Microsoft Defender for Endpoint安全操作指南

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

本文概述了在组织中成功操作Microsoft Defender for Endpoint的要求和任务。 这些任务可帮助安全操作中心 (SOC) 有效地检测和响应检测到的安全威胁Microsoft Defender for Endpoint。

本文还介绍了安全团队可为组织执行的每日、每周、每月和临时任务。

注意

以下是建议的步骤：根据自己的策略和环境检查它们，以确保它们符合目的。

先决条件：

应设置Microsoft Defender终结点以支持常规安全操作过程。 虽然本文档中未介绍，但以下文章提供了配置和设置信息：

• 配置常规 Defender for Endpoint 设置

  • 常规
  • 权限
  • Rules
  • 设备管理
  • 配置 Microsoft Defender 安全中心时区设置

• 设置Microsoft Defender XDR事件通知

  若要电子邮件通知定义的Microsoft Defender XDR事件，建议配置电子邮件通知。 请参阅 通过电子邮件发送的事件通知。

• 连接到 SIEM (Sentinel)

  如果你有现有的安全信息和事件管理 (SIEM) 工具，则可以将它们与 Microsoft Defender XDR 集成。 请参阅将 SIEM 工具与Microsoft Defender XDR集成以及Microsoft Defender XDR与 Microsoft Sentinel 集成。

• 查看数据发现配置

  查看Microsoft Defender for Endpoint设备发现配置，确保它已配置为必需。 请参阅 设备发现概述。

日常活动

常规

• 查看操作

  在操作中心，查看已在环境中执行的操作（自动和手动）。 此信息可帮助你验证自动调查和响应 (AIR) 是否按预期执行，并确定需要审查的任何手动操作。 请参阅 访问操作中心以查看修正操作。

安全运营团队

• 监视Microsoft Defender XDR事件队列

  当Microsoft Defender for Endpoint识别 (IOC) 或攻击指标 (IOA) 并生成警报时，警报将包含在事件中，并显示在Microsoft Defender门户 (https://security.microsoft.com) 的事件队列中。

  查看这些事件以响应任何Microsoft Defender for Endpoint警报，并在事件得到修正后解决。 请参阅通过电子邮件发送事件通知和查看和组织Microsoft Defender for Endpoint事件队列。

• 管理误报和误报检测

  查看事件队列，识别误报和误报检测，并提交它们以供审阅。 这有助于有效地管理环境中的警报，提高警报效率。 请参阅在 Microsoft Defender for Endpoint 中解决误报/负数。

• 查看威胁分析高影响威胁

  查看威胁分析，以确定影响环境的任何市场活动。 “高影响威胁”表列出了对组织影响最大的威胁。 本部分按具有活动警报的设备数对威胁进行排名。 请参阅 通过威胁分析跟踪和响应新出现的威胁。

安全管理团队

• 查看运行状况报告

  查看运行状况报告，以确定需要解决的任何设备运行状况趋势。 设备运行状况报告涵盖Microsoft Defender for Endpoint AV 签名、平台运行状况和 EDR 运行状况。 请参阅 Microsoft Defender for Endpoint 中的设备运行状况报告。

• 检查终结点检测和响应 (EDR) 传感器运行状况

  EDR 运行状况维护与 EDR 服务的连接，以确保 Defender for Endpoint 接收所需的信号来发出警报和识别漏洞。

  查看不正常的设备。 请参阅 设备运行状况、传感器运行状况 & OS 报告。

• 检查Microsoft Defender防病毒运行状况

  查看Microsoft Defender防病毒更新的状态对于在环境中实现 Defender for Endpoint 的最佳性能和最新检测至关重要。 设备运行状况页显示平台、智能和引擎版本的当前状态。 请参阅设备运行状况，Microsoft Defender防病毒运行状况报告。

每周活动

常规

• 消息中心

  Microsoft Defender XDR使用 Microsoft 365 消息中心通知你即将发生的更改，例如新功能和更改的功能、计划内维护或其他重要公告。

  查看消息中心消息，了解影响环境的任何即将进行的更改。

  可以在“运行状况”选项卡下的Microsoft 365 管理中心中访问此项。请参阅如何检查 Microsoft 365 服务运行状况。

安全运营团队

• 查看威胁报告

  查看运行状况报告以确定需要解决的任何设备威胁趋势。 请参阅 威胁防护报告。

• 查看威胁分析

  查看威胁分析，以确定影响环境的任何市场活动。 请参阅 通过威胁分析跟踪和响应新出现的威胁。

安全管理团队

• 查看 TVM) 状态 (威胁和漏洞

  查看 TVM 以识别需要执行操作的任何新漏洞和建议。 请参阅漏洞管理仪表板。

• 查看攻击面减少报告

  查看 ASR 报告以识别影响环境的任何文件。 请参阅 攻击面减少规则报告。

• 查看 Web 保护事件

  查看 Web 防御报告，以识别阻止的任何 IP 地址或 URL。 请参阅 Web 保护。

每月活动

常规

查看以下文章，了解最近发布的更新：

• Microsoft Defender for Endpoint 中的新增功能

• Windows Microsoft Defender for Endpoint 中的新增功能

• Mac Microsoft Defender for Endpoint 中的新增功能

• Linux 上的 Microsoft Defender for Endpoint 中的新增功能

• iOS 上的 Microsoft Defender for Endpoint 中的新增功能

• Android Microsoft Defender for Endpoint 中的新增功能

安全管理团队

• 查看从策略中排除的设备

  如果从 Defender for Endpoint 策略中排除了任何设备，请查看并确定设备是否仍需要从策略中排除。

  注意

  查看故障排除模式进行故障排除。 请参阅 Microsoft Defender for Endpoint 中的故障排除模式入门。

定期

这些任务被视为对安全状况的维护，对于持续保护至关重要。 但是，由于它们可能需要时间和精力，因此建议设置一个可以维护以执行这些任务的标准计划。

• 查看排除项

  查看环境中设置的排除项，确认你尚未通过排除不再需要排除的内容来创建保护差距。

• 查看 Defender 策略配置

  定期查看 Defender 配置设置，确认它们已设置为必需。

• 查看自动化级别

  查看自动化调查和修正功能的自动化级别。 请参阅 自动化调查和修正中的自动化级别。

• 查看自定义检测

  定期查看已创建的自定义检测是否仍然有效。 请参阅 查看自定义检测。

• 查看警报抑制

  定期查看已创建的任何警报抑制规则，以确认这些规则仍是必需的且有效。 请参阅 查看警报抑制。

疑难解答

以下文章提供了排查和修复设置Microsoft Defender for Endpoint服务时可能遇到的错误的指南。

• 排查传感器状态问题
• 使用客户端分析器排查传感器运行状况问题
• 实时响应问题疑难解答
• 使用 LiveAnalyzer 收集支持日志
• 解决攻击面减少问题
• 解决载入问题

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。