vejledning til Microsoft Defender for Endpoint sikkerhedshandlinger

  • Gælder for: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Denne artikel indeholder en oversigt over kravene og opgaverne for korrekt drift af Microsoft Defender for Endpoint i din organisation. Disse opgaver hjælper dit SOC (Security Operations Center) med effektivt at registrere og reagere på Microsoft Defender for Endpoint registrerede sikkerhedstrusler.

I denne artikel beskrives også daglige, ugentlige, månedlige og ad hoc-opgaver, som dit sikkerhedsteam kan udføre for din organisation.

Bemærk!

Disse er anbefalede trin. tjek dem i forhold til dine egne politikker og miljø for at sikre, at de passer til formålet.

Forudsætninger

Det Microsoft Defender slutpunkt skal konfigureres til at understøtte din almindelige sikkerhedshandlinger. Selvom de ikke er beskrevet i dette dokument, indeholder følgende artikler konfigurations- og konfigurationsoplysninger:

Daglige aktiviteter

Generel

  • Gennemse handlinger

    Gennemse de handlinger, der er udført i dit miljø, både automatiseret og manuelt, i Handlingscenter. Disse oplysninger hjælper dig med at validere, at automatiseret undersøgelse og svar (AIR) fungerer som forventet, og identificere eventuelle manuelle handlinger, der skal gennemses. Du kan finde flere oplysninger under Besøg Løsningscenter for at se afhjælpningshandlinger.

Team for sikkerhedshandlinger

  • Overvåg køen Microsoft Defender XDR hændelser

    Når Microsoft Defender for Endpoint identificerer indikatorer for kompromitterede (IOCs) eller indikatorer for angreb (IOA'er) og genererer en besked, medtages beskeden i en hændelse og vises i køen Hændelser på Microsoft Defender-portalen (https://security.microsoft.com).

    Gennemse disse hændelser for at besvare alle Microsoft Defender for Endpoint beskeder og løse problemet, når hændelsen er blevet løst. Du kan få flere oplysninger under Hændelsesmeddelelser via mail og Få vist og organiser køen Microsoft Defender for Endpoint hændelser.

  • Administrer registreringer af falske positive og falske negative

    Gennemse hændelseskøen, identificer falske positive og falske negative registreringer, og send dem til gennemsyn. Dette hjælper dig med effektivt at administrere beskeder i dit miljø og gøre dine beskeder mere effektive. Du kan finde flere oplysninger under Adresse falske positive/negative i Microsoft Defender for Endpoint.

  • Gennemse trusselsanalyser med stor indvirkning på trusler

    Gennemse trusselsanalyser for at identificere eventuelle kampagner, der påvirker dit miljø. Tabellen "Trusler med stor indvirkning" viser de trusler, der har haft den største indvirkning på organisationen. I dette afsnit rangordnes trusler efter antallet af enheder, der har aktive beskeder. Du kan finde flere oplysninger under Spor og reager på nye trusler via trusselsanalyser.

Sikkerhedsadministrationsteam

  • Gennemse tilstandsrapporter

    Gennemse tilstandsrapporter for at identificere eventuelle tendenser for enhedens tilstand, der skal håndteres. Rapporterne over enhedens tilstand dækker Microsoft Defender for Endpoint AV-signatur, platformtilstand og EDR-tilstand. Du kan få flere oplysninger under Rapporter om enhedstilstand i Microsoft Defender for Endpoint.

  • Kontrollér EDR-sensortilstand (Endpoint Detection and Response)

    EDR-tilstand vedligeholder forbindelsen til EDR-tjenesten for at sikre, at Defender for Endpoint modtager de nødvendige signaler til at advare og identificere sikkerhedsrisici.

    Gennemse usunde enheder. Du kan få flere oplysninger i Enhedstilstand, Sensortilstand & OS-rapport.

  • Kontrollér Microsoft Defender Antiviruss tilstand

    Visning af status for Microsoft Defender Antivirus-opdateringer er afgørende for den bedste ydeevne af Defender for Endpoint i dit miljø og opdaterede registreringer. På siden enhedstilstand vises den aktuelle status for platform-, intelligens- og programversion. Du kan få flere oplysninger i rapporten Enhedstilstand, Microsoft Defender Antivirustilstand.

Ugentlige aktiviteter

Generel

  • Meddelelsescenter

    Microsoft Defender XDR bruger Microsoft 365 Meddelelsescenter til at give dig besked om kommende ændringer, f.eks. nye og ændrede funktioner, planlagt vedligeholdelse eller andre vigtige meddelelser.

    Gennemse meddelelserne i Meddelelsescenter for at forstå eventuelle kommende ændringer, der påvirker dit miljø.

    Du kan få adgang til dette i Microsoft 365 Administration under fanen Tilstand. Du kan få flere oplysninger under Sådan kontrollerer du tjenestetilstanden for Microsoft 365.

Team for sikkerhedshandlinger

  • Gennemse trusselsrapportering

    Gennemse tilstandsrapporter for at identificere eventuelle tendenser for enhedstrusler, der skal håndteres. Du kan få flere oplysninger under Rapport om trusselsbeskyttelse.

  • Gennemse trusselsanalyse

    Gennemse trusselsanalyser for at identificere eventuelle kampagner, der påvirker dit miljø. Du kan finde flere oplysninger under Spor og reager på nye trusler via trusselsanalyser.

Sikkerhedsadministrationsteam

  • Gennemse status for trussel og sårbarhed (TVM)

    Gennemse TVM for at identificere eventuelle nye sikkerhedsrisici og anbefalinger, der kræver handling. Du kan få flere oplysninger under Dashboard til administration af sårbarheder.

  • Gennemse rapportering om reduktion af angrebsoverfladen

    Gennemse ASR-rapporter for at identificere filer, der påvirker dit miljø. Du kan få flere oplysninger i rapporten over regler for reduktion af angrebsoverflader (ASR).

  • Gennemse webbeskyttelseshændelser

    Gennemse webforsvarsrapporten for at identificere eventuelle IP-adresser eller URL-adresser, der er blokeret. Du kan få flere oplysninger under Webbeskyttelse.

Månedlige aktiviteter

Generel

Gennemse følgende artikler for at forstå nyligt udgivne opdateringer:

Sikkerhedsadministrationsteam

  • Gennemse enhed, der er udelukket fra politikken

    Hvis nogen enheder er udelukket fra Defender for Endpoint-politikker, skal du gennemse og afgøre, om enheden stadig skal udelades fra politikken.

    Bemærk!

    Gennemse fejlfindingstilstanden for at få oplysninger om fejlfinding. Du kan få flere oplysninger under Kom i gang med fejlfindingstilstand i Microsoft Defender for Endpoint.

Regelmæssigt

Disse opgaver betragtes som vedligeholdelse af din sikkerhedsholdning og er afgørende for din løbende beskyttelse. Men da de kan tage tid og kræfter, anbefales det, at du angiver en standardplan, som du kan vedligeholde for at udføre disse opgaver.

  • Gennemse udeladelser

    Gennemse undtagelser, der er angivet i dit miljø, for at bekræfte, at du ikke har oprettet et beskyttelsesgab ved at udelade ting, der ikke længere behøver at blive udelukket.

  • Gennemse konfigurationer af Defender-politik

    Gennemse jævnligt dine Defender-konfigurationsindstillinger for at bekræfte, at de er angivet efter behov.

  • Gennemse automatiseringsniveauer

    Gennemse automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner. Du kan få flere oplysninger under Automatiseringsniveauer i automatiseret undersøgelse og afhjælpning.

  • Gennemse brugerdefinerede registreringer

    Gennemse jævnligt, om de brugerdefinerede registreringer, der er blevet oprettet, stadig er gyldige og effektive. Du kan få flere oplysninger under Gennemse brugerdefineret registrering.

  • Gennemse undertrykkelse af beskeder

    Gennemse jævnligt eventuelle regler for undertrykkelse af beskeder, der er blevet oprettet, for at bekræfte, at de stadig er påkrævede og gyldige. Du kan få flere oplysninger under Gennemse undertrykkelse af beskeder.

Fejlfinding

Følgende artikler indeholder en vejledning i fejlfinding og rettelse af fejl, som du kan opleve, når du konfigurerer din Microsoft Defender for Endpoint-tjeneste.

  • Last updated on