Microsoft Defender for Endpoint suojaustoiminnon opas

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Tässä artikkelissa annetaan yleiskatsaus Microsoft Defender for Endpoint käyttämisen edellytykseen ja tehtäviin organisaatiossasi. Näiden tehtävien avulla tietoturvakeskus (SOC) tunnistaa Microsoft Defender for Endpoint havaittuja tietoturvauhkia ja vastaa niihin tehokkaasti.

Tässä artikkelissa kuvataan myös päivittäiset, viikoittaiset, kuukausittaiset ja tilapäiset tehtävät, joita tietoturvatiimisi voi suorittaa organisaatiollesi.

Huomautus

Nämä ovat suositeltuja vaiheita: vertaa niitä omiin käytäntöihisi ja ympäristöösi ja varmista, että ne sopivat tarkoitukseensa.

Edellytykset:

Microsoft Defender päätepiste on määritettävä tukemaan tavallista suojaustoimintoprosessia. Vaikka seuraavat artikkelit eivät sisälly tähän asiakirjaan, ne sisältävät määritys- ja määritystietoja:

• Määritä yleiset Defender for Endpoint -asetukset

  • Yleiset
  • Käyttöoikeudet
  • Säännöt
  • Laitehallinta
  • Määritä Microsoft Defender Security Centerin aikavyöhykeasetukset

• Tapahtumailmoitusten Microsoft Defender XDR määrittäminen

  Jos haluat saada sähköposti-ilmoituksia määritetyistä Microsoft Defender XDR tapauksista, on suositeltavaa määrittää sähköposti-ilmoitukset. Katso Tapausilmoitukset sähköpostitse.

• Muodosta yhteys SIEM:hen (Sentinel)

  Jos sinulla on olemassa olevia suojaustietojen ja tapahtumienhallintatyökalujen (SIEM) työkaluja, voit integroida ne Microsoft Defender XDR kanssa. Katso SIEM-työkalujen integrointi Microsoft Defender XDR ja Microsoft Defender XDR integroinnilla Microsoft Sentineliin.

• Tietojen etsinnän määritysten tarkistaminen

  Tarkista Microsoft Defender for Endpoint laitteiden etsintämääritykset ja varmista, että ne on määritetty tarvittaessa. Katso Laitteiden etsinnän yleiskatsaus.

Päivittäiset aktiviteetit

Yleiset

• Tarkista toiminnot

  Tutustu toimintokeskuksessa sekä automaattisiin että manuaalisiin ympäristöösi tehtyihin toimintoihin. Näiden tietojen avulla voit varmistaa, että automaattinen tutkimus ja reagointi (AIR) toimii odotetulla tavalla, ja tunnistaa mahdolliset manuaaliset toimet, jotka on tarkistettava. Katso korjaustoiminnot artikkelista Toimintokeskuksessa käyminen.

Suojaustoimintaryhmä

• Microsoft Defender XDR-tapahtumien jonon valvonta

  Kun Microsoft Defender for Endpoint tunnistaa kompromissi-indikaattorit (IOC) tai hyökkäyksen indikaattorit (IOA) ja luo hälytyksen, ilmoitus sisällytetään tapahtumaan ja näytetään Vaaratilanteet-jonossa Microsoft Defender portaalissa (https://security.microsoft.com).

  Tarkastele näitä tapauksia, jotta voit vastata Microsoft Defender for Endpoint hälytyksiin ja ratkaista ne, kun tapaus on ratkaistu. Katso Tapausilmoitukset sähköpostitse ja Tarkastele ja järjestä Microsoft Defender for Endpoint -tapahtumajono.

• Hallitse epätosi-positiivisia ja epätosi-negatiivisia tunnistuksia

  Tarkista tapausjono, tunnista false-positiiviset ja false-negatiiviset tunnisteet ja lähetä ne tarkistettavaksi. Tämä auttaa hallitsemaan tehokkaasti ympäristösi ilmoituksia ja tehostamaan ilmoituksia. Lisätietoja on Microsoft Defender for Endpoint kohdassa Address false positives/negatives.

• Tarkastele uhka-analytiikan suuren vaikutuksen uhkia

  Tarkista uhka-analytiikka ympäristöösi vaikuttavien kampanjoiden tunnistamiseksi. Suuren vaikutuksen uhkien taulukossa luetellaan uhat, joilla on ollut suurin vaikutus organisaatioon. Tässä osiossa uhat asetetaan niiden laitteiden määrän mukaan, joissa on aktiivisia ilmoituksia. Katso Uusien uhkien seuraaminen ja niihin vastaaminen uhka-analytiikan avulla.

Suojauksen hallintaryhmä

• Kuntoraporttien tarkasteleminen

  Tarkista kuntoraportit, jotta voit tunnistaa laitteiden kuntotrendejä, joihin on puututtava. Laitteen kuntoraportit kattavat Microsoft Defender for Endpoint AV-allekirjoituksen, ympäristön kunnon ja EDR-kunnon. Katso laitteen kuntoraportit Microsoft Defender for Endpoint.

• Tarkista päätepisteen tunnistuksen ja vastauksen (EDR) tunnistimen kunto

  EDR-kunto ylläpitää yhteyttä EDR-palveluun varmistaakseen, että Defender for Endpoint vastaanottaa tarvittavat signaalit haavoittuvuuksien hälyttämiseksi ja tunnistamiseksi.

  Tarkista epäterveelliset laitteet. Katso Laitteen kunto, Tunnistimen kunto & käyttöjärjestelmäraportti.

• Tarkista Microsoft Defender virustentorjuntaohjelman kunto

  Microsoft Defender virustentorjuntapäivitysten tilan tarkasteleminen on tärkeää Defender for Endpointin parhaan suorituskyvyn kannalta ympäristössäsi ja ajan tasalla olevien tunnistusten kannalta. Laitteen kunto -sivulla näkyy ympäristön, älykkyyden ja moduulin version nykyinen tila. Katso laitteen kunto Microsoft Defender virustentorjuntaohjelman kuntoraportti.

Viikoittaiset aktiviteetit

Yleiset

• Viestikeskus

  Microsoft Defender XDR ilmoittaa microsoft 365 -viestikeskuksesta tulevista muutoksista, kuten uusista ja muuttuneista ominaisuuksista, suunnitelluista ylläpitotoiminnoista tai muista tärkeistä ilmoituksista.

  Tarkista viestikeskuksen viestit, jotta näet ympäristöösi vaikuttavat tulevat muutokset.

  Voit käyttää tätä kuntovälilehden Microsoft 365 -hallintakeskus. Katso Microsoft 365 -palvelun kunnon tarkistaminen.

Suojaustoimintaryhmä

• Tarkastele uhkien raportointia

  Tarkastele kuntoraportteja tunnistaaksesi mahdolliset laiteuhkien trendit, joihin on puututtava. Katso Uhkien suojausraportti.

• Tarkastele uhkien analysointia

  Tarkista uhka-analytiikka ympäristöösi vaikuttavien kampanjoiden tunnistamiseksi. Katso Uusien uhkien seuraaminen ja niihin vastaaminen uhka-analytiikan avulla.

Suojauksen hallintaryhmä

• Tarkastele uhkien ja haavoittuvuuksien (TVM) tilaa

  Tarkista TVM tunnistaaksesi uudet haavoittuvuudet ja suositukset, jotka edellyttävät toimia. Katso Haavoittuvuuden hallinnan koontinäyttö.

• Tarkastele hyökkäyspinnan vähentämisen raportointia

  Tarkista ASR-raportit, jotta voit tunnistaa kaikki ympäristöösi vaikuttavat tiedostot. Katso Hyökkäyspinnan pienentämissääntöjen raportti.

• Verkkosuojaustapahtumien tarkistaminen

  Tarkista verkkopuolustusraportti tunnistaaksesi kaikki estetyt IP-osoitteet tai URL-osoitteet. Katso WWW-suojaus.

Kuukausittaiset aktiviteetit

Yleiset

Tutustu seuraaviin artikkeleihin, joissa on tietoja äskettäin julkaistuista päivityksistä:

• Microsoft Defender for Endpointin uudet ominaisuudet

• Windowsin Microsoft Defender for Endpoint uudet ominaisuudet

• Microsoft Defender for Endpoint Macin uudet ominaisuudet

• Microsoft Defender for Endpoint Linuxin uudet ominaisuudet

• iOS Microsoft Defender for Endpoint uudet ominaisuudet

• Microsoft Defender for Endpoint Androidin uudet ominaisuudet

Suojauksen hallintaryhmä

• Tarkista laite, joka on jätetty pois käytännöstä

  Jos jokin laite jätetään pois Defender for Endpoint -käytännöistä, tarkista ja selvitä, onko laite edelleen suljettava pois käytännöstä.

  Huomautus

  Tarkista vianmääritystila vianmääritystä varten. Katso vianmääritystilan käytön aloittaminen Microsoft Defender for Endpoint.

Säännöllisesti

Näitä tehtäviä pidetään suojaustilan ylläpitoina, ja ne ovat kriittisiä jatkuvan suojauksen kannalta. Koska ne saattavat kuitenkin viedä aikaa ja vaivaa, on suositeltavaa määrittää vakioaikataulu, jonka voit säilyttää näiden tehtävien suorittamiseksi.

• Tarkista poikkeukset

  Tarkista poikkeukset, jotka on määritetty ympäristössäsi, vahvistaaksesi, ettet ole luonut suojausvajetta sulkemalla pois asioita, joita ei enää edellytetä suljettava pois.

• Tarkista Defenderin käytäntömääritykset

  Tarkista säännöllisesti Defenderin määritysasetukset ja varmista, että ne on määritetty pakollisiksi.

• Automaatiotasojen tarkistaminen

  Tarkastele automatisoinnin tasoja automatisoiduissa tutkinta- ja korjaustoiminnoissa. Katso Automaatiotasot automatisoidussa tutkimuksessa ja korjaamisessa.

• Mukautettujen tunnistusten tarkistaminen

  Tarkista säännöllisesti, ovatko luodut mukautetut tunnisukset yhä kelvollisia ja tehokkaita. Katso Mukautetun tunnistuksen tarkistaminen.

• Tarkista ilmoitusten evätys

  Tarkista säännöllisesti kaikki luotujen ilmoitusten elytyssäännöt ja varmista, että ne ovat edelleen pakollisia ja kelvollisia. Katso Tarkista ilmoitusten estäminen.

Vianmääritys

Seuraavissa artikkeleissa annetaan ohjeita Microsoft Defender for Endpoint palvelua määritettäessä mahdollisesti esiintyvien virheiden vianmääritykseen ja korjaamiseen.

• Tunnistimen tilan vianmääritys
• Tunnistimen kunto-ongelmien vianmääritys asiakkaan analysointitoiminnon avulla
• Live Response -ongelmien vianmääritys
• Tukilokien kerääminen LiveAnalyzerin avulla
• Hyökkäyspinta-alan rajoittamisongelmien vianmääritys
• Käyttöönotto-ongelmien vianmääritys

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.