Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma descrição geral dos requisitos e tarefas para operações com êxito Microsoft Defender para Ponto de Extremidade na sua organização. Estas tarefas ajudam o centro de operações de segurança (SOC) a detetar e responder eficazmente a ameaças de segurança Microsoft Defender para Ponto de Extremidade detetadas.
Este artigo também descreve tarefas diárias, semanais, mensais e ad-hoc que a sua equipa de segurança pode realizar para a sua organização.
Observação
Estes são passos recomendados; marcar-as contra as suas próprias políticas e ambiente para garantir que são adequadas para o efeito.
Pré-requisitos:
O Ponto Final Microsoft Defender deve ser configurado para suportar o seu processo regular de operações de segurança. Apesar de não estar abrangido neste documento, os seguintes artigos fornecem informações de configuração e configuração:
Definir as configurações gerais do Defender para Ponto de Extremidade
- Geral
- Permissões
- Regras
- Gerenciamento de dispositivos
- Definir as configurações de fuso horário da Central de Segurança do Microsoft Defender
Configurar Microsoft Defender XDR notificações de incidentes
Para obter notificações por email em incidentes de Microsoft Defender XDR definidos, recomenda-se que configure notificações por email. Veja Notificações de incidentes por e-mail.
Ligar ao SIEM (Sentinel)
Se tiver ferramentas de gestão de informações e eventos de segurança (SIEM) existentes, pode integrá-las com Microsoft Defender XDR. Veja Integrar as ferramentas SIEM com Microsoft Defender XDR e Microsoft Defender XDR integração com o Microsoft Sentinel.
Rever a configuração da deteção de dados
Reveja a configuração Microsoft Defender para Ponto de Extremidade de deteção de dispositivos para garantir que está configurada conforme necessário. Veja Descrição geral da deteção de dispositivos.
Atividades diárias
Geral
Rever ações
No centro de ação, reveja as ações que foram executadas no seu ambiente, automatizadas e manuais. Estas informações ajudam-no a validar que a investigação e resposta automatizadas (AIR) estão a funcionar conforme esperado e a identificar quaisquer ações manuais que precisem de ser revistas. Consulte Visitar o Centro de ação para ver as ações de remediação.
Equipa de operações de segurança
Monitorizar a fila Microsoft Defender XDR Incidentes
Quando Microsoft Defender para Ponto de Extremidade identifica Indicadores de comprometimento (IOCs) ou Indicadores de ataque (IOAs) e gera um alerta, o alerta é incluído num incidente e apresentado na fila Incidentes no portal do Microsoft Defender (https://security.microsoft.com).
Reveja estes incidentes para responder a quaisquer alertas Microsoft Defender para Ponto de Extremidade e resolve depois de o incidente ter sido remediado. Veja Notificações de incidentes por e-mail e Ver e organizar a fila Microsoft Defender para Ponto de Extremidade Incidentes.
Gerir deteções de falsos positivos e falsos negativos
Reveja a fila de incidentes, identifique deteções de falsos positivos e falsos negativos e submeta-as para revisão. Isto ajuda-o a gerir eficazmente os alertas no seu ambiente e a tornar os alertas mais eficientes. Veja Resolver falsos positivos/negativos no Microsoft Defender para Ponto de Extremidade.
Rever ameaças de impacto elevado da análise de ameaças
Reveja a análise de ameaças para identificar quaisquer campanhas que estejam a afetar o seu ambiente. A tabela "Ameaças de alto impacto" lista as ameaças que tiveram o maior impacto na organização. Esta secção classifica as ameaças pelo número de dispositivos com alertas ativos. Veja Controlar e responder a ameaças emergentes através da análise de ameaças.
Equipa de administração de segurança
Rever relatórios de estado de funcionamento
Reveja os relatórios de estado de funcionamento para identificar quaisquer tendências de estado de funcionamento do dispositivo que precisem de ser abordadas. Os relatórios de estado de funcionamento do dispositivo abrangem Microsoft Defender para Ponto de Extremidade assinatura AV, o estado de funcionamento da plataforma e o estado de funcionamento do EDR. Veja Relatórios de estado de funcionamento do dispositivo no Microsoft Defender para Ponto de Extremidade.
Verificar o estado de funcionamento do sensor de deteção e resposta de pontos finais (EDR)
O estado de funcionamento do EDR mantém a ligação ao serviço EDR para garantir que o Defender para Endpoint está a receber os sinais necessários para alertar e identificar vulnerabilidades.
Reveja os dispositivos em mau estado de funcionamento. Veja Estado de funcionamento do dispositivo, Estado de funcionamento do sensor & relatório do SO.
Verificar Microsoft Defender estado de funcionamento do Antivírus
Ver a status das atualizações do Antivírus do Microsoft Defender é fundamental para o melhor desempenho do Defender para Endpoint no seu ambiente e deteções atualizadas. A página de estado de funcionamento do dispositivo mostra os status atuais para a plataforma, inteligência e versão do motor. Veja o relatório Estado de funcionamento do dispositivo Microsoft Defender Antivírus.
Atividades semanais
Geral
Centro de Mensagens
Microsoft Defender XDR utiliza o Centro de Mensagens do Microsoft 365 para notificá-lo sobre alterações futuras, tais como funcionalidades novas e alteradas, manutenção planeada ou outros anúncios importantes.
Reveja as mensagens do Centro de mensagens para compreender as alterações futuras que afetam o seu ambiente.
Pode aceder a esta opção no Centro de administração do Microsoft 365 no separador Estado de Funcionamento. Veja Como marcar o estado de funcionamento do serviço Microsoft 365.
Equipa de operações de segurança
Rever relatórios de ameaças
Reveja os relatórios de estado de funcionamento para identificar quaisquer tendências de ameaças de dispositivos que precisem de ser abordadas. Veja Relatório de proteção contra ameaças.
Rever a análise de ameaças
Reveja a análise de ameaças para identificar as campanhas que afetam o seu ambiente. Veja Controlar e responder a ameaças emergentes através da análise de ameaças.
Equipa de administração de segurança
Rever ameaças e vulnerabilidades (TVM) status
Reveja TVM para identificar quaisquer novas vulnerabilidades e recomendações que exijam ação. Veja Gestão de vulnerabilidades dashboard.
Rever relatórios de redução da superfície de ataque
Reveja os relatórios do ASR para identificar quaisquer ficheiros que afetem o seu ambiente. Veja Relatório de regras de redução da superfície de ataque.
Rever eventos de proteção Web
Reveja o relatório de defesa da Web para identificar quaisquer endereços IP ou URLs bloqueados. Consulte Proteção Web.
Atividades mensais
Geral
Reveja os seguintes artigos para compreender as atualizações lançadas recentemente:
Novidades no Microsoft Defender para Ponto de Extremidade no Windows
Novidades no Microsoft Defender para Ponto de Extremidade no Mac
Novidades no Microsoft Defender para Ponto de Extremidade no Linux
Novidades no Microsoft Defender para Ponto de Extremidade no iOS
Novidades no Microsoft Defender para Ponto de Extremidade no Android
Equipa de administração de segurança
Rever o dispositivo excluído da política
Se algum dispositivo for excluído das políticas do Defender para Endpoint, reveja e determine se o dispositivo ainda precisa de ser excluído da política.
Observação
Reveja o modo de resolução de problemas para resolução de problemas. Veja Introdução ao modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade.
Periodicamente
Estas tarefas são vistas como manutenção para a sua postura de segurança e são fundamentais para a sua proteção contínua. No entanto, como podem demorar algum tempo e esforço, recomenda-se que defina uma agenda padrão que pode manter para realizar estas tarefas.
Rever exclusões
Reveja as exclusões que foram definidas no seu ambiente para confirmar que não criou uma lacuna de proteção ao excluir itens que já não têm de ser excluídos.
Rever as configurações da política do Defender
Reveja periodicamente as definições de configuração do Defender para confirmar que estão definidas conforme necessário.
Rever os níveis de automatização
Reveja os níveis de automatização nas capacidades de investigação e remediação automatizadas. Veja Níveis de automatização na investigação e remediação automatizadas.
Rever deteções personalizadas
Reveja periodicamente se as deteções personalizadas que foram criadas ainda são válidas e eficazes. Veja Rever a deteção personalizada.
Rever a supressão de alertas
Reveja periodicamente quaisquer regras de supressão de alertas que tenham sido criadas para confirmar que ainda são necessárias e válidas. Veja Rever supressão de alertas.
Solução de problemas
Os artigos seguintes fornecem orientações para resolver problemas e corrigir erros que poderá encontrar ao configurar o serviço Microsoft Defender para Ponto de Extremidade.
- Resolver problemas do estado do Sensor
- Solucionar problemas de integridade do sensor usando o Analisador de Cliente
- Solucionar problemas de resposta dinâmica
- Coletar registros de suporte usando LiveAnalyzer
- Solucionar problemas de redução da superfície de ataque
- Solucionar problemas de integração
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.