Uç Nokta için Microsoft Defender Güvenlik İşlemleri Kılavuzu

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

Bu makalede, kuruluşunuzdaki Uç Nokta için Microsoft Defender başarıyla çalıştırma gereksinimleri ve görevlerine genel bir bakış sunun. Bu görevler, güvenlik operasyonları merkezinizin (SOC) algılanan Uç Nokta için Microsoft Defender güvenlik tehditlerini etkili bir şekilde algılamasına ve yanıtlamasına yardımcı olur.

Bu makalede güvenlik ekibinizin kuruluşunuz için gerçekleştirebileceği günlük, haftalık, aylık ve geçici görevler de açıklanır.

Not

Bunlar önerilen adımlardır; amaca uygun olduklarından emin olmak için bunları kendi ilkelerinize ve ortamınıza göre denetleyin.

Önkoşullar:

Microsoft Defender Uç Noktası, normal güvenlik işlemleri işleminizi destekleyecek şekilde ayarlanmalıdır. Bu belgede ele alınmasa da, aşağıdaki makaleler yapılandırma ve kurulum bilgilerini sağlar:

• Uç nokta için Defender genel ayarlarını yapılandırın

  • Genel
  • İzinler
  • Kurallar
  • Cihaz yönetimi
  • Microsoft Defender Güvenlik Merkezi saat dilimi ayarlarını yapılandırın

• Microsoft Defender XDR olay bildirimlerini ayarlama

  Tanımlı Microsoft Defender XDR olaylarında e-posta bildirimleri almak için e-posta bildirimlerini yapılandırmanız önerilir. Bkz . E-postayla olay bildirimleri.

• SIEM'e (Sentinel) bağlanma

  Mevcut güvenlik bilgileriniz ve olay yönetimi (SIEM) araçlarınız varsa bunları Microsoft Defender XDR ile tümleştirebilirsiniz. Bkz. SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme ve Microsoft Sentinel ile Microsoft Defender XDR tümleştirme.

• Veri bulma yapılandırmasını gözden geçirme

  Gerektiğinde yapılandırıldığından emin olmak için Uç Nokta için Microsoft Defender cihaz bulma yapılandırmasını gözden geçirin. Bkz . Cihaz bulmaya genel bakış.

Günlük etkinlikler

Genel

• Eylemleri gözden geçirme

  İşlem merkezinde, ortamınızda gerçekleştirilen eylemleri hem otomatik hem de el ile gözden geçirin. Bu bilgiler otomatik araştırma ve yanıtın (AIR) beklendiği gibi çalıştığını doğrulamanıza ve gözden geçirilmesi gereken tüm el ile eylemleri belirlemenize yardımcı olur. Düzeltme eylemlerini görmek için bkz. İşlem merkezini ziyaret edin.

Güvenlik operasyonları ekibi

• Microsoft Defender XDR Olayları kuyruğunun izlenmesi

  Uç Nokta için Microsoft Defender güvenlik ihlal göstergeleri (ICS) veya Saldırı göstergeleri (IOA) tanımlayıp bir uyarı oluşturduğunda, uyarı bir olaya dahil edilir ve Microsoft Defender portalındaki (https://security.microsoft.com) Olaylar kuyruğunda görüntülenir.

  Uç Nokta için Microsoft Defender uyarılarını yanıtlamak ve olay düzeltildikten sonra çözmek için bu olayları gözden geçirin. Bkz. E-posta ile olay bildirimleri ve Uç Nokta için Microsoft Defender Olayları kuyruğu görüntüleme ve düzenleme.

• Hatalı pozitif ve hatalı negatif algılamaları yönetme

  Olay sırasını gözden geçirin, hatalı pozitif ve hatalı negatif algılamaları belirleyin ve gözden geçirme için gönderin. Bu, ortamınızdaki uyarıları etkili bir şekilde yönetmenize ve uyarılarınızı daha verimli hale getirmenize yardımcı olur. Bkz. Uç Nokta için Microsoft Defender hatalı pozitif sonuçları/negatifleri adresle.

• Tehdit analizi yüksek etkili tehditleri gözden geçirme

  Ortamınızı etkileyen kampanyaları belirlemek için tehdit analizini gözden geçirin. "Yüksek etkili tehditler" tablosu, kuruluş üzerinde en yüksek etkiye sahip tehditleri listeler. Bu bölüm, tehditleri etkin uyarıları olan cihaz sayısına göre sıralar. Bkz. Tehdit analizi aracılığıyla yeni ortaya çıkan tehditleri izleme ve yanıtlama.

Güvenlik yönetimi ekibi

• Sistem durumu raporlarını gözden geçirme

  Ele alınması gereken cihaz durumu eğilimlerini belirlemek için sistem durumu raporlarını gözden geçirin. Cihaz durumu raporları Uç Nokta için Microsoft Defender AV imzasını, platform durumunu ve EDR durumunu kapsar. Bkz. Uç Nokta için Microsoft Defender'de cihaz durumu raporları.

• Uç nokta algılama ve yanıt (EDR) algılayıcı durumunu denetleme

  EDR sistem durumu, Uç Nokta için Defender'ın güvenlik açıklarını uyarmak ve tanımlamak için gerekli sinyalleri aldığından emin olmak için EDR hizmetiyle bağlantıyı sürdürmektedir.

  İyi durumda olmayan cihazları gözden geçirin. Bkz. Cihaz durumu, Algılayıcı sistem durumu & işletim sistemi raporu.

• Virüsten koruma Microsoft Defender durumunu denetleme

  Microsoft Defender Virüsten Koruma güncelleştirmelerinin durumunu görüntülemek, ortamınızda Uç Nokta için Defender'ın en iyi performansı ve güncel algılamalar için kritik öneme sahiptir. Cihaz durumu sayfası platform, zeka ve altyapı sürümü için geçerli durumu gösterir. Cihaz durumu Microsoft Defender Virüsten Koruma sistem durumu raporuna bakın.

Haftalık etkinlikler

Genel

• İleti Merkezi

  Microsoft Defender XDR, yeni ve değiştirilmiş özellikler, planlı bakım veya diğer önemli duyurular gibi yaklaşan değişiklikleri size bildirmek için Microsoft 365 İleti merkezini kullanır.

  Ortamınızı etkileyen yaklaşan değişiklikleri anlamak için İleti merkezi iletilerini gözden geçirin.

  Buna Sistem Durumu sekmesinin altındaki Microsoft 365 yönetim merkezi erişebilirsiniz. Bkz. Microsoft 365 hizmet durumunu denetleme.

Güvenlik operasyonları ekibi

• Tehdit raporlamayı gözden geçirme

  Ele alınması gereken cihaz tehdit eğilimlerini belirlemek için sistem durumu raporlarını gözden geçirin. Bkz. Tehdit koruma raporu.

• Tehdit analizini gözden geçirme

  Ortamınızı etkileyen kampanyaları belirlemek için tehdit analizini gözden geçirin. Bkz. Tehdit analizi aracılığıyla yeni ortaya çıkan tehditleri izleme ve yanıtlama.

Güvenlik yönetimi ekibi

• Tehdit ve güvenlik açığı (TVM) durumunu gözden geçirme

  Eylem gerektiren yeni güvenlik açıklarını ve önerileri belirlemek için TVM'yi gözden geçirin. Bkz. Güvenlik açığı yönetimi panosu.

• Saldırı yüzeyi azaltma raporlamasını gözden geçirme

  Ortamınızı etkileyen dosyaları belirlemek için ASR raporlarını gözden geçirin. Bkz. Saldırı yüzeyi azaltma kuralları raporu.

• Web koruması olaylarını gözden geçirme

  Engellenen IP adreslerini veya URL'leri belirlemek için web savunma raporunu gözden geçirin. Bkz. Web koruması.

Aylık etkinlikler

Genel

Son yayınlanan güncelleştirmeleri anlamak için aşağıdaki makaleleri gözden geçirin:

• Uç nokta için Microsoft Defender’daki yenilikler

• Windows'da Uç Nokta için Microsoft Defender'deki yenilikler

• Mac'te Uç Nokta için Microsoft Defender'deki yenilikler

• Linux'ta Uç Nokta için Microsoft Defender'deki yenilikler

• iOS'ta Uç Nokta için Microsoft Defender'deki yenilikler

• Android'de Uç Nokta için Microsoft Defender'deki yenilikler

Güvenlik yönetimi ekibi

• İlkenin dışında tutulan cihazı gözden geçirme

  Uç Nokta için Defender ilkelerinin dışında tutulan cihazlar varsa, cihazı gözden geçirin ve ilkenin dışında tutulması gerekip gerekmediğini belirleyin.

  Not

  Sorun giderme modunu gözden geçirin. Bkz. Uç Nokta için Microsoft Defender sorun giderme modunu kullanmaya başlama.

Düzenli olarak

Bu görevler, güvenlik duruşunuz için bakım olarak görülür ve devam eden korumanız için kritik önem taşır. Ancak bunlar zaman ve çaba alabildiği için, bu görevleri gerçekleştirmek için tutabileceğiniz standart bir zamanlama ayarlamanız önerilir.

• Dışlamaları gözden geçirme

  Artık dışlanması gerekmeyen öğeleri dışlayarak bir koruma boşluğu oluşturmadığınızdan emin olmak için ortamınızda ayarlanan dışlamaları gözden geçirin.

• Defender ilke yapılandırmalarını gözden geçirme

  Gerektiğinde ayarlandığını onaylamak için Defender yapılandırma ayarlarınızı düzenli aralıklarla gözden geçirin.

• Otomasyon düzeylerini gözden geçirme

  Otomatik araştırma ve düzeltme özelliklerindeki otomasyon düzeylerini gözden geçirin. Bkz . Otomatik araştırma ve düzeltmede otomasyon düzeyleri.

• Özel algılamaları gözden geçirme

  Oluşturulan özel algılamaların hala geçerli ve etkili olup olmadığını düzenli aralıklarla gözden geçirin. Bkz . Özel algılamayı gözden geçirme.

• Uyarıları engellemeyi gözden geçirme

  Hala gerekli ve geçerli olduklarını onaylamak için oluşturulan uyarı engelleme kurallarını düzenli aralıklarla gözden geçirin. Bkz . Uyarıları engellemeyi gözden geçirme.

Sorun giderme

Aşağıdaki makaleler, Uç Nokta için Microsoft Defender hizmetinizi ayarlarken karşılaşabileceğiniz hataları gidermeye ve düzeltmeye yönelik yönergeler sağlar.

• Algılayıcı durumu sorunlarını giderme
• İstemci Çözümleyicisi ile algılayıcı sistem durumu sorunlarını giderin
• Canlı yanıt sorunlarını giderin
• LiveAnalyzer kullanarak destek günlüklerini toplayın
• Saldırı yüzeyini azaltma sorunlarını giderin
• Katılım sorunlarını giderin

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.