Microsoft Defender for endepunkt sikkerhetsoperasjonsveiledning
Gjelder for:
Denne artikkelen gir en oversikt over kravene og oppgavene for drift av Microsoft Defender for endepunkt i organisasjonen. Disse oppgavene hjelper sikkerhetsoperasjonssenteret (SOC) med å effektivt oppdage og svare på Microsoft Defender for endepunkt oppdagede sikkerhetstrusler.
Denne artikkelen beskriver også daglige, ukentlige, månedlige og ad hoc-oppgaver sikkerhetsteamet kan utføre for organisasjonen.
Obs!
Dette er anbefalte trinn. kontroller dem mot dine egne policyer og miljøer for å sikre at de er egnet for formålet.
Forutsetninger:
Det Microsoft Defender endepunktet bør konfigureres til å støtte den vanlige sikkerhetsoperasjonsprosessen. Selv om det ikke dekkes i dette dokumentet, gir følgende artikler informasjon om konfigurasjon og oppsett:
Konfigurer generell Defender for endepunktinnstillinger
- Generelle
- Tillatelser
- Regler
- Enhetsbehandling
- Konfigurer Microsoft Defender Sikkerhetssenter tidssoneinnstillinger
Konfigurere Microsoft Defender XDR hendelsesvarsler
Hvis du vil ha e-postvarsler om definerte Microsoft Defender XDR hendelser, anbefales det at du konfigurerer e-postvarsler. Se hendelsesvarsler via e-post.
Koble til SIEM (Sentinel)
Hvis du har eksisterende verktøy for sikkerhetsinformasjon og hendelsesbehandling (SIEM), kan du integrere dem med Microsoft Defender XDR. Se Integrere SIEM-verktøyene med Microsoft Defender XDR og Microsoft Defender XDR integrering med Microsoft Sentinel.
Se gjennom konfigurasjonen for dataoppdagelse
Se gjennom konfigurasjonen for Microsoft Defender for endepunkt enhetsoppdagelse for å sikre at den er konfigurert etter behov. Se oversikt over enhetsoppdagelse.
Daglige aktiviteter
Generelle
Se gjennom handlinger
Se gjennom handlingene som er utført i miljøet ditt, både automatisert og manuelt i handlingssenteret. Denne informasjonen hjelper deg med å validere at automatisert undersøkelse og respons (AIR) yter som forventet, og identifisere eventuelle manuelle handlinger som må gjennomgås. Se Gå til handlingssenteret for å se utbedringshandlinger.
Sikkerhetsoperasjonsteam
Overvåk Microsoft Defender XDR Hendelser-køen
Når Microsoft Defender for endepunkt identifiserer indikatorer for kompromiss (IOCer) eller indikatorer for angrep (IOAer) og genererer et varsel, inkluderes varselet i en hendelse og vises i Hendelser-køen i Microsoft Defender portal (https://security.microsoft.com).
Se gjennom disse hendelsene for å svare på eventuelle Microsoft Defender for endepunkt varsler og løse når hendelsen er utbedret. Se hendelsesvarsler via e-post og Vis og organiser Microsoft Defender for endepunkt Hendelser-køen.
Administrer falske positive og falske negative gjenkjenninger
Se gjennom hendelseskøen, identifiser falske positive og falske negative oppdagelser, og send dem inn til gjennomgang. Dette hjelper deg med å administrere varsler i miljøet effektivt og gjøre varslene mer effektive. Se Adresse for falske positiver/negativer i Microsoft Defender for endepunkt.
Se gjennom trusler med høy effekt i trusselanalyse
Se gjennom trusselanalyse for å identifisere eventuelle kampanjer som påvirker miljøet ditt. Tabellen «Trusler med høy innvirkning» viser truslene som har hatt størst innvirkning på organisasjonen. Denne delen rangerer trusler etter antall enheter som har aktive varsler. Se Spor og svar på nye trusler gjennom trusselanalyse.
Sikkerhetsadministrasjonsteam
Se gjennom tilstandsrapporter
Se gjennom tilstandsrapporter for å identifisere eventuelle enhetstilstandstrender som må håndteres. Enhetstilstandsrapportene dekker Microsoft Defender for endepunkt AV-signatur, plattformtilstand og EDR-tilstand. Se enhetstilstandsrapporter i Microsoft Defender for endepunkt.
Kontroller gjenkjennings- og responssensortilstanden for endepunkt (EDR)
EDR-tilstand opprettholder tilkoblingen til EDR-tjenesten for å sikre at Defender for Endpoint mottar de nødvendige signalene for å varsle og identifisere sårbarheter.
Se gjennom usunne enheter. Se rapport om enhetstilstand, sensortilstand & OS.
Kontrollere antivirustilstanden Microsoft Defender
Visning av statusen for Microsoft Defender Antivirus-oppdateringer er avgjørende for den beste ytelsen til Defender for Endpoint i miljøet og oppdaterte gjenkjenninger. Siden for enhetstilstand viser gjeldende status for plattform, intelligens og motorversjon. Se rapporten enhetstilstand Microsoft Defender antivirustilstand.
Ukentlige aktiviteter
Generelle
Meldingssenter
Microsoft Defender XDR bruker meldingssenteret for Microsoft 365 til å varsle deg om kommende endringer, for eksempel nye og endrede funksjoner, planlagt vedlikehold eller andre viktige kunngjøringer.
Se gjennom meldingene i meldingssenteret for å forstå eventuelle kommende endringer som påvirker miljøet ditt.
Du kan få tilgang til dette i Administrasjonssenter for Microsoft 365 under Kategorien Tilstand. Se hvordan du kontrollerer tjenestetilstanden for Microsoft 365.
Sikkerhetsoperasjonsteam
Se gjennom trusselrapportering
Se gjennom tilstandsrapporter for å identifisere eventuelle trusseltrender for enheter som må håndteres. Se trusselbeskyttelsesrapport.
Se gjennom trusselanalyse
Se gjennom trusselanalyse for å identifisere eventuelle kampanjer som påvirker miljøet ditt. Se Spor og svar på nye trusler gjennom trusselanalyse.
Sikkerhetsadministrasjonsteam
Se gjennom statusen trussel og sårbarhet (TVM)
Se gjennom TVM for å identifisere eventuelle nye sårbarheter og anbefalinger som krever handling. Se instrumentbordet for behandling av sikkerhetsproblemer.
Se gjennom rapportering av reduksjon av angrepsoverflate
Se gjennom ASR-rapporter for å identifisere eventuelle filer som påvirker miljøet ditt. Se rapporten over regler for reduksjon av angrepsoverflaten.
Se gjennom webbeskyttelseshendelser
Se gjennom nettforsvarsrapporten for å identifisere IP-adresser eller nettadresser som er blokkert. Se webbeskyttelse.
Månedlige aktiviteter
Generelle
Se gjennom følgende artikler for å forstå nylig utgitte oppdateringer:
Sikkerhetsadministrasjonsteam
Se gjennom enheten som er utelatt fra policyen
Hvis noen enheter er ekskludert fra Defender for Endpoint-policyer, kan du se gjennom og avgjøre om enheten fremdeles må utelukkes fra policyen.
Obs!
Se gjennom feilsøkingsmodusen for feilsøking. Se Komme i gang med feilsøkingsmodus i Microsoft Defender for endepunkt.
Med jevne mellomrom
Disse oppgavene blir sett på som vedlikehold for din sikkerhetsstilling og er avgjørende for din kontinuerlige beskyttelse. Men siden de kan ta tid og krefter, anbefales det at du angir en standard tidsplan som du kan vedlikeholde for å utføre disse oppgavene.
Se gjennom utelatelser
Se gjennom utelatelser som er angitt i miljøet ditt for å bekrefte at du ikke har opprettet et beskyttelsesgap ved å ekskludere ting som ikke lenger er nødvendig å utelukke.
Se gjennom Konfigurasjoner for Defender-policy
Se gjennom konfigurasjonsinnstillingene for Defender regelmessig for å bekrefte at de er angitt etter behov.
Se gjennom automatiseringsnivåer
Se gjennom automatiseringsnivåer i automatiserte undersøkelses- og utbedringsfunksjoner. Se automatiseringsnivåer i automatisert undersøkelse og utbedring.
Se gjennom egendefinerte gjenkjenninger
Se regelmessig gjennom om de egendefinerte gjenkjenningene som er opprettet, fortsatt er gyldige og effektive. Se gjennom egendefinert gjenkjenning.
Se gjennom varslingsundertrykkelse
Se regelmessig gjennom eventuelle regler for varslingsundertrykking som er opprettet for å bekrefte at de fremdeles er nødvendige og gyldige. Se undertrykking av varsler.
Feilsøking
Følgende artikler gir veiledning for å feilsøke og løse feil som du kan oppleve når du konfigurerer Microsoft Defender for endepunkt-tjenesten.
- Feilsøk sensortilstand
- Feilsøke problemer med sensortilstand ved hjelp av Klientanalyse
- Feilsøke problemer med direkte respons
- Samle inn støttelogger ved hjelp av LiveAnalyzer
- Feilsøke problemer med reduksjon av angrepsoverflate
- Feilsøke pålastingsproblemer
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.