Microsoft Defender för Endpoint säkerhetsåtgärdsguide
Gäller för:
Den här artikeln ger en översikt över kraven och uppgifterna för att fungera Microsoft Defender för Endpoint i din organisation. Dessa uppgifter hjälper ditt säkerhetscenter (SOC) att effektivt identifiera och svara på Microsoft Defender för Endpoint identifierade säkerhetshot.
Den här artikeln beskriver även dagliga, veckovisa, månatliga och ad hoc-uppgifter som ditt säkerhetsteam kan utföra för din organisation.
Obs!
Dessa är rekommenderade steg. kontrollera dem mot dina egna principer och din miljö för att se till att de är ändamålsenliga.
Förutsättningar:
Den Microsoft Defender slutpunkten bör konfigureras för att stödja den vanliga säkerhetsåtgärderprocessen. Även om det inte beskrivs i det här dokumentet innehåller följande artiklar konfigurations- och konfigurationsinformation:
Konfigurera allmänna Inställningar för Defender för Endpoint
- Allmän
- Behörigheter
- Regler
- Enhetshantering
- Konfigurera tidzoninställningar för Microsoft Defender Säkerhetscenter
Konfigurera Microsoft Defender XDR incidentaviseringar
Om du vill få e-postaviseringar om definierade Microsoft Defender XDR incidenter rekommenderar vi att du konfigurerar e-postaviseringar. Se Incidentaviseringar via e-post.
Ansluta till SIEM (Sentinel)
Om du har befintliga SIEM-verktyg (säkerhetsinformation och händelsehantering) kan du integrera dem med Microsoft Defender XDR. Se Integrera dina SIEM-verktyg med Microsoft Defender XDR och Microsoft Defender XDR integrering med Microsoft Sentinel.
Granska konfigurationen av dataidentifiering
Granska konfigurationen Microsoft Defender för Endpoint enhetsidentifiering för att se till att den är konfigurerad efter behov. Se Översikt över enhetsidentifiering.
Dagliga aktiviteter
Allmän
Granska åtgärder
I åtgärdscentret granskar du de åtgärder som har vidtagits i din miljö, både automatiserade och manuella. Den här informationen hjälper dig att verifiera att automatiserad undersökning och svar (AIR) fungerar som förväntat och identifierar eventuella manuella åtgärder som behöver granskas. Se Gå till Åtgärdscenter för att se reparationsåtgärder.
Säkerhetsåtgärdsteam
Övervaka kön Microsoft Defender XDR incidenter
När Microsoft Defender för Endpoint identifierar indikatorer för kompromettering (IOCs) eller indikatorer för angrepp (IOA) och genererar en avisering, inkluderas aviseringen i en incident och visas i kön Incidenter i Microsoft Defender-portalen (https://security.microsoft.com).
Granska dessa incidenter för att svara på eventuella Microsoft Defender för Endpoint aviseringar och åtgärda när incidenten har åtgärdats. Se Incidentaviseringar via e-post och Visa och organisera kön Microsoft Defender för Endpoint incidenter.
Hantera identifieringar av falska positiva och falska negativa identifieringar
Granska incidentkön, identifiera falska positiva och falska negativa identifieringar och skicka dem för granskning. På så sätt kan du effektivt hantera aviseringar i din miljö och göra aviseringarna mer effektiva. Se Adressera falska positiva/negativa identifieringar i Microsoft Defender för Endpoint.
Granska hotanalyser med hög påverkan
Granska hotanalys för att identifiera eventuella kampanjer som påverkar din miljö. I tabellen "Hot med hög påverkan" visas de hot som har haft störst inverkan på organisationen. Det här avsnittet rangordnar hot efter antalet enheter som har aktiva aviseringar. Se Spåra och svara på nya hot via hotanalys.
Säkerhetsadministrationsteamet
Granska hälsorapporter
Granska hälsorapporter för att identifiera eventuella trender för enhetens hälsotillstånd som behöver åtgärdas. Rapporterna om enhetens hälsotillstånd omfattar Microsoft Defender för Endpoint AV-signatur, plattformshälsa och EDR-hälsa. Se Hälsorapporter för enheter i Microsoft Defender för Endpoint.
Kontrollera sensorhälsa för slutpunktsidentifiering och svar (EDR)
EDR-hälsotillståndet upprätthåller anslutningen till EDR-tjänsten för att se till att Defender för Endpoint tar emot de signaler som krävs för att varna och identifiera sårbarheter.
Granska enheter med feltillstånd. Se Enhetshälsa, Sensorhälsa & OS-rapport.
Kontrollera Microsoft Defender antivirushälsa
Att visa status för Microsoft Defender Antivirus-uppdateringar är viktigt för bästa prestanda för Defender för Endpoint i din miljö och uppdaterade identifieringar. Sidan enhetshälsa visar aktuell status för plattform, intelligens och motorversion. Se hälsorapporten för enheten Microsoft Defender Antivirus.
Veckoaktiviteter
Allmän
Meddelandecentral
Microsoft Defender XDR använder Microsoft 365 Meddelandecenter för att meddela dig om kommande ändringar, till exempel nya och ändrade funktioner, planerat underhåll eller andra viktiga meddelanden.
Granska meddelandecentrets meddelanden för att förstå eventuella kommande ändringar som påverkar din miljö.
Du kan komma åt detta i Administrationscenter för Microsoft 365 under fliken Hälsa. Se Så här kontrollerar du tjänstens hälsotillstånd för Microsoft 365.
Säkerhetsåtgärdsteam
Granska hotrapportering
Granska hälsorapporter för att identifiera eventuella trender för enhetshot som behöver åtgärdas. Se Hotskyddsrapport.
Granska hotanalys
Granska hotanalys för att identifiera eventuella kampanjer som påverkar din miljö. Se Spåra och svara på nya hot via hotanalys.
Säkerhetsadministrationsteamet
Granska status för hot och sårbarhet (TVM)
Granska TVM för att identifiera eventuella nya säkerhetsrisker och rekommendationer som kräver åtgärder. Se instrumentpanelen för sårbarhetshantering.
Granska rapportering om minskning av attackytan
Granska ASR-rapporter för att identifiera filer som påverkar din miljö. Se rapporten Om regler för minskning av attackytan.
Granska webbskyddshändelser
Granska webbskyddsrapporten för att identifiera eventuella IP-adresser eller URL:er som blockeras. Se Webbskydd.
Månatliga aktiviteter
Allmän
Läs följande artiklar för att förstå nyligen utgivna uppdateringar:
Säkerhetsadministrationsteamet
Granska enheten som undantas från principen
Om några enheter undantas från Defender för Endpoint-principer granskar du och avgör om enheten fortfarande måste undantas från principen.
Obs!
Granska felsökningsläget för felsökning. Se Kom igång med felsökningsläge i Microsoft Defender för Endpoint.
Regelbundet
Dessa uppgifter ses som underhåll för din säkerhetsstatus och är viktiga för ditt pågående skydd. Men eftersom det kan ta tid och ansträngning rekommenderar vi att du anger ett standardschema som du kan underhålla för att utföra dessa uppgifter.
Granska undantag
Granska undantag som har angetts i din miljö för att bekräfta att du inte har skapat ett skyddsgap genom att exkludera saker som inte längre behöver undantas.
Granska Defender-principkonfigurationer
Granska dina Defender-konfigurationsinställningar regelbundet för att bekräfta att de har angetts efter behov.
Granska automatiseringsnivåer
Granska automatiseringsnivåer i automatiserade undersöknings- och reparationsfunktioner. Se Automatiseringsnivåer i automatiserad undersökning och reparation.
Granska anpassade identifieringar
Granska regelbundet om de anpassade identifieringarna som har skapats fortfarande är giltiga och effektiva. Se Granska anpassad identifiering.
Granska undertryckning av aviseringar
Granska regelbundet eventuella regler för undertryckning av aviseringar som har skapats för att bekräfta att de fortfarande är obligatoriska och giltiga. Se Granska undertryckning av aviseringar.
Felsökning
Följande artiklar innehåller vägledning för att felsöka och åtgärda fel som kan uppstå när du konfigurerar din Microsoft Defender för Endpoint-tjänst.
- Felsöka sensortillstånd
- Felsöka sensorhälsoproblem med hjälp av Client Analyzer
- Felsöka problem med livesvar
- Samla in supportloggar med LiveAnalyzer
- Felsöka problem med minskning av attackytan
- Felsöka registreringsproblem
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.