в Microsoft 365 бизнес премиум и Defender для бизнеса.

Источник Действия
Автоматические исследования Поместить файл в карантин
Удаление раздела реестра
Завершение процесса
Остановка службы
Отключение драйвера
Удаление запланированной задачи
Ответные действия, выполняющиеся вручную Запуск проверки на вирусы
Изоляция устройства
Добавление индикатора для блокировки или разрешения файла
Реагирование в реальном времени Сбор данных судебной экспертизы
Анализ файла
Запуск сценария
Отправка подозрительной сущности в корпорацию Майкрософт для анализа
Исправление файла
Заблаговременный поиск угроз

Общие задачи администрирования

Обслуживание среды включает в себя управление учетными записями пользователей, управление устройствами, а также обеспечение актуальности и правильной работы. Администратор задачи обычно выполняются глобальными администраторами и администраторами клиентов. Дополнительные сведения о ролях администратора.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Если вы не знакомы с Microsoft 365, ознакомьтесь с обзором Центр администрирования Microsoft 365.

задачи центра Администратор

Задача Дополнительные ресурсы
Начало работы с Центр администрирования Microsoft 365 Обзор Центра администрирования Microsoft 365
Сведения о новых возможностях в Центр администрирования Microsoft 365 Новые возможности Центр администрирования Microsoft 365
Узнайте о новых обновлениях продуктов и функциях, которые помогут подготовить пользователей Следите за изменениями в продуктах и функциях Microsoft 365
Просмотр отчетов об использовании, чтобы узнать, как пользователи используют Microsoft 365 Отчеты по Microsoft 365 в Центре администрирования
Открыть запрос в службу технической поддержки Получение поддержки Microsoft 365 для бизнеса

Пользователи, группы и пароли

Задача Дополнительные ресурсы
Добавление нового пользователя Добавление нового сотрудника в Microsoft 365
Назначение и отмена лицензий для пользователей Назначение или отмена назначения лицензий для пользователей в Центр администрирования Microsoft 365

Назначение лицензий Microsoft 365 учетным записям пользователей с помощью PowerShell
Назначение ролей администратора пользователям, которым требуются разрешения администратора Назначение ролей администратора в Центр администрирования Microsoft 365

Назначение ролей администратора учетным записям пользователей Microsoft 365 с помощью PowerShell
Удаление лицензий пользователей Назначение или отмена назначения лицензий для пользователей в Центр администрирования Microsoft 365

Удаление лицензий Microsoft 365 из учетных записей пользователей с помощью PowerShell
Включение или отключение местоимений Включение или отключение местоимений для организации в Центр администрирования Microsoft 365
Определите, следует ли разрешить гостевой доступ к группам для всей организации или для отдельных групп.
(относится к Microsoft 365 бизнес премиум)
Гостевые пользователи в Центр администрирования Microsoft 365
Удаление учетной записи пользователя, когда кто-то покидает вашу организацию Обзор: удаление бывшего сотрудника и защита данных
Сброс паролей для учетных записей пользователей Сброс паролей в Microsoft 365 для бизнеса

Электронная почта и календари

Задача Дополнительные ресурсы
Перенос электронной почты и контактов из Gmail или другого поставщика электронной почты в Microsoft 365 Перенос электронной почты и контактов в Microsoft 365
Добавление подписи электронной почты, юридического заявления об отказе от ответственности или заявления о раскрытии информации в сообщения электронной почты, которые приходят или выходят Создание подписей и отказов от ответственности в масштабах всей организации
Настройка, изменение или удаление группы безопасности Создание, изменение или удаление группы безопасности в Центр администрирования Microsoft 365
Добавление пользователей в группу рассылки Добавление пользователя или контакта в группу рассылки Microsoft 365
Настройка общего почтового ящика, чтобы пользователи могли отслеживать и отправлять сообщения электронной почты с общих адресов электронной почты, таких как info@contoso.com Создание общего почтового ящика

Устройства

Задача Дополнительные ресурсы
Использование Windows Autopilot для настройки и предварительной настройки новых устройств или для сброса, повторного назначения и восстановления устройств
(относится к Microsoft 365 бизнес премиум)
Обзор Windows Autopilot
Просмотр текущего состояния устройств и управление ими Управление устройствами в Microsoft Defender для бизнеса
Подключение устройств к Defender для бизнеса Подключение устройств к Defender для бизнеса
Отключение устройств из Defender для бизнеса Отключение устройства от Defender для бизнеса
Управление устройствами с помощью Intune Что означает управление устройствами с помощью Intune?

Управление устройствами и управление функциями устройств в Microsoft Intune

Домены

Задача Дополнительные ресурсы
Добавление домена (например, contoso.com) в подписку Microsoft 365 Добавление домена в Microsoft 365
Приобретение домена Приобретение доменного имени
Удаление домена Удаление домена

Подписки и выставление счетов

Задача Дополнительные ресурсы
Просмотр счетов Просмотр счета или квитанции за подписку Microsoft 365 для бизнеса
Управление методами оплаты Управление методами оплаты
Изменение частоты платежей Изменение частоты выставления счетов за подписку Microsoft 365
Изменение адреса выставления счетов Изменение адресов выставления счетов в Microsoft 365 для бизнеса

См. также