Guía de operaciones de seguridad de Microsoft Defender para punto de conexión

Se aplica a:

En este artículo se proporciona información general sobre los requisitos y las tareas para operar correctamente Microsoft Defender para punto de conexión en su organización. Estas tareas ayudan al centro de operaciones de seguridad (SOC) a detectar y responder de forma eficaz a Microsoft Defender para punto de conexión amenazas de seguridad detectadas.

En este artículo también se describen las tareas diarias, semanales, mensuales y ad hoc que el equipo de seguridad puede realizar para su organización.

Nota:

Estos son los pasos recomendados; compruébalos con sus propias directivas y entorno para asegurarse de que se ajusten a su propósito.

Requisitos previos:

El punto de conexión de Microsoft Defender debe configurarse para admitir el proceso de operaciones de seguridad normales. Aunque no se trata en este documento, los artículos siguientes proporcionan información de configuración y configuración:

Actividades diarias

General

  • Revisar acciones

    En el centro de acciones, revise las acciones que se han realizado en su entorno, tanto automatizadas como manuales. Esta información le ayuda a validar que la investigación y respuesta automatizada (AIR) funciona según lo esperado e identificar las acciones manuales que deben revisarse. Consulte Visitar el Centro de acciones para ver las acciones de corrección.

Equipo de operaciones de seguridad

Equipo de administración de seguridad

  • Revisión de informes de estado

    Revise los informes de estado para identificar las tendencias de estado de los dispositivos que deben abordarse. Los informes de estado del dispositivo cubren Microsoft Defender para punto de conexión firma de AV, estado de la plataforma y estado de EDR. Consulte Informes de estado del dispositivo en Microsoft Defender para punto de conexión.

  • Comprobación del estado del sensor de detección y respuesta del punto de conexión (EDR)

    El estado de EDR mantiene la conexión con el servicio EDR para asegurarse de que Defender para punto de conexión recibe las señales necesarias para alertar e identificar vulnerabilidades.

    Revise los dispositivos incorrectos. Consulte Estado del dispositivo, Estado del sensor & informe del sistema operativo.

  • Comprobación del estado de Microsoft Defender Antivirus

    Ver el estado de las actualizaciones de Microsoft Defender Antivirus es fundamental para obtener el mejor rendimiento de Defender para punto de conexión en su entorno y detecciones actualizadas. La página estado del dispositivo muestra el estado actual de la plataforma, la inteligencia y la versión del motor. Consulte el informe Estado del dispositivo, Microsoft Defender Antivirus.

Actividades semanales

General

  • Centro de mensajes

    Microsoft Defender XDR usa el Centro de mensajes de Microsoft 365 para notificarle los próximos cambios, como características nuevas y modificadas, mantenimiento planeado u otros anuncios importantes.

    Revise los mensajes del Centro de mensajes para comprender los próximos cambios que afectan al entorno.

    Puede acceder a esta información en el Centro de administración de Microsoft 365 en la pestaña Estado. Consulte Cómo comprobar el estado del servicio de Microsoft 365.

Equipo de operaciones de seguridad

Equipo de administración de seguridad

Actividades mensuales

General

Revise los siguientes artículos para comprender las actualizaciones publicadas recientemente:

Equipo de administración de seguridad

Periódicamente

Estas tareas se consideran mantenimiento de la posición de seguridad y son fundamentales para la protección continua. Pero como pueden tardar tiempo y esfuerzo, se recomienda establecer una programación estándar que pueda mantener para realizar estas tareas.

  • Revisar exclusiones

    Revise las exclusiones que se han establecido en su entorno para confirmar que no ha creado una brecha de protección mediante la exclusión de elementos que ya no son necesarios para excluirse.

  • Revisión de las configuraciones de directivas de Defender

    Revise periódicamente los valores de configuración de Defender para confirmar que se establecen según sea necesario.

  • Revisión de los niveles de automatización

    Revise los niveles de automatización en las funcionalidades automatizadas de investigación y corrección. Consulte Niveles de automatización en investigación y corrección automatizadas.

  • Revisión de detecciones personalizadas

    Revise periódicamente si las detecciones personalizadas que se han creado siguen siendo válidas y eficaces. Consulte Revisión de la detección personalizada.

  • Revisión de la supresión de alertas

    Revise periódicamente las reglas de supresión de alertas que se hayan creado para confirmar que siguen siendo necesarias y válidas. Consulte Revisión de la supresión de alertas.

Solución de problemas

En los artículos siguientes se proporcionan instrucciones para solucionar los errores que puede experimentar al configurar el servicio de Microsoft Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.