Správa incidentů zabezpečení v Microsoft Defenderu for Cloud
Třídění a prošetřování výstrah zabezpečení může být časově náročné i pro nejkvalifikovanější analytiky zabezpečení. Pro mnohé je těžké vědět, kde začít.
Defender for Cloud používá analýzu k propojení informací mezi různými výstrahami zabezpečení. Pomocí těchto připojení může Defender for Cloud poskytnout jednotné zobrazení útočné kampaně a souvisejících výstrah, které vám pomůžou pochopit akce útočníka a ovlivněné prostředky.
Tato stránka obsahuje přehled incidentů v Defenderu pro cloud.
Co je bezpečnostní incident?
V Defenderu pro cloud je incident zabezpečení agregací všech výstrah pro prostředek, která odpovídají vzorům kill chain . Incidenty se zobrazují na stránce Výstrahy zabezpečení . Výběrem incidentu zobrazíte související výstrahy a získáte další informace.
Správa incidentů zabezpečení
Na stránce Výstrahy zabezpečení služby Defender for Cloud pomocí tlačítka Přidat filtr vyfiltrujte podle názvu výstrahy název výstrahy Incident zabezpečení zjištěný u více prostředků.
Seznam je teď vyfiltrovaný tak, aby zobrazoval jenom incidenty. Všimněte si, že incidenty zabezpečení mají jinou ikonu než výstrahy zabezpečení.
Pokud chcete zobrazit podrobnosti incidentu, vyberte ho ze seznamu. Zobrazí se boční podokno s dalšími podrobnostmi o incidentu.
Pokud chcete zobrazit další podrobnosti, vyberte Zobrazit úplné podrobnosti.
V levém podokně stránky incidentu zabezpečení se zobrazují základní informace o incidentu zabezpečení: název, závažnost, stav, čas aktivity, popis a ovlivněný prostředek. Vedle ovlivněného prostředku se zobrazí příslušné značky Azure. Tyto značky použijte k odvození organizačního kontextu prostředku při zkoumání výstrahy.
Pravé podokno obsahuje kartu Výstrahy s výstrahami zabezpečení, které byly korelovány v rámci tohoto incidentu.
Tip
Pokud chcete získat další informace o konkrétní výstraze, vyberte ji.
Pokud chcete přepnout na kartu Provést akci , vyberte kartu nebo tlačítko v dolní části pravého podokna. Na této kartě můžete provádět další akce, jako jsou:
- Zmírnění hrozby – poskytuje kroky ruční nápravy pro tento incident zabezpečení.
- Prevence budoucích útoků – poskytuje doporučení k zabezpečení, která pomáhají omezit prostor pro útoky, zvýšit stav zabezpečení a zabránit budoucím útokům.
- Aktivovat automatizovanou reakci – poskytuje možnost aktivovat aplikaci logiky jako reakci na tento incident zabezpečení.
- Potlačit podobná upozornění – poskytuje možnost potlačit budoucí upozornění s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.
Poznámka
Stejná výstraha může existovat jako součást incidentu a může být viditelná jako samostatná výstraha.
Pokud chcete napravit hrozby v incidentu, postupujte podle kroků pro nápravu, které jsou k dispozici u jednotlivých výstrah.
Další kroky
Tato stránka vysvětluje možnosti incidentů zabezpečení defenderu pro cloud. Související informace najdete na následujících stránkách: