本文概述在組織中成功操作適用於端點的 Microsoft Defender 的需求和工作。 這些工作可協助您的安全營運中心 (SOC) 有效地偵測和回應適用於端點的 Microsoft Defender偵測到的安全威脅。
本文也會說明您的安全性小組可以為組織執行的每日、每週、每月和臨機操作工作。
注意事項
這些是建議的步驟;根據您自己的政策和環境檢查它們,以確保它們適合目的。
必要條件:
應該設定 Microsoft Defender 端點,以支援您的一般安全性作業程式。 雖然本文檔未介紹,但以下文章提供了配置和設定資訊:
-
- 一般
- 權限
- 規則
- 裝置管理
- 設定 Microsoft Defender 資訊安全中心時區設定
設定 Microsoft Defender 全面偵測回應事件通知
若要取得已定義 Microsoft Defender 全面偵測回應 事件的電子郵件通知,建議您設定電子郵件通知。 請參閱 透過電子郵件傳送的事件通知。
連線至 SIEM (Sentinel)
如果您有現有的安全資訊和事件管理 (SIEM) 工具,您可以將它們與 Microsoft Defender 全面偵測回應 整合。 請參閱 將您的 SIEM 工具與 Microsoft Defender 全面偵測回應 和 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。
檢閱資料探索組態
檢閱適用於端點的 Microsoft Defender 裝置探索設定,以確保視需要進行設定。 請參閱 裝置探索概觀。
日常活動
一般
檢閱動作
在控制中心中,檢閱在您的環境中已採取的動作,包括自動化和手動。 此資訊可協助您驗證 AIR) (自動化調查和回應是否如預期般執行,並識別任何需要檢閱的手動動作。 請參閱 造訪控制中心 以查看補救動作。
安全性作業小組
監視 Microsoft Defender 全面偵測回應事件佇列
當適用於端點的 Microsoft Defender識別 IOC) (入侵指標或 IOA (攻擊指標) 並產生警示時,警示會併入事件中,並顯示在 Microsoft Defender 入口網站 (https://security.microsoft.com) 的「事件」佇列中。
檢閱這些事件以回應任何適用於端點的 Microsoft Defender 警示,並在補救事件之後解決。 請參閱 透過電子郵件通知事件 和 檢視和組織適用於端點的 Microsoft Defender 事件佇列。
管理誤報和誤報偵測
檢閱事件佇列、識別誤報和誤報偵測,並提交以供檢閱。 這可協助您有效地管理環境中的警示,並提高警示的效率。 請參閱 解決適用於端點的 Microsoft Defender 中的誤判/負面。
檢閱威脅分析高影響威脅
檢閱威脅分析,以識別影響您環境的任何活動。 「高影響威脅」表格列出對組織影響最大的威脅。 本節會依具有作用中警示的裝置數目對威脅進行排名。 請參閱透過威脅分析追蹤和回應新興威脅。
安全管理團隊
檢閱健康報告
檢閱健康情況報告,以識別需要解決的任何裝置健康情況趨勢。 裝置健康情況報告涵蓋適用於端點的 Microsoft Defender AV 簽章、平臺健康情況和 EDR 健康情況。 請參閱 適用於端點的 Microsoft Defender 中的裝置健康情況報告。
檢查 EDR) 感測器健康情況 (端點偵測和回應
EDR 健康情況會維護 EDR 服務的連線,以確保適用於端點的 Defender 收到必要的訊號,以警示和識別弱點。
檢閱狀況不良的裝置。 請參閱 裝置健康情況、感應器健康情況 & 作業系統報告。
檢查 Microsoft Defender 防病毒軟體健康情況
檢視 Microsoft Defender 防病毒軟體更新的狀態對於適用於端點的 Defender 在您的環境中獲得最佳效能和最新的偵測至關重要。 裝置健康情況頁面會顯示平台、智慧和引擎版本的目前狀態。 請參閱 裝置健康情況、Microsoft Defender 防病毒軟體健康情況報告。
每週活動
一般
訊息中心
Microsoft Defender 全面偵測回應會使用 Microsoft 365 訊息中心來通知您即將進行的變更,例如新功能和變更的功能、計劃性維護或其他重要公告。
檢閱訊息中心訊息,以瞭解任何即將發生的會影響您環境的變更。
您可以在 [健康情況] 索引標籤下的 Microsoft 365 系統管理中心中存取此專案。請參閱 如何檢查 Microsoft 365 服務健康情況。
安全性作業小組
檢閱威脅報告
檢閱健康情況報告,以識別需要解決的任何裝置威脅趨勢。 請參閱 威脅防護報告。
檢閱威脅分析
檢閱威脅分析,以識別影響您環境的任何活動。 請參閱透過威脅分析追蹤和回應新興威脅。
安全管理團隊
檢閱 TVM) 狀態 (威脅和弱點
檢閱 TVM 以識別任何需要採取行動的新漏洞和建議。 請參閱 漏洞管理儀表板。
檢閱受攻擊面減少報告
檢閱 ASR 報告,以識別影響您環境的任何檔案。 請參閱 受攻擊面縮小規則報告。
檢閱網頁防護事件
檢閱 Web 防禦報告,以識別任何被封鎖的 IP 位址或 URL。 請參閱 Web 保護。
每月活動
一般
檢閱下列文章以瞭解最近發行的更新:
安全管理團隊
檢閱從原則中排除的裝置
如果從適用於端點的 Defender 原則中排除任何裝置,請檢閱並判斷是否仍需要從原則中排除裝置。
注意事項
檢閱疑難排解模式以進行疑難排解。 請參閱開始使用適用於端點的 Microsoft Defender 中的疑難排解模式適用於端點的 Microsoft Defender。
定期
這些工作被視為對安全狀態的維護,對於您的持續保護至關重要。 但由於它們可能需要時間和精力,因此建議您設定一個標準時間表,以便您可以維護以執行這些任務。
檢閱排除項目
檢閱已在您的環境中設定的排除項目,以排除不再需要排除的專案,以確認您尚未建立保護差距。
檢閱 Defender 原則設定
定期檢閱您的 Defender 組態設定,以確認它們已視需要設定。
檢閱自動化層級
檢閱自動化調查和補救功能中的自動化層級。 請參閱 自動化調查和補救中的自動化層級。
檢閱自訂偵測
定期檢閱已建立的自訂偵測是否仍然有效。 請參閱 檢閱自訂偵測。
檢閱警示隱藏
定期檢閱已建立的任何警示隱藏規則,以確認它們仍是必要且有效的。 請參閱 檢閱警示隱藏。
疑難排解
下列文章提供針對疑難排解和修正您在設定適用於端點的 Microsoft Defender 服務時可能遇到的錯誤的指引。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。