Guia de operações de segurança Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Este artigo fornece uma visão geral dos requisitos e tarefas para Microsoft Defender para Ponto de Extremidade operacionais com êxito em sua organização. Essas tarefas ajudam o SOC (centro de operações de segurança) a detectar e responder efetivamente a Microsoft Defender para Ponto de Extremidade ameaças de segurança detectadas.

Este artigo também descreve tarefas diárias, semanais, mensais e ad hoc que sua equipe de segurança pode executar para sua organização.

Observação

Estas são as etapas recomendadas; marcar-os contra suas próprias políticas e ambiente para garantir que eles estejam aptos para o propósito.

Pré-requisitos:

O ponto de extremidade Microsoft Defender deve ser configurado para dar suporte ao processo de operações de segurança regulares. Embora não estejam cobertos neste documento, os seguintes artigos fornecem informações de configuração e configuração:

• Definir as configurações gerais do Defender para Ponto de Extremidade

  • Geral
  • Permissões
  • Regras
  • Gerenciamento de dispositivos
  • Definir as configurações de fuso horário da Central de Segurança do Microsoft Defender

• Configurar Microsoft Defender XDR notificações de incidentes

  Para obter notificações por email em incidentes de Microsoft Defender XDR definidos, é recomendável configurar notificações por email. Consulte Notificações de incidentes por email.

• Conectar-se ao SIEM (Sentinel)

  Se você tiver ferramentas de SIEM (gerenciamento de eventos e informações de segurança) existentes, poderá integrá-las ao Microsoft Defender XDR. Consulte Integrar suas ferramentas SIEM à integração de Microsoft Defender XDR e Microsoft Defender XDR com o Microsoft Sentinel.

• Examinar a configuração de descoberta de dados

  Examine o Microsoft Defender para Ponto de Extremidade configuração de descoberta de dispositivo para garantir que ele esteja configurado conforme necessário. Consulte Visão geral da descoberta de dispositivo.

Atividades diárias

Geral

• Revisar ações

  No centro de ações, examine as ações que foram tomadas em seu ambiente, automatizadas e manuais. Essas informações ajudam você a validar que a investigação e a resposta automatizadas (AIR) estão sendo executadas conforme o esperado e identificam todas as ações manuais que precisam ser revisadas. Consulte Visitar o Centro de Ações para ver as ações de correção.

Equipe de operações de segurança

• Monitorar a fila de incidentes de Microsoft Defender XDR

  Quando Microsoft Defender para Ponto de Extremidade identifica Indicadores de comprometimento (IOCs) ou Indicadores de ataque (IOAs) e gera um alerta, o alerta é incluído em um incidente e exibido na fila Incidentes no portal do Microsoft Defender (https://security.microsoft.com).

  Examine esses incidentes para responder a quaisquer alertas Microsoft Defender para Ponto de Extremidade e resolve depois que o incidente for corrigido. Consulte Notificações de incidentes por email e Exibir e organize a fila Microsoft Defender para Ponto de Extremidade Incidentes.

• Gerenciar detecções falsas positivas e falsas negativas

  Examine a fila de incidentes, identifique detecções falsas positivas e falsas negativas e envie-as para revisão. Isso ajuda você a gerenciar alertas efetivamente em seu ambiente e tornar seus alertas mais eficientes. Consulte Endereçar falsos positivos/negativos no Microsoft Defender para Ponto de Extremidade.

• Examinar ameaças de análise de ameaças de alto impacto

  Examine a análise de ameaças para identificar todas as campanhas que estão afetando seu ambiente. A tabela "Ameaças de alto impacto" lista as ameaças que tiveram o maior impacto para a organização. Esta seção classifica as ameaças pelo número de dispositivos que têm alertas ativos. Consulte Acompanhar e responder a ameaças emergentes por meio da análise de ameaças.

Equipe de administração de segurança

• Examinar relatórios de integridade

  Examine os relatórios de integridade para identificar as tendências de integridade do dispositivo que precisam ser abordadas. Os relatórios de integridade do dispositivo abrangem Microsoft Defender para Ponto de Extremidade assinatura do AV, integridade da plataforma e integridade do EDR. Consulte Relatórios de integridade do dispositivo no Microsoft Defender para Ponto de Extremidade.

• Verificar a integridade do sensor EDR (detecção e resposta do ponto de extremidade)

  A integridade do EDR está mantendo a conexão com o serviço EDR para garantir que o Defender para Ponto de Extremidade esteja recebendo os sinais necessários para alertar e identificar vulnerabilidades.

  Examine dispositivos não íntegros. Consulte Integridade do dispositivo, relatório do sistema operacional & integridade do sensor.

• Verificar Microsoft Defender integridade antivírus

  Exibir o status de Microsoft Defender atualizações do Antivírus é fundamental para o melhor desempenho do Defender para Ponto de Extremidade em seu ambiente e detecções atualizadas. A página de integridade do dispositivo mostra o status atual para a plataforma, a inteligência e a versão do mecanismo. Consulte o relatório integridade do dispositivo, Microsoft Defender Antivírus.

Atividades semanais

Geral

• Centro de Mensagens

  Microsoft Defender XDR usa o Centro de Mensagens do Microsoft 365 para notificá-lo das alterações futuras, como recursos novos e alterados, manutenção planejada ou outros anúncios importantes.

  Examine as mensagens do Centro de Mensagens para entender as alterações futuras que afetam seu ambiente.

  Você pode acessar isso na Centro de administração do Microsoft 365 na guia Integridade. Consulte Como marcar integridade do serviço do Microsoft 365.

Equipe de operações de segurança

• Revisar relatórios de ameaças

  Examine os relatórios de integridade para identificar as tendências de ameaça de dispositivo que precisam ser resolvidas. Consulte Relatório de proteção contra ameaças.

• Examinar análise de ameaças

  Examine a análise de ameaças para identificar todas as campanhas que afetam seu ambiente. Consulte Acompanhar e responder a ameaças emergentes por meio da análise de ameaças.

Equipe de administração de segurança

• Examinar status de ameaças e vulnerabilidades (TVM)

  Examine a TVM para identificar quaisquer novas vulnerabilidades e recomendações que exijam ação. Consulte Dashboard de gerenciamento de vulnerabilidades.

• Revisar relatórios de redução de superfície de ataque

  Examine os relatórios do ASR para identificar todos os arquivos que afetam seu ambiente. Consulte Relatório de regras de redução de superfície de ataque.

• Examinar eventos de proteção da Web

  Examine o relatório de defesa da Web para identificar quaisquer endereços IP ou URLs bloqueados. Consulte Proteção da Web.

Atividades mensais

Geral

Examine os seguintes artigos para entender as atualizações lançadas recentemente:

• Novidades no Microsoft Defender para Ponto de Extremidade

• Novidades no Microsoft Defender para Ponto de Extremidade no Windows

• Novidades no Microsoft Defender para Ponto de Extremidade no Mac

• Novidades no Microsoft Defender para Ponto de Extremidade no Linux

• Novidades no Microsoft Defender para Ponto de Extremidade no iOS

• Novidades no Microsoft Defender para Ponto de Extremidade no Android

Equipe de administração de segurança

• Examinar dispositivo excluído da política

  Se algum dispositivo for excluído das políticas do Defender para Ponto de Extremidade, examine e determine se o dispositivo ainda precisa ser excluído da política.

  Observação

  Examine o modo de solução de problemas para solução de problemas. Consulte Introdução ao modo de solução de problemas no Microsoft Defender para Ponto de Extremidade.

Periodicamente

Essas tarefas são vistas como manutenção para sua postura de segurança e são essenciais para sua proteção contínua. Mas, como eles podem levar tempo e esforço, é recomendável que você defina uma agenda padrão que você pode manter para executar essas tarefas.

• Revisar exclusões

  Examine as exclusões que foram definidas em seu ambiente para confirmar que você não criou uma lacuna de proteção excluindo coisas que não são mais necessárias para serem excluídas.

• Examinar configurações de política do Defender

  Examine periodicamente as configurações do Defender para confirmar se elas estão definidas como necessárias.

• Examinar os níveis de automação

  Examine os níveis de automação em recursos automatizados de investigação e correção. Consulte Níveis de automação em investigação e correção automatizadas.

• Examinar detecções personalizadas

  Examine periodicamente se as detecções personalizadas que foram criadas ainda são válidas e eficazes. Consulte Examinar a detecção personalizada.

• Revisar supressão de alertas

  Examine periodicamente todas as regras de supressão de alerta que foram criadas para confirmar que elas ainda são necessárias e válidas. Consulte Revisar supressão de alertas.

Solução de problemas

Os artigos a seguir fornecem diretrizes para solucionar problemas e corrigir erros que você pode experimentar ao configurar seu serviço de Microsoft Defender para Ponto de Extremidade.

• Solucionar problemas do estado do sensor
• Solucionar problemas de integridade do sensor usando o Analisador de Cliente
• Solucionar problemas de resposta dinâmica
• Coletar registros de suporte usando LiveAnalyzer
• Solucionar problemas de redução da superfície de ataque
• Solucionar problemas de integração

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.