Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica dei requisiti e delle attività per il corretto funzionamento delle Microsoft Defender per endpoint nell'organizzazione. Queste attività consentono al Centro operativo di sicurezza (SOC) di rilevare e rispondere in modo efficace a Microsoft Defender per endpoint minacce alla sicurezza rilevate.
Questo articolo descrive anche le attività giornaliere, settimanali, mensili e ad hoc che il team di sicurezza può eseguire per l'organizzazione.
Nota
Questi sono i passaggi consigliati; controllarli in base ai propri criteri e all'ambiente per assicurarsi che siano adatti allo scopo.
Prerequisiti
L'endpoint Microsoft Defender deve essere configurato per supportare il normale processo delle operazioni di sicurezza. Anche se non sono trattati in questo documento, gli articoli seguenti forniscono informazioni di configurazione e configurazione:
Configurare le impostazioni generali di Defender per endpoint
- Generale
- Autorizzazioni
- Regole
- Gestione dei dispositivi
- Configurare le impostazioni del fuso orario del Microsoft Defender Security Center
Configurare le notifiche degli eventi imprevisti Microsoft Defender XDR
Per ottenere notifiche tramite posta elettronica in caso di eventi imprevisti Microsoft Defender XDR definiti, è consigliabile configurare le notifiche tramite posta elettronica. Per altre informazioni, vedere Notifiche degli eventi imprevisti tramite posta elettronica.
Connettersi a SIEM (Sentinel)
Se si dispone di strumenti siEM (Security Information and Event Management) esistenti, è possibile integrarli con Microsoft Defender XDR. Per altre informazioni, vedere Integrare gli strumenti SIEM con Microsoft Defender XDR e integrazione Microsoft Defender XDR con Microsoft Sentinel.
Esaminare la configurazione dell'individuazione dati
Esaminare la configurazione di individuazione dei dispositivi Microsoft Defender per endpoint per assicurarsi che sia configurata in base alle esigenze. Per altre informazioni, vedere Panoramica dell'individuazione dei dispositivi.
Attività quotidiane
Generale
Esaminare le azioni
Nel centro notifiche esaminare le azioni eseguite nell'ambiente, sia automatizzate che manuali. Queste informazioni consentono di verificare che l'analisi automatizzata e la risposta (AIR) funzionino come previsto e identificare eventuali azioni manuali che devono essere esaminate. Per altre informazioni, vedere Visitare il Centro notifiche per visualizzare le azioni correttive.
Team delle operazioni di sicurezza
Monitorare la coda degli eventi imprevisti Microsoft Defender XDR
Quando Microsoft Defender per endpoint identifica gli indicatori di compromissione (IIC) o gli indicatori di attacco (I/O) e genera un avviso, l'avviso viene incluso in un evento imprevisto e visualizzato nella coda Eventi imprevisti nel portale di Microsoft Defender (https://security.microsoft.com).
Esaminare questi eventi imprevisti per rispondere agli avvisi di Microsoft Defender per endpoint e risolverli dopo la correzione dell'evento imprevisto. Per altre informazioni, vedere Notifiche degli eventi imprevisti tramite posta elettronica e Visualizzare e organizzare la coda eventi imprevisti Microsoft Defender per endpoint.
Gestire i rilevamenti falsi positivi e falsi negativi
Esaminare la coda degli eventi imprevisti, identificare i rilevamenti falsi positivi e falsi negativi e inviarli per la revisione. In questo modo è possibile gestire in modo efficace gli avvisi nell'ambiente e rendere più efficienti gli avvisi. Per altre informazioni, vedere Indirizzo di falsi positivi/negativi in Microsoft Defender per endpoint.
Esaminare le minacce ad alto impatto dell'analisi delle minacce
Esaminare l'analisi delle minacce per identificare eventuali campagne che influiscono sull'ambiente. La tabella "Minacce ad alto impatto" elenca le minacce che hanno avuto il massimo impatto sull'organizzazione. Questa sezione classifica le minacce in base al numero di dispositivi con avvisi attivi. Per altre informazioni, vedere Tenere traccia e rispondere alle minacce emergenti tramite l'analisi delle minacce.
Team di amministrazione della sicurezza
Esaminare i report sull'integrità
Esaminare i report sull'integrità per identificare eventuali tendenze di integrità dei dispositivi che devono essere affrontate. I report sull'integrità dei dispositivi riguardano Microsoft Defender per endpoint firma AV, integrità della piattaforma e integrità EDR. Per altre informazioni, vedere Report sull'integrità dei dispositivi in Microsoft Defender per endpoint.
Controllare l'integrità del sensore EDR (Endpoint Detection and Response)
L'integrità edr mantiene la connessione al servizio EDR per assicurarsi che Defender per endpoint riceva i segnali necessari per segnalare e identificare le vulnerabilità.
Esaminare i dispositivi non integri. Per altre informazioni, vedere Integrità del dispositivo, Report sull'integrità dei sensori & sistema operativo.
Controllare Microsoft Defender integrità antivirus
La visualizzazione dello stato degli aggiornamenti di Microsoft Defender Antivirus è fondamentale per le migliori prestazioni di Defender per endpoint nell'ambiente e per i rilevamenti aggiornati. La pagina integrità del dispositivo mostra lo stato corrente per la piattaforma, l'intelligence e la versione del motore. Per altre informazioni, vedere il report Integrità del dispositivo Microsoft Defender Integrità antivirus.
Attività settimanali
Generale
Centro messaggi
Microsoft Defender XDR usa il Centro messaggi di Microsoft 365 per notificare le modifiche imminenti, ad esempio le funzionalità nuove e modificate, la manutenzione pianificata o altri annunci importanti.
Esaminare i messaggi del Centro messaggi per comprendere eventuali modifiche imminenti che influiscono sull'ambiente.
È possibile accedervi nella interfaccia di amministrazione di Microsoft 365 nella scheda Integrità. Per altre informazioni, vedere Come controllare l'integrità del servizio Microsoft 365.
Team delle operazioni di sicurezza
Esaminare la segnalazione delle minacce
Esaminare i report sull'integrità per identificare eventuali tendenze delle minacce dei dispositivi che devono essere risolte. Per altre informazioni, vedere Report sulla protezione dalle minacce.
Esaminare l'analisi delle minacce
Esaminare l'analisi delle minacce per identificare eventuali campagne che influiscono sull'ambiente. Per altre informazioni, vedere Tenere traccia e rispondere alle minacce emergenti tramite l'analisi delle minacce.
Team di amministrazione della sicurezza
Esaminare lo stato di minaccia e vulnerabilità (TVM)
Esaminare TVM per identificare eventuali nuove vulnerabilità e raccomandazioni che richiedono un'azione. Per altre informazioni, vedere Dashboard di gestione delle vulnerabilità.
Esaminare i report sulla riduzione della superficie di attacco
Esaminare i report asr per identificare eventuali file che influiscono sull'ambiente. Per altre informazioni, vedere Report sulle regole di riduzione della superficie di attacco (ASR).
Esaminare gli eventi di protezione Web
Esaminare il report di difesa Web per identificare eventuali URL o indirizzi IP bloccati. Per altre informazioni, vedere Protezione Web.
Attività mensili
Generale
Esaminare gli articoli seguenti per comprendere gli aggiornamenti rilasciati di recente:
Team di amministrazione della sicurezza
Esaminare il dispositivo escluso dai criteri
Se i dispositivi sono esclusi dai criteri di Defender per endpoint, verificare e determinare se il dispositivo deve ancora essere escluso dai criteri.
Nota
Esaminare la modalità di risoluzione dei problemi per la risoluzione dei problemi. Per altre informazioni, vedere Introduzione alla modalità di risoluzione dei problemi in Microsoft Defender per endpoint.
Periodicamente
Queste attività sono considerate come manutenzione per il comportamento di sicurezza e sono fondamentali per la protezione in corso. Tuttavia, poiché potrebbero richiedere tempo e fatica, è consigliabile impostare una pianificazione standard che è possibile gestire per eseguire queste attività.
Esaminare le esclusioni
Esaminare le esclusioni impostate nell'ambiente per verificare che non sia stato creato un gap di protezione escludendo gli elementi che non sono più necessari per essere esclusi.
Esaminare le configurazioni dei criteri di Defender
Esaminare periodicamente le impostazioni di configurazione di Defender per verificare che siano impostate come richiesto.
Esaminare i livelli di automazione
Esaminare i livelli di automazione nelle funzionalità di analisi e correzione automatizzate. Per altre informazioni, vedere Livelli di automazione nell'analisi automatizzata e nella correzione.
Esaminare i rilevamenti personalizzati
Verificare periodicamente se i rilevamenti personalizzati creati sono ancora validi ed efficaci. Per altre informazioni, vedere Esaminare il rilevamento personalizzato.
Esaminare l'eliminazione degli avvisi
Esaminare periodicamente tutte le regole di eliminazione degli avvisi create per verificare che siano ancora necessarie e valide. Per altre informazioni, vedere Esaminare l'eliminazione degli avvisi.
Risoluzione dei problemi
Gli articoli seguenti forniscono indicazioni per risolvere e correggere gli errori che possono verificarsi durante la configurazione del servizio Microsoft Defender per endpoint.
- Risolvere i problemi relativi allo stato del sensore
- Risolvere i problemi di integrità dei sensori tramite l'analizzatore client
- Risolvere i problemi relativi alle risposte in tempo reale
- Raccogliere log di supporto con LiveAnalyzer
- Risolvere i problemi di riduzione della superficie di attacco
- Risolvere i problemi di onboarding