Microsoft Defender for Endpoint Security Operations Guide

Gilt für:

Dieser Artikel bietet eine Übersicht über die Anforderungen und Aufgaben für den erfolgreichen Betrieb von Microsoft Defender for Endpoint in Ihrem organization. Diese Aufgaben helfen Ihrem Security Operations Center (SOC), Microsoft Defender for Endpoint erkannten Sicherheitsbedrohungen effektiv zu erkennen und darauf zu reagieren.

In diesem Artikel werden auch tägliche, wöchentliche, monatliche und Ad-hoc-Aufgaben beschrieben, die Ihr Sicherheitsteam für Ihre organization ausführen kann.

Hinweis

Dies sind empfohlene Schritte. Überprüfen Sie sie anhand Ihrer eigenen Richtlinien und Umgebung, um sicherzustellen, dass sie für den Zweck geeignet sind.

Voraussetzungen:

Der Microsoft Defender-Endpunkt sollte so eingerichtet werden, dass sie Ihren regulären Prozess für Sicherheitsvorgänge unterstützt. Die folgenden Artikel enthalten Konfigurations- und Setupinformationen, obwohl sie in diesem Dokument nicht behandelt werden:

Tägliche Aktivitäten

Allgemein

  • Überprüfen von Aktionen

    Überprüfen Sie im Info-Center die Aktionen, die in Ihrer Umgebung sowohl automatisiert als auch manuell ausgeführt wurden. Anhand dieser Informationen können Sie überprüfen, ob die automatisierte Untersuchung und Reaktion (AIR) erwartungsgemäß funktioniert, und manuelle Aktionen identifizieren, die überprüft werden müssen. Unter Besuchen Sie das Info-Center, um Korrekturaktionen anzuzeigen.

Sicherheitsbetriebsteam

  • Überwachen der Microsoft Defender XDR Incidents-Warteschlange

    Wenn Microsoft Defender for Endpoint Gefährdungsindikatoren (Indicators of Compromise, IOCs) oder Indikatoren für Angriffe (Indicators of Attack, IOAs) identifiziert und eine Warnung generiert, wird die Warnung in einen Incident eingeschlossen und in der Incidentwarteschlange im Microsoft Defender-Portal (https://security.microsoft.com) angezeigt.

    Überprüfen Sie diese Vorfälle, um auf Microsoft Defender for Endpoint Warnungen zu reagieren und nach der Behebung des Incidents zu beheben. Weitere Informationen finden Sie unter Incidentbenachrichtigungen per E-Mail und Anzeigen und Organisieren der Microsoft Defender for Endpoint Incidents-Warteschlange.

  • Verwalten falsch positiver und falsch negativer Erkennungen

    Überprüfen Sie die Incidentwarteschlange, identifizieren Sie falsch positive und falsch negative Erkennungen, und übermitteln Sie sie zur Überprüfung. Dies hilft Ihnen, Warnungen in Ihrer Umgebung effektiv zu verwalten und Ihre Warnungen effizienter zu gestalten. Weitere Informationen finden Sie unter Behandeln falsch positiver/negativer Ergebnisse in Microsoft Defender for Endpoint.

  • Überprüfen von Bedrohungsanalysen mit hohen Auswirkungen

    Überprüfen Sie die Bedrohungsanalyse, um Kampagnen zu identifizieren, die sich auf Ihre Umgebung auswirken. In der Tabelle "Bedrohungen mit hohen Auswirkungen" sind die Bedrohungen aufgeführt, die die größten Auswirkungen auf die organization hatten. In diesem Abschnitt werden Bedrohungen nach der Anzahl der Geräte mit aktiven Warnungen sortiert. Weitere Informationen finden Sie unter Nachverfolgen und Reagieren auf neue Bedrohungen durch Bedrohungsanalysen.

Sicherheitsverwaltungsteam

  • Überprüfen von Integritätsberichten

    Überprüfen Sie integritätsberichte, um alle Geräteintegritätstrends zu identifizieren, die behoben werden müssen. Die Geräteintegritätsberichte decken Microsoft Defender for Endpoint AV-Signatur, Plattformintegrität und EDR-Integrität ab. Weitere Informationen finden Sie unter Geräteintegritätsberichte in Microsoft Defender for Endpoint.

  • Überprüfen der Integrität des Endpunkterkennungs- und -antwortsensors (EDR)

    Die EDR-Integrität behält die Verbindung mit dem EDR-Dienst bei, um sicherzustellen, dass Defender für Endpunkt die erforderlichen Signale empfängt, um Sicherheitsrisiken zu warnen und zu identifizieren.

    Überprüfen Sie fehlerhafte Geräte. Weitere Informationen finden Sie unter Geräteintegrität, Sensorintegrität & Bericht des Betriebssystems.

  • Überprüfen Microsoft Defender Antivirus-Integrität

    Das Anzeigen der status von Microsoft Defender Antivirus-Updates ist entscheidend für die beste Leistung von Defender für Endpunkt in Ihrer Umgebung und aktuelle Erkennungen. Auf der Seite "Geräteintegrität" werden die aktuellen status für Plattform, Intelligenz und Engine-Version angezeigt. Weitere Informationen finden Sie im Bericht Geräteintegrität, Microsoft Defender Antivirusintegrität.

Wöchentliche Aktivitäten

Allgemein

  • Nachrichtencenter

    Microsoft Defender XDR verwendet das Microsoft 365-Nachrichtencenter, um Sie über bevorstehende Änderungen zu informieren, z. B. über neue und geänderte Features, geplante Wartungen oder andere wichtige Ankündigungen.

    Überprüfen Sie die Nachrichten des Nachrichtencenters, um alle bevorstehenden Änderungen zu verstehen, die sich auf Ihre Umgebung auswirken.

    Sie können darauf im Microsoft 365 Admin Center auf der Registerkarte Integrität zugreifen. Weitere Informationen finden Sie unter Überprüfen der Dienstintegrität von Microsoft 365.

Sicherheitsbetriebsteam

Sicherheitsverwaltungsteam

  • Überprüfen von Bedrohungen und Sicherheitsrisiken (TVM) status

    Überprüfen Sie TVM, um neue Sicherheitsrisiken und Empfehlungen zu identifizieren, die Maßnahmen erfordern. Weitere Informationen finden Sie unter Dashboard zur Verwaltung von Sicherheitsrisiken.

  • Überprüfen der Berichterstellung zur Verringerung der Angriffsfläche

    Überprüfen Sie DIE ASR-Berichte, um alle Dateien zu identifizieren, die sich auf Ihre Umgebung auswirken. Weitere Informationen finden Sie im Bericht zu Regeln zur Verringerung der Angriffsfläche.

  • Überprüfen von Webschutzereignissen

    Überprüfen Sie den Webschutzbericht, um alle IP-Adressen oder URLs zu identifizieren, die blockiert sind. Weitere Informationen finden Sie unter Webschutz.

Monatliche Aktivitäten

Allgemein

Lesen Sie die folgenden Artikel, um sich mit den kürzlich veröffentlichten Updates vertraut zu machen:

Sicherheitsverwaltungsteam

Regelmäßig

Diese Aufgaben werden als Wartung für Ihren Sicherheitsstatus angesehen und sind für Ihren fortlaufenden Schutz von entscheidender Bedeutung. Da sie jedoch Zeit und Aufwand in Anspruch nehmen können, empfiehlt es sich, einen Standardzeitplan festzulegen, den Sie zum Ausführen dieser Aufgaben beibehalten können.

  • Überprüfen von Ausschlüssen

    Überprüfen Sie Ausschlüsse, die in Ihrer Umgebung festgelegt wurden, um sicherzustellen, dass Sie keine Schutzlücke erstellt haben, indem Sie Dinge ausschließen, die nicht mehr ausgeschlossen werden müssen.

  • Überprüfen der Defender-Richtlinienkonfigurationen

    Überprüfen Sie in regelmäßigen Abständen Ihre Defender-Konfigurationseinstellungen, um zu bestätigen, dass sie als erforderlich festgelegt wurden.

  • Überprüfen der Automatisierungsebenen

    Überprüfen Sie die Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen. Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierter Untersuchung und Wartung.

  • Überprüfen benutzerdefinierter Erkennungen

    Überprüfen Sie in regelmäßigen Abständen, ob die erstellten benutzerdefinierten Erkennungen noch gültig und wirksam sind. Weitere Informationen finden Sie unter Überprüfen der benutzerdefinierten Erkennung.

  • Überprüfen der Unterdrückung von Warnungen

    Überprüfen Sie regelmäßig alle warnungsunterdrückungsregeln, die erstellt wurden, um sicherzustellen, dass sie weiterhin erforderlich und gültig sind. Weitere Informationen finden Sie unter Überprüfen der Unterdrückung von Warnungen.

Problembehandlung

Die folgenden Artikel enthalten Anleitungen zur Problembehandlung und Behebung von Fehlern, die beim Einrichten Ihres Microsoft Defender for Endpoint Diensts auftreten können.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.