Мониторинг Microsoft 365 бизнес премиум и Defender для бизнеса

В Microsoft 365 бизнес премиум или автономной версии Microsoft Defender для бизнеса необходимо подготовить план обслуживания и операций безопасности. Важно поддерживать актуальность систем, устройств, учетных записей пользователей и политик безопасности, чтобы защититься от атак. Эту статью можно использовать в качестве руководства по подготовке плана.

Задачи безопасности обычно выполняются членами ролей Администраторы безопасности и Операторы безопасности. Дополнительные сведения см. в следующих статьях:

Совет

Сведения об общих задачах обслуживания в Business Premium см. в разделе Обслуживание Microsoft 365 бизнес премиум.

Ежедневные задачи безопасности

Задача Описание
Проверка панели мониторинга Управление уязвимостями Microsoft Defender Получите snapshot уязвимости вашей организации к угрозам кибербезопасности. Высокая оценка уязвимости означает, что ваша организация более уязвима к эксплуатации.
Чтобы проверка оценку, сделайте следующее:
  1. На портале Microsoft Defender перейдите на панель мониторинга Управление уязвимостями Microsoft Defender по адресу https://security.microsoft.com/tvm_dashboard/Endpoint.
  2. На странице панели мониторинга Управление уязвимостями Microsoft Defender перейдите к карта оценка экспозиции организации. Более высокий показатель воздействия означает, что ваши устройства более уязвимы к эксплуатации.
  3. Выберите Улучшить оценку , чтобы просмотреть дополнительные сведения и рекомендации по безопасности, чтобы улучшить (снизить) оценку уязвимости.

Осведомленность о своей оценке воздействия помогает вам:
  • Быстро изучите и определите общие сведения о состоянии безопасности в организации.
  • Обнаружить области, где требуется исследование или действия по улучшению текущего состояния.
  • Общайтесь с коллегами и руководством о результатах усилий по обеспечению безопасности.

Дополнительные сведения см. в статье Использование панели мониторинга управления уязвимостями в Microsoft Defender для бизнеса.
Просмотрите ожидающие выполнения действия в центре уведомлений При обнаружении угроз вступают в действие действия по исправлению . В зависимости от угрозы и конфигурации параметров безопасности действия по исправлению выполняются автоматически или только после утверждения, поэтому необходимо регулярно отслеживать действия по исправлению.
Чтобы проверка ожидающих действий, выполните следующие действия.
  1. На портале Defender перейдите на страницу Центра уведомлений по адресу https://security.microsoft.com/action-center/.
  2. На странице Центра уведомлений используйте вкладку Ожидание , чтобы просмотреть и утвердить или отклонить все ожидающие действия. Действия на вкладке Ожидание могут возникать из-за антивирусной защиты, защиты от вредоносных программ, автоматизированных расследований, действий реагирования вручную или сеансов динамического реагирования.
  3. Используйте вкладку Журнал для просмотра завершенных действий.

Дополнительные сведения см. в разделе Проверка действий по исправлению в центре уведомлений.
Просмотрите устройства, на которых обнаружены угрозы Узнайте об обнаружении угроз на устройствах, чтобы вы могли быстро выполнить любые необходимые действия (например, изолировать устройство).
Чтобы проверить устройства с обнаружением угроз, сделайте следующее:
  1. На портале Defender перейдите на страницу отчета о безопасности по адресу https://security.microsoft.com/reports.
  2. На странице Отчет о безопасности используйте сведения в разделе Устройства , чтобы просмотреть обнаруженные угрозы и сведения об обнаруженных вредоносных программах на устройствах.

Дополнительные сведения см. в разделе Отчет о безопасности.
Проверка инцидентов и оповещений Инциденты создаются по мере обнаружения угроз и активации оповещений.
Чтобы проверка инциденты и оповещения, выполните следующие действия.
  1. На портале Defender перейдите на страницу Инциденты по адресу https://security.microsoft.com/incidents.
  2. На странице Инциденты . отображаются инциденты и связанные с ними оповещения.
  3. При выборе инцидента в списке откроется всплывающее окно со сведениями, где можно узнать больше об оповещении. Всплывающее окно сведений содержит заголовок оповещения, список затронутых ресурсов (например, конечные точки или учетные записи пользователей), доступные действия, ссылки для просмотра дополнительных сведений и ссылку на страницу сведений об оповещении.

Дополнительные сведения см. в статье Просмотр инцидентов и управление ими в Microsoft Defender для бизнеса.
Запускайте проверки и исследования Вы можете инициировать сканирование или автоматическое исследование на устройстве с высоким уровнем риска или обнаруженными угрозами. В зависимости от результатов действия по исправлению выполняются автоматически или после утверждения.
Чтобы выполнить проверку или автоматическое исследование на устройстве, выполните следующие действия.
  1. На портале Defender перейдите на страницу Инвентаризация устройств по адресу https://security.microsoft.com/machines.
  2. На странице Инвентаризация устройств выберите устройство из списка, щелкнув в любом месте строки, кроме поля проверка или значения Имя.
  3. В верхней части открывающегося всплывающего окна сведений об устройствах выберите Дополнительные действия, а затем — Запуск антивирусной проверки или Запуск автоматического исследования.

Дополнительные сведения см. в разделе Управление устройствами в Microsoft Defender для бизнеса.

Еженедельные задачи безопасности

Задача Описание
Мониторинг и улучшение оценки безопасности Майкрософт Оценка безопасности (Майкрософт) — это измерение состояния безопасности вашей организации. Более высокие цифры указывают на то, что вашей организации требуется меньше действий по улучшению. С помощью оценки безопасности можно:
  • Сообщите о текущем состоянии безопасности вашей организации.
  • Повысьте уровень безопасности, обеспечивая возможность обнаружения, видимость, руководство и контроль.
  • Сравнивать данные организации с контрольными показателями и разработать систему ключевых показателей производительности (KPI).

Чтобы проверка оценку, сделайте следующее:
  1. На портале Defender перейдите на страницу Оценка безопасности Майкрософт по адресу https://security.microsoft.com/exposure-secure-score.
  2. На странице Оценка безопасности Майкрософт просмотрите и принесите решения об исправлениях и действиях, чтобы улучшить общую оценку безопасности Майкрософт.

Дополнительные сведения см. в статье Оценка состояния безопасности с помощью оценки безопасности Майкрософт.
Мониторинг и улучшение оценки безопасности (Майкрософт) для устройств Устранение проблем с помощью списка рекомендаций по безопасности. По мере этого ваша оценка безопасности Майкрософт для устройств улучшается, и ваша организация становится более устойчивой к угрозам кибербезопасности и уязвимостям.
Чтобы проверка оценку безопасности для устройств, сделайте следующее:
  1. На портале Microsoft Defender перейдите на панель мониторинга Управление уязвимостями Microsoft Defender по адресу https://security.microsoft.com/tvm_dashboard/Endpoint.
  2. На странице панели мониторинга Управление уязвимостями Microsoft Defender перейдите к карта Оценка безопасности (Майкрософт) для устройств, а затем выполните одно из следующих действий, чтобы открыть страницу Рекомендации по безопасности:
    • Выберите данные в одной из доступных категорий (например, Приложение, ОС, Сеть, **Учетные записи или Элементы управления безопасностью), чтобы открыть страницу Рекомендации по безопасности , отфильтрованную по этой категории.
    • Выберите Улучшить оценку , чтобы открыть страницу Рекомендации по безопасности без фильтра.
  3. На странице Рекомендации по безопасности выберите запись из списка. Откроется всплывающее окно сведений с общимипараметрами исправления и вкладками "Доступные устройства ", содержащими сведения, связанные с рекомендацией.
  4. На вкладке Параметры исправления выберите Параметры исправления, заполните форму и нажмите кнопку Отправить.
  5. Отправьте администратору безопасности уведомление о дальнейших действиях, чтобы утвердить или отклонить запрос.
  6. Просмотрите состояние исправления на странице Исправление по адресу https://security.microsoft.com/remediation/remediation-activities.
  7. /

      Дополнительные сведения см. в статье Использование панели мониторинга управления уязвимостями в Microsoft Defender для бизнеса.

Ежемесячные задачи безопасности

Задача Описание
Запуск отчетов по безопасности Многие отчеты о безопасности доступны на странице Отчеты на портале Defender по адресу https://security.microsoft.com/securityreports. Дополнительные сведения см. в следующих статьях:

По мере необходимости задачи безопасности

Задача Описание
Управление ложными срабатываниями и ложноотрицательной Ложные срабатывания — это хорошие элементы, идентифицируемые как плохие. Ложные отрицательные данные — это недопустимые элементы, которые не определены как угрозы. Ложные срабатывания и ложноотрицательный результат происходят в любом решении для защиты от угроз, включая Defender для Office 365 плана 1 и Defender для бизнеса, которые включены в Microsoft 365 бизнес премиум. К счастью, вы можете принять меры для устранения и уменьшения ложноположительных срабатываний и ложноотрицательных результатов:
  • Обработка ложноотрицательных сообщений электронной почты в Defender для Office 365
  • > Обработка ложноположительных сообщений электронной почты в Defender для Office 365
  • .
    Укрепление состояния безопасности Defender для бизнеса включает панель мониторинга Управление уязвимостями Microsoft Defender, которая предоставляет вашей организации оценку уязвимости, отображает сведения об открытых устройствах и соответствующие рекомендации по безопасности. Используйте панель мониторинга, чтобы уменьшить подверженность вашей организации угрозам и улучшить состояние безопасности.

    Дополнительные сведения см. в следующих статьях:.
    Настройка политик безопасности В отчетах отображаются сведения об обнаруженных угрозах, состоянии устройства и т. д. Иногда необходимо изменить политики безопасности или применить более строгие или менее строгие параметры к определенным группам пользователей.

    Дополнительные сведения см. в следующих статьях:
    Отправка администратором Иногда необходимо отправлять в корпорацию Майкрософт подозрительные или неправильно отправленные сообщения электронной почты, вложения или URL-адреса для дальнейшего анализа. Отчеты об этих элементах имеют решающее значение для обучения системы уменьшению ложноположительных и ложноотрицательных результатов, а также для повышения точности обнаружения угроз.

    Дополнительные сведения см. в следующих статьях:
    Защита учетных записей с приоритетом Учетные записи руководителей, руководителей или других пользователей с доступом к конфиденциальной, конфиденциальной или высокоприоритетной информации являются ценными целями для злоумышленников. В случае компрометации эти учетные записи представляют серьезную угрозу безопасности и стабильности вашей организации. Эти типы учетных записей называются учетными записями с приоритетом. В business Premium можно назначить определенных пользователей в качестве приоритетных учетных записей, чтобы они получали целевую и более подходящую защиту.

    Дополнительные сведения см. в следующих статьях:
    Защита устройств с высоким риском Общая оценка риска устройства основана на сочетании факторов (например, типа и серьезности активных оповещений на устройстве). По мере разрешения активных оповещений, утверждения действий по исправлению и подавления последующих оповещений уровень риска снижается.

    Дополнительные сведения см. в разделе Управление устройствами в Microsoft Defender для бизнеса.
    Подключение или отключение устройств По мере замены или прекращения использования устройств, приобретения новых устройств или изменения бизнес-потребностей вы можете подключить или отключить устройства из Defender для бизнеса.

    Дополнительные сведения см. в следующих статьях:
    Исправление элемента Доступно несколько действий по исправлению . Некоторые действия выполняются автоматически, а другие ожидают утверждения.
    1. На портале Defender перейдите на страницу Инвентаризация устройств по адресу https://security.microsoft.com/machines.
    2. На странице Инвентаризация устройств выберите устройство из списка, щелкнув в любом месте строки, кроме поля проверка или значения имени (например, выберите устройство с более высоким уровнем риска или уровнем экспозиции).
    3. В верхней части открывающегося всплывающего окна сведений об устройствах выберите Дополнительные действия, а затем выберите и доступное действие. Например, можно выбрать Запустить антивирусную проверку или Начать автоматическое исследование.

    Дополнительные сведения см. в разделе Управление устройствами в Microsoft Defender для бизнеса.

    Действия по исправлению для устройств

    В следующей таблице перечислены действия по исправлению, доступные для устройств в Microsoft 365 бизнес премиум и Defender для бизнеса.

    Источник Действия
    Автоматические исследования
    • Поместить файл в карантин
    • Удаление раздела реестра
    • Завершение процесса
    • Остановка службы
    • Отключение драйвера
    • Удаление запланированной задачи
    Ответные действия, выполняющиеся вручную
    • Запуск проверки на вирусы
    • Изоляция устройства
    • Добавление индикатора для блокировки или разрешения файла
    Реагирование в реальном времени
    • Сбор данных судебной экспертизы
    • Анализ файла
    • Запуск сценария
    • Отправка подозрительной сущности в корпорацию Майкрософт для анализа
    • Исправление файла
    • Заблаговременный поиск угроз

    См. также