Uç Nokta için Microsoft Defender Güvenlik İşlemleri Kılavuzu
Şunlar için geçerlidir:
Bu makalede, kuruluşunuzdaki Uç Nokta için Microsoft Defender başarıyla çalıştırma gereksinimleri ve görevlerine genel bir bakış sunun. Bu görevler, güvenlik operasyonları merkezinizin (SOC) algılanan Uç Nokta için Microsoft Defender güvenlik tehditlerini etkili bir şekilde algılamasına ve yanıtlamasına yardımcı olur.
Bu makalede güvenlik ekibinizin kuruluşunuz için gerçekleştirebileceği günlük, haftalık, aylık ve geçici görevler de açıklanır.
Not
Bunlar önerilen adımlardır; amaca uygun olduklarından emin olmak için bunları kendi ilkelerinize ve ortamınıza göre denetleyin.
Önkoşullar:
Microsoft Defender Uç Noktası, normal güvenlik işlemleri işleminizi destekleyecek şekilde ayarlanmalıdır. Bu belgede ele alınmasa da, aşağıdaki makaleler yapılandırma ve kurulum bilgilerini sağlar:
Uç nokta için Defender genel ayarlarını yapılandırın
- Genel
- İzinler
- Kurallar
- Cihaz yönetimi
- Microsoft Defender Güvenlik Merkezi saat dilimi ayarlarını yapılandırın
Microsoft Defender XDR olay bildirimlerini ayarlama
Tanımlı Microsoft Defender XDR olaylarında e-posta bildirimleri almak için e-posta bildirimlerini yapılandırmanız önerilir. Bkz . E-postayla olay bildirimleri.
SIEM'e (Sentinel) bağlanma
Mevcut güvenlik bilgileriniz ve olay yönetimi (SIEM) araçlarınız varsa bunları Microsoft Defender XDR ile tümleştirebilirsiniz. Bkz. SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme ve Microsoft Sentinel ile Microsoft Defender XDR tümleştirme.
Veri bulma yapılandırmasını gözden geçirme
Gerektiğinde yapılandırıldığından emin olmak için Uç Nokta için Microsoft Defender cihaz bulma yapılandırmasını gözden geçirin. Bkz . Cihaz bulmaya genel bakış.
Günlük etkinlikler
Genel
Eylemleri gözden geçirme
İşlem merkezinde, ortamınızda gerçekleştirilen eylemleri hem otomatik hem de el ile gözden geçirin. Bu bilgiler otomatik araştırma ve yanıtın (AIR) beklendiği gibi çalıştığını doğrulamanıza ve gözden geçirilmesi gereken tüm el ile eylemleri belirlemenize yardımcı olur. Düzeltme eylemlerini görmek için bkz. İşlem merkezini ziyaret edin.
Güvenlik operasyonları ekibi
Microsoft Defender XDR Olayları kuyruğunun izlenmesi
Uç Nokta için Microsoft Defender güvenlik ihlal göstergeleri (ICS) veya Saldırı göstergeleri (IOA) tanımlayıp bir uyarı oluşturduğunda, uyarı bir olaya dahil edilir ve Microsoft Defender portalındaki (https://security.microsoft.com) Olaylar kuyruğunda görüntülenir.
Uç Nokta için Microsoft Defender uyarılarını yanıtlamak ve olay düzeltildikten sonra çözmek için bu olayları gözden geçirin. Bkz. E-posta ile olay bildirimleri ve Uç Nokta için Microsoft Defender Olayları kuyruğu görüntüleme ve düzenleme.
Hatalı pozitif ve hatalı negatif algılamaları yönetme
Olay sırasını gözden geçirin, hatalı pozitif ve hatalı negatif algılamaları belirleyin ve gözden geçirme için gönderin. Bu, ortamınızdaki uyarıları etkili bir şekilde yönetmenize ve uyarılarınızı daha verimli hale getirmenize yardımcı olur. Bkz. Uç Nokta için Microsoft Defender hatalı pozitif sonuçları/negatifleri adresle.
Tehdit analizi yüksek etkili tehditleri gözden geçirme
Ortamınızı etkileyen kampanyaları belirlemek için tehdit analizini gözden geçirin. "Yüksek etkili tehditler" tablosu, kuruluş üzerinde en yüksek etkiye sahip tehditleri listeler. Bu bölüm, tehditleri etkin uyarıları olan cihaz sayısına göre sıralar. Bkz. Tehdit analizi aracılığıyla yeni ortaya çıkan tehditleri izleme ve yanıtlama.
Güvenlik yönetimi ekibi
Sistem durumu raporlarını gözden geçirme
Ele alınması gereken cihaz durumu eğilimlerini belirlemek için sistem durumu raporlarını gözden geçirin. Cihaz durumu raporları Uç Nokta için Microsoft Defender AV imzasını, platform durumunu ve EDR durumunu kapsar. Bkz. Uç Nokta için Microsoft Defender'de cihaz durumu raporları.
Uç nokta algılama ve yanıt (EDR) algılayıcı durumunu denetleme
EDR sistem durumu, Uç Nokta için Defender'ın güvenlik açıklarını uyarmak ve tanımlamak için gerekli sinyalleri aldığından emin olmak için EDR hizmetiyle bağlantıyı sürdürmektedir.
İyi durumda olmayan cihazları gözden geçirin. Bkz. Cihaz durumu, Algılayıcı sistem durumu & işletim sistemi raporu.
Virüsten koruma Microsoft Defender durumunu denetleme
Microsoft Defender Virüsten Koruma güncelleştirmelerinin durumunu görüntülemek, ortamınızda Uç Nokta için Defender'ın en iyi performansı ve güncel algılamalar için kritik öneme sahiptir. Cihaz durumu sayfası platform, zeka ve altyapı sürümü için geçerli durumu gösterir. Cihaz durumu Microsoft Defender Virüsten Koruma sistem durumu raporuna bakın.
Haftalık etkinlikler
Genel
İleti Merkezi
Microsoft Defender XDR, yeni ve değiştirilmiş özellikler, planlı bakım veya diğer önemli duyurular gibi yaklaşan değişiklikleri size bildirmek için Microsoft 365 İleti merkezini kullanır.
Ortamınızı etkileyen yaklaşan değişiklikleri anlamak için İleti merkezi iletilerini gözden geçirin.
Buna Sistem Durumu sekmesinin altındaki Microsoft 365 yönetim merkezi erişebilirsiniz. Bkz. Microsoft 365 hizmet durumunu denetleme.
Güvenlik operasyonları ekibi
Tehdit raporlamayı gözden geçirme
Ele alınması gereken cihaz tehdit eğilimlerini belirlemek için sistem durumu raporlarını gözden geçirin. Bkz. Tehdit koruma raporu.
Tehdit analizini gözden geçirme
Ortamınızı etkileyen kampanyaları belirlemek için tehdit analizini gözden geçirin. Bkz. Tehdit analizi aracılığıyla yeni ortaya çıkan tehditleri izleme ve yanıtlama.
Güvenlik yönetimi ekibi
Tehdit ve güvenlik açığı (TVM) durumunu gözden geçirme
Eylem gerektiren yeni güvenlik açıklarını ve önerileri belirlemek için TVM'yi gözden geçirin. Bkz. Güvenlik açığı yönetimi panosu.
Saldırı yüzeyi azaltma raporlamasını gözden geçirme
Ortamınızı etkileyen dosyaları belirlemek için ASR raporlarını gözden geçirin. Bkz. Saldırı yüzeyi azaltma kuralları raporu.
Web koruması olaylarını gözden geçirme
Engellenen IP adreslerini veya URL'leri belirlemek için web savunma raporunu gözden geçirin. Bkz. Web koruması.
Aylık etkinlikler
Genel
Son yayınlanan güncelleştirmeleri anlamak için aşağıdaki makaleleri gözden geçirin:
Güvenlik yönetimi ekibi
İlkenin dışında tutulan cihazı gözden geçirme
Uç Nokta için Defender ilkelerinin dışında tutulan cihazlar varsa, cihazı gözden geçirin ve ilkenin dışında tutulması gerekip gerekmediğini belirleyin.
Not
Sorun giderme modunu gözden geçirin. Bkz. Uç Nokta için Microsoft Defender sorun giderme modunu kullanmaya başlama.
Düzenli olarak
Bu görevler, güvenlik duruşunuz için bakım olarak görülür ve devam eden korumanız için kritik önem taşır. Ancak bunlar zaman ve çaba alabildiği için, bu görevleri gerçekleştirmek için tutabileceğiniz standart bir zamanlama ayarlamanız önerilir.
Dışlamaları gözden geçirme
Artık dışlanması gerekmeyen öğeleri dışlayarak bir koruma boşluğu oluşturmadığınızdan emin olmak için ortamınızda ayarlanan dışlamaları gözden geçirin.
Defender ilke yapılandırmalarını gözden geçirme
Gerektiğinde ayarlandığını onaylamak için Defender yapılandırma ayarlarınızı düzenli aralıklarla gözden geçirin.
Otomasyon düzeylerini gözden geçirme
Otomatik araştırma ve düzeltme özelliklerindeki otomasyon düzeylerini gözden geçirin. Bkz . Otomatik araştırma ve düzeltmede otomasyon düzeyleri.
Özel algılamaları gözden geçirme
Oluşturulan özel algılamaların hala geçerli ve etkili olup olmadığını düzenli aralıklarla gözden geçirin. Bkz . Özel algılamayı gözden geçirme.
Uyarıları engellemeyi gözden geçirme
Hala gerekli ve geçerli olduklarını onaylamak için oluşturulan uyarı engelleme kurallarını düzenli aralıklarla gözden geçirin. Bkz . Uyarıları engellemeyi gözden geçirme.
Sorun giderme
Aşağıdaki makaleler, Uç Nokta için Microsoft Defender hizmetinizi ayarlarken karşılaşabileceğiniz hataları gidermeye ve düzeltmeye yönelik yönergeler sağlar.
- Algılayıcı durumu sorunlarını giderme
- İstemci Çözümleyicisi ile algılayıcı sistem durumu sorunlarını giderin
- Canlı yanıt sorunlarını giderin
- LiveAnalyzer kullanarak destek günlüklerini toplayın
- Saldırı yüzeyini azaltma sorunlarını giderin
- Katılım sorunlarını giderin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.