適用於端點的 Microsoft Defender 安全性作業指南

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

本文提供在組織中成功操作 適用於端點的 Microsoft Defender 的需求和工作概觀。 這些工作可協助您的安全性作業中心 (SOC，) 有效地偵測並回應 適用於端點的 Microsoft Defender 偵測到的安全性威脅。

本文也說明安全性小組可以為組織執行的每日、每周、每月和特定工作。

注意事項

這些是建議的步驟;請根據您自己的原則和環境進行檢查，以確定它們符合目的。

必要條件：

應設定 Microsoft Defender 端點，以支援您的一般安全性作業程式。 雖然本檔未涵蓋，但下列文章提供設定和設定資訊：

• 設定適用於端點的 Defender 設定

  • 一般
  • 權限
  • 規則
  • 裝置管理
  • 設定 Microsoft Defender 資訊安全中心時區設定

• 設定 Microsoft Defender 全面偵測回應 事件通知

  若要取得已定義 Microsoft Defender 全面偵測回應 事件的電子郵件通知，建議您設定電子郵件通知。 請參閱 電子郵件的事件通知。

• 聯機到 SIEM (Sentinel)

  如果您有現有的安全性資訊和事件管理 (SIEM) 工具，您可以將它們與 Microsoft Defender 全面偵測回應 整合。 請參閱整合您的 SIEM 工具與 Microsoft Defender 全面偵測回應，Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。

• 檢閱數據探索設定

  檢閱 適用於端點的 Microsoft Defender 裝置探索設定，以確保已視需要進行設定。 請參閱 裝置探索概觀。

每日活動

一般

• 檢閱動作

  在控制中心中，檢閱您環境中已採取的動作，包括自動化和手動。 此資訊可協助您驗證 AIR) (自動調查和回應是否如預期般執行，並識別任何需要檢閱的手動動作。 請參閱 造訪控制中心以查看補救動作。

安全性作業小組

• 監視 Microsoft Defender 全面偵測回應 事件佇列

  當 適用於端點的 Microsoft Defender 識別 IOC 入侵 (指標) 或攻擊指標 (IOA) 併產生警示時，警示會包含在事件中，並顯示在 Microsoft Defender 入口網站的 [事件] 佇列中， (https://security.microsoft.com) 。

  檢閱這些事件以回應任何 適用於端點的 Microsoft Defender 警示，並在事件修復后解決。 請參閱透過電子郵件的事件通知和檢視及組織 適用於端點的 Microsoft Defender 事件佇列。

• 管理誤判和誤判為真偵測

  檢閱事件佇列、識別誤判和誤判為真偵測，並提交它們以供檢閱。 這可協助您有效地管理環境中的警示，並讓警示更有效率。 請參閱解決 適用於端點的 Microsoft Defender 中的誤判/負面。

• 檢閱威脅分析高影響威脅

  檢閱威脅分析，以識別影響您環境的任何活動。 [高影響威脅] 數據表列出對組織影響最大的威脅。 本節會依具有作用中警示的裝置數目來排名威脅。 請參閱 透過威脅分析追蹤和回應新興威脅。

安全性管理小組

• 檢閱健康情況報告

  檢閱健康情況報告，以識別任何需要解決的裝置健康情況趨勢。 裝置健康情況報告涵蓋 適用於端點的 Microsoft Defender 防病毒軟體簽章、平臺健康情況和 EDR 健康情況。 請參閱 適用於端點的 Microsoft Defender 中的裝置健康情況報告。

• 檢查端點偵測和回應 (EDR) 感測器健康情況

  EDR 健康情況會維護與 EDR 服務的連線，以確保適用於端點的 Defender 收到警示和識別弱點所需的訊號。

  檢閱狀況不良的裝置。 請參閱 裝置健康情況、感測器健康情況 & OS 報告。

• 檢查 Microsoft Defender 防病毒軟體健康情況

  檢視 Microsoft Defender 防病毒軟體更新的狀態，對於環境中適用於端點的 Defender 和最新偵測的最佳效能至關重要。 [裝置健康情況] 頁面會顯示平臺、智慧和引擎版本的目前狀態。 請參閱裝置健康情況，Microsoft Defender 防病毒軟體健康情況報告。

每周活動

一般

• 訊息中心

  Microsoft Defender 全面偵測回應 使用 Microsoft 365 訊息中心來通知您即將進行的變更，例如新功能和變更的功能、計劃性維護或其他重要公告。

  檢閱訊息中心訊息，以瞭解任何即將對您的環境造成影響的變更。

  您可以在 [健康情況] 索引標籤下的 [Microsoft 365 系統管理中心 中存取此專案。請參閱如何檢查 Microsoft 365 服務健康情況。

安全性作業小組

• 檢閱威脅報告

  檢閱健康情況報告，以識別任何需要解決的裝置威脅趨勢。 請參閱 威脅防護報告。

• 檢閱威脅分析

  檢閱威脅分析，以識別影響您環境的任何活動。 請參閱 透過威脅分析追蹤和回應新興威脅。

安全性管理小組

• 檢閱TVM) 狀態 (威脅和弱點

  檢閱TVM以找出任何需要採取動作的新弱點和建議。 請參閱 弱點管理儀錶板。

• 檢閱受攻擊面縮小報告

  檢閱 ASR 報告，以識別影響您環境的任何檔案。 請參閱 受攻擊面縮小規則報告。

• 檢閱 Web 保護事件

  檢閱 Web 防禦報告，以識別任何遭到封鎖的 IP 位址或 URL。 請參閱 Web 保護。

每月活動

一般

請檢閱下列文章以瞭解最近發行的更新：

• 適用於端點的 Microsoft Defender 新功能

• Windows 上 適用於端點的 Microsoft Defender 的新功能

• Mac 上 適用於端點的 Microsoft Defender 的新功能

• Linux 上 適用於端點的 Microsoft Defender 的新功能

• iOS 上 適用於端點的 Microsoft Defender 的新功能

• Android 上 適用於端點的 Microsoft Defender 的新功能

安全性管理小組

• 檢閱從原則中排除的裝置

  如果有任何裝置從適用於端點的Defender原則中排除，請檢閱並判斷裝置是否仍需要從原則中排除。

  注意事項

  檢閱疑難解答模式以進行疑難解答。 請參閱在 適用於端點的 Microsoft Defender 中開始使用疑難解答模式。

定期

這些工作被視為安全性狀態的維護，對於您進行中的保護至關重要。 但是，由於可能需要花費時間和精力，建議您設定可維護的標準排程來執行這些工作。

• 檢閱排除專案

  檢閱已在環境中設定的排除專案，以排除不再需要排除的專案，以確認您尚未建立保護差距。

• 檢閱Defender原則設定

  定期檢視您的 Defender 組態設定，以確認它們已視需要設定。

• 檢閱自動化層級

  檢閱自動化調查和補救功能中的自動化層級。 請參閱 自動化調查和補救中的自動化層級。

• 檢閱自定義偵測

  定期檢閱已建立的自定義偵測是否仍然有效。 請參閱 檢閱自定義偵測。

• 檢閱警示歸併

  定期檢閱任何已建立的警示歸並規則，以確認它們仍為必要且有效。 請參閱 檢閱警示歸併。

疑難排解

下列文章提供指引，以針對您在設定 適用於端點的 Microsoft Defender 服務時可能會遇到的錯誤進行疑難解答和修正。

• 針對感測器狀態進行疑難解答
• 使用用戶端分析器疑難排解感應器健康情況問題
• 為即時回應問題疑難排解
• 使用 LiveAnalyzer 收集支援記錄
• 為攻擊面縮小問題疑難排解
• 為上線問題疑難排解

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。