Microsoft Defender for Endpoint Průvodce provozem zabezpečení
Platí pro:
Tento článek poskytuje přehled požadavků a úkolů pro úspěšné provozování Microsoft Defender for Endpoint ve vaší organizaci. Tyto úlohy pomáhají vašemu centru SOC (Security Operations Center) efektivně zjišťovat a reagovat na Microsoft Defender for Endpoint zjištěné bezpečnostní hrozby.
Tento článek také popisuje každodenní, týdenní, měsíční a ad hoc úkoly, které může bezpečnostní tým provádět ve vaší organizaci.
Poznámka
Toto jsou doporučené kroky. zkontrolujte je ve svých vlastních zásadách a prostředí, abyste se ujistili, že odpovídají účelu.
Požadavky:
Koncový bod Microsoft Defender by měl být nastavený tak, aby podporoval váš běžný proces operací zabezpečení. I když tento dokument není popsaný, následující články obsahují informace o konfiguraci a nastavení:
Konfigurace obecných nastavení aplikace Defender for Endpoint
- Obecné
- Oprávnění
- Pravidla
- Správa zařízení
- Konfigurace nastavení časového pásma Centra zabezpečení aplikace Microsoft Defender
Nastavení oznámení incidentů Microsoft Defender XDR
Pokud chcete dostávat e-mailová oznámení o definovaných incidentech Microsoft Defender XDR, doporučujeme nakonfigurovat e-mailová oznámení. Viz Oznámení incidentů e-mailem.
Připojení k SIEM (Sentinel)
Pokud máte existující nástroje pro správu událostí a informací o zabezpečení (SIEM), můžete je integrovat s Microsoft Defender XDR. Viz Integrace nástrojů SIEM s Microsoft Defender XDR a Microsoft Defender XDR integrace se službou Microsoft Sentinel.
Kontrola konfigurace zjišťování dat
Zkontrolujte konfiguraci zjišťování zařízení Microsoft Defender for Endpoint a ujistěte se, že je nakonfigurovaná podle potřeby. Viz Přehled zjišťování zařízení.
Denní aktivity
Obecné
Kontrola akcí
V centru akcí zkontrolujte akce, které byly provedeny ve vašem prostředí, a to jak automatizované, tak ruční. Tyto informace vám pomůžou ověřit, že automatizované šetření a reakce (AIR) funguje podle očekávání, a identifikovat všechny ruční akce, které je potřeba zkontrolovat. Informace o nápravných akcích najdete v tématu Věnovaném centru akcí.
Tým operací zabezpečení
Monitorování fronty incidentů Microsoft Defender XDR
Když Microsoft Defender for Endpoint identifikuje indikátory ohrožení (IOC) nebo Indikátory útoku (IOA) a vygeneruje výstrahu, výstraha se zahrne do incidentu a zobrazí se ve frontě Incidenty na portálu Microsoft Defender (https://security.microsoft.com).
Projděte si tyto incidenty, abyste reagovali na všechny výstrahy Microsoft Defender for Endpoint a vyřešte je, jakmile se incident napraví. Viz Oznámení incidentů e-mailem a Zobrazení a uspořádání fronty Microsoft Defender for Endpoint Incidenty.
Správa falešně pozitivních a falešně negativních detekcí
Zkontrolujte frontu incidentů, identifikujte falešně pozitivní a falešně negativní detekce a odešlete je ke kontrole. To vám pomůže efektivně spravovat výstrahy ve vašem prostředí a zefektivnit výstrahy. Viz Řešení falešně pozitivních/negativních výsledků v Microsoft Defender for Endpoint.
Kontrola hrozeb s vysokým dopadem na analýzy hrozeb
Zkontrolujte analýzu hrozeb a identifikujte kampaně, které mají vliv na vaše prostředí. Tabulka "Hrozby s vysokým dopadem" obsahuje seznam hrozeb, které měly největší dopad na organizaci. Tato část řadí hrozby podle počtu zařízení s aktivními výstrahami. Viz Sledování nově vznikajících hrozeb a reakce na ně prostřednictvím analýzy hrozeb.
Tým správy zabezpečení
Kontrola sestav o stavu
Zkontrolujte sestavy o stavu a identifikujte trendy stavu zařízení, které je potřeba řešit. Sestavy o stavu zařízení se týkají Microsoft Defender for Endpoint podpisu AV, stavu platformy a stavu EDR. Viz Sestavy stavu zařízení v Microsoft Defender for Endpoint.
Kontrola stavu senzoru detekce a odezvy koncových bodů (EDR)
Stav EDR udržuje připojení ke službě EDR, aby se zajistilo, že Defender for Endpoint přijímá požadované signály k upozornění a identifikaci ohrožení zabezpečení.
Zkontrolujte zařízení, která nejsou v pořádku. Viz Stav zařízení, Stav senzoru & sestava operačního systému.
Kontrola stavu antivirové ochrany Microsoft Defender
Zobrazení stavu Microsoft Defender aktualizací antivirové ochrany je důležité pro zajištění nejlepšího výkonu defenderu for Endpoint ve vašem prostředí a aktuálních detekcí. Na stránce stavu zařízení se zobrazuje aktuální stav platformy, inteligentních funkcí a verze modulu. Podívejte se na sestavu Stav zařízení, Microsoft Defender Antivirus.
Týdenní aktivity
Obecné
Centrum zpráv
Microsoft Defender XDR používá Centrum zpráv Microsoft 365 k upozornění na nadcházející změny, jako jsou nové a změněné funkce, plánovaná údržba nebo jiná důležitá oznámení.
Projděte si zprávy Centra zpráv a seznamte se s připravovanými změnami, které mají vliv na vaše prostředí.
Můžete k tomu získat přístup v Centrum pro správu Microsoftu 365 na kartě Stav. Viz Jak zkontrolovat stav služby Microsoft 365.
Tým operací zabezpečení
Kontrola hlášení hrozeb
Zkontrolujte sestavy o stavu a identifikujte všechny trendy hrozeb zařízení, které je potřeba řešit. Viz Sestava ochrany před hrozbami.
Kontrola analýzy hrozeb
Zkontrolujte analýzu hrozeb a identifikujte všechny kampaně, které ovlivňují vaše prostředí. Viz Sledování nově vznikajících hrozeb a reakce na ně prostřednictvím analýzy hrozeb.
Tým správy zabezpečení
Kontrola stavu hrozeb a ohrožení zabezpečení (TVM)
Zkontrolujte TVM a identifikujte všechna nová ohrožení zabezpečení a doporučení, která vyžadují akci. Viz Řídicí panel správy ohrožení zabezpečení.
Kontrola hlášení o omezení potenciální oblasti útoku
Zkontrolujte sestavy ASR a identifikujte všechny soubory, které ovlivňují vaše prostředí. Viz Sestava pravidel omezení potenciální oblasti útoku.
Kontrola událostí webové ochrany
Zkontrolujte sestavu webové ochrany a identifikujte všechny IP adresy nebo adresy URL, které jsou blokované. Viz Webová ochrana.
Měsíční aktivity
Obecné
Informace o nedávno vydaných aktualizacích najdete v následujících článcích:
Tým správy zabezpečení
Kontrola zařízení vyloučeného ze zásad
Pokud jsou některá zařízení vyloučená ze zásad Defenderu for Endpoint, zkontrolujte a určete, jestli je stále potřeba ze zásad vyloučit.
Poznámka
Projděte si režim řešení potíží. Viz Začínáme s režimem řešení potíží v Microsoft Defender for Endpoint.
Pravidelně
Tyto úlohy jsou považovány za údržbu stavu zabezpečení a jsou důležité pro vaši průběžnou ochranu. Ale vzhledem k tomu, že to může časově a úsilí trvat, doporučujeme nastavit standardní plán, který můžete k provádění těchto úloh udržovat.
Kontrola vyloučení
Zkontrolujte vyloučení nastavená ve vašem prostředí a ověřte, že jste nevytvořili mezeru v ochraně tím, že vyloučíte věci, které už není potřeba vyloučit.
Kontrola konfigurací zásad Defenderu
Pravidelně kontrolujte nastavení konfigurace Defenderu a ověřte, že jsou nastavená podle potřeby.
Kontrola úrovní automatizace
Projděte si úrovně automatizace v automatizovaných možnostech vyšetřování a nápravy. Viz Úrovně automatizace v automatizovaném vyšetřování a nápravě.
Kontrola vlastních detekcí
Pravidelně zkontrolujte, jestli jsou vytvořené vlastní detekce stále platné a efektivní. Viz Kontrola vlastního zjišťování.
Kontrola potlačení upozornění
Pravidelně kontrolujte všechna vytvořená pravidla potlačení upozornění a ověřte, že jsou stále povinná a platná. Viz Kontrola potlačení upozornění.
Řešení problémů
Následující články obsahují pokyny k řešení a opravě chyb, ke kterým může dojít při nastavování služby Microsoft Defender for Endpoint.
- Řešení potíží se stavem senzoru
- Řešení potíží se stavem senzoru pomocí nástroje Client Analyzer
- Řešení problémů s okamžitou reakcí
- Shromažďování protokolů podpory pomocí služby LiveAnalyzer
- Řešení problémů s omezením potenciální oblasti útoku
- Řešení potíží s onboardingem
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.