vejledning til Microsoft Defender for Endpoint sikkerhedshandlinger

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Denne artikel indeholder en oversigt over kravene og opgaverne for korrekt drift af Microsoft Defender for Endpoint i din organisation. Disse opgaver hjælper dit SOC (Security Operations Center) med effektivt at registrere og reagere på Microsoft Defender for Endpoint registrerede sikkerhedstrusler.

I denne artikel beskrives også daglige, ugentlige, månedlige og ad hoc-opgaver, som dit sikkerhedsteam kan udføre for din organisation.

Bemærk!

Disse er anbefalede trin. tjek dem i forhold til dine egne politikker og miljø for at sikre, at de passer til formålet.

Forudsætninger:

Det Microsoft Defender slutpunkt skal konfigureres til at understøtte din almindelige sikkerhedshandlinger. Selvom de ikke er beskrevet i dette dokument, indeholder følgende artikler konfigurations- og konfigurationsoplysninger:

• Konfigurer generelle indstillinger for Defender for Endpoint

  • Generel
  • Tilladelser
  • Regler
  • Enhedshåndtering
  • Konfigurer Microsoft Defender Security Center tidszoneindstillinger

• Konfigurer meddelelser om Microsoft Defender XDR hændelser

  Hvis du vil hente mailmeddelelser om definerede Microsoft Defender XDR hændelser, anbefales det, at du konfigurerer mailmeddelelser. Se Meddelelser om hændelser via mail.

• Opret forbindelse til SIEM (Sentinel)

  Hvis du har eksisterende SIEM-værktøjer (Security Information And Event Management), kan du integrere dem med Microsoft Defender XDR. Se Integrer dine SIEM-værktøjer med Microsoft Defender XDR og Microsoft Defender XDR integration med Microsoft Sentinel.

• Gennemse konfigurationen af dataregistrering

  Gennemse Microsoft Defender for Endpoint konfiguration af enhedsregistrering for at sikre, at den er konfigureret efter behov. Se Oversigt over enhedsregistrering.

Daglige aktiviteter

Generel

• Gennemse handlinger

  Gennemse de handlinger, der er udført i dit miljø, både automatiseret og manuelt, i Handlingscenter. Disse oplysninger hjælper dig med at validere, at automatiseret undersøgelse og svar (AIR) fungerer som forventet, og identificere eventuelle manuelle handlinger, der skal gennemses. Se Besøg Løsningscenter for at se afhjælpningshandlinger.

Team for sikkerhedshandlinger

• Overvåg køen Microsoft Defender XDR hændelser

  Når Microsoft Defender for Endpoint identificerer indikatorer for kompromitterede (IOCs) eller indikatorer for angreb (IOA'er) og genererer en besked, medtages beskeden i en hændelse og vises i køen Hændelser på Microsoft Defender-portalen (https://security.microsoft.com).

  Gennemse disse hændelser for at besvare alle Microsoft Defender for Endpoint beskeder og løse problemet, når hændelsen er blevet løst. Se Meddelelser om hændelser via mail og Få vist og organiser køen Microsoft Defender for Endpoint hændelser.

• Administrer registreringer af falske positive og falske negative

  Gennemse hændelseskøen, identificer falske positive og falske negative registreringer, og send dem til gennemsyn. Dette hjælper dig med effektivt at administrere beskeder i dit miljø og gøre dine beskeder mere effektive. Se Address false positive/negatives in Microsoft Defender for Endpoint.

• Gennemse trusselsanalyser med stor indvirkning på trusler

  Gennemse trusselsanalyser for at identificere eventuelle kampagner, der påvirker dit miljø. Tabellen "Trusler med stor indvirkning" viser de trusler, der har haft den største indvirkning på organisationen. I dette afsnit rangordnes trusler efter antallet af enheder, der har aktive beskeder. Se Spor og reager på nye trusler via trusselsanalyser.

Sikkerhedsadministrationsteam

• Gennemse tilstandsrapporter

  Gennemse tilstandsrapporter for at identificere eventuelle tendenser for enhedens tilstand, der skal håndteres. Rapporterne over enhedens tilstand dækker Microsoft Defender for Endpoint AV-signatur, platformtilstand og EDR-tilstand. Se Rapporter om enhedstilstand i Microsoft Defender for Endpoint.

• Kontrollér EDR-sensortilstand (Endpoint Detection and Response)

  EDR-tilstand vedligeholder forbindelsen til EDR-tjenesten for at sikre, at Defender for Endpoint modtager de nødvendige signaler til at advare og identificere sikkerhedsrisici.

  Gennemse usunde enheder. Se Enhedstilstand, Sensortilstand & OS-rapport.

• Kontrollér Microsoft Defender Antiviruss tilstand

  Visning af status for Microsoft Defender Antivirus-opdateringer er afgørende for den bedste ydeevne af Defender for Endpoint i dit miljø og opdaterede registreringer. På siden enhedstilstand vises den aktuelle status for platform-, intelligens- og programversion. Se rapporten Enhedstilstand, Microsoft Defender Antivirustilstand.

Ugentlige aktiviteter

Generel

• Meddelelsescenter

  Microsoft Defender XDR bruger Microsoft 365 Meddelelsescenter til at give dig besked om kommende ændringer, f.eks. nye og ændrede funktioner, planlagt vedligeholdelse eller andre vigtige meddelelser.

  Gennemse meddelelserne i Meddelelsescenter for at forstå eventuelle kommende ændringer, der påvirker dit miljø.

  Du kan få adgang til dette i Microsoft 365 Administration under fanen Tilstand. Se Sådan kontrollerer du Tjenestetilstand for Microsoft 365.

Team for sikkerhedshandlinger

• Gennemse trusselsrapportering

  Gennemse tilstandsrapporter for at identificere eventuelle tendenser for enhedstrusler, der skal håndteres. Se Rapport om trusselsbeskyttelse.

• Gennemse trusselsanalyse

  Gennemse trusselsanalyser for at identificere eventuelle kampagner, der påvirker dit miljø. Se Spor og reager på nye trusler via trusselsanalyser.

Sikkerhedsadministrationsteam

• Gennemse status for trussel og sårbarhed (TVM)

  Gennemse TVM for at identificere eventuelle nye sikkerhedsrisici og anbefalinger, der kræver handling. Se Dashboard til administration af sårbarheder.

• Gennemse rapportering om reduktion af angrebsoverfladen

  Gennemse ASR-rapporter for at identificere filer, der påvirker dit miljø. Se Rapport over regler for reduktion af angrebsoverfladen.

• Gennemse webbeskyttelseshændelser

  Gennemse webforsvarsrapporten for at identificere eventuelle IP-adresser eller URL-adresser, der er blokeret. Se Webbeskyttelse.

Månedlige aktiviteter

Generel

Gennemse følgende artikler for at forstå nyligt udgivne opdateringer:

• Nyheder i Microsoft Defender for Endpoint

• Nyheder i Microsoft Defender for Endpoint i Windows

• Nyheder i Microsoft Defender for Endpoint på Mac

• Nyheder i Microsoft Defender for Endpoint på Linux

• Nyheder i Microsoft Defender for Endpoint på iOS

• Nyheder i Microsoft Defender for Endpoint på Android

Sikkerhedsadministrationsteam

• Gennemse enhed, der er udelukket fra politikken

  Hvis nogen enheder er udelukket fra Defender for Endpoint-politikker, skal du gennemse og afgøre, om enheden stadig skal udelades fra politikken.

  Bemærk!

  Gennemse fejlfindingstilstanden for at få oplysninger om fejlfinding. Se Kom i gang med fejlfindingstilstand i Microsoft Defender for Endpoint.

Regelmæssigt

Disse opgaver betragtes som vedligeholdelse af din sikkerhedsholdning og er afgørende for din løbende beskyttelse. Men da de kan tage tid og kræfter, anbefales det, at du angiver en standardplan, som du kan vedligeholde for at udføre disse opgaver.

• Gennemse udeladelser

  Gennemse undtagelser, der er angivet i dit miljø, for at bekræfte, at du ikke har oprettet et beskyttelsesgab ved at udelade ting, der ikke længere behøver at blive udelukket.

• Gennemse konfigurationer af Defender-politik

  Gennemse jævnligt dine Defender-konfigurationsindstillinger for at bekræfte, at de er angivet efter behov.

• Gennemse automatiseringsniveauer

  Gennemse automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner. Se Automatiseringsniveauer i automatiseret undersøgelse og afhjælpning.

• Gennemse brugerdefinerede registreringer

  Gennemse jævnligt, om de brugerdefinerede registreringer, der er blevet oprettet, stadig er gyldige og effektive. Se Gennemse brugerdefineret registrering.

• Gennemse undertrykkelse af beskeder

  Gennemse jævnligt eventuelle regler for undertrykkelse af beskeder, der er blevet oprettet, for at bekræfte, at de stadig er påkrævede og gyldige. Se Gennemse undertrykkelse af beskeder.

Fejlfinding

Følgende artikler indeholder en vejledning i fejlfinding og rettelse af fejl, som du kan opleve, når du konfigurerer din Microsoft Defender for Endpoint-tjeneste.

• Foretag fejlfinding af sensortilstand
• Fejlfinding af problemer med sensorens tilstand ved hjælp af Client Analyzer
• Fejlfinding af problemer med Direkte svar
• Indsaml supportlogfiler ved hjælp af LiveAnalyzer
• Fejlfinding af problemer med reduktion af angrebsoverfladen
• Fejlfinding af problemer med onboarding

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.