Správa incidentů zabezpečení v Microsoft Defenderu for Cloud

Třídění a prošetřování výstrah zabezpečení může být časově náročné i pro nejkvalifikovanější analytiky zabezpečení. Pro mnohé je těžké vědět, kde začít.

Defender for Cloud používá analýzu k propojení informací mezi různými výstrahami zabezpečení. Pomocí těchto připojení může Defender for Cloud poskytnout jednotné zobrazení útočné kampaně a souvisejících výstrah, které vám pomůžou pochopit akce útočníka a ovlivněné prostředky.

Tato stránka obsahuje přehled incidentů v Defenderu pro cloud.

Co je bezpečnostní incident?

V Defenderu pro cloud je incident zabezpečení agregací všech výstrah pro prostředek, která odpovídají vzorům kill chain . Incidenty se zobrazují na stránce Výstrahy zabezpečení . Výběrem incidentu zobrazíte související výstrahy a získáte další informace.

Správa incidentů zabezpečení

  1. Na stránce Výstrahy zabezpečení služby Defender for Cloud pomocí tlačítka Přidat filtr vyfiltrujte podle názvu výstrahy název výstrahy Incident zabezpečení zjištěný u více prostředků.

    Vyhledání incidentů na stránce výstrah zabezpečení v Microsoft Defender for Cloud

    Seznam je teď vyfiltrovaný tak, aby zobrazoval jenom incidenty. Všimněte si, že incidenty zabezpečení mají jinou ikonu než výstrahy zabezpečení.

    Seznam incidentů na stránce Výstrahy zabezpečení v Microsoft Defender pro cloud

  2. Pokud chcete zobrazit podrobnosti incidentu, vyberte ho ze seznamu. Zobrazí se boční podokno s dalšími podrobnostmi o incidentu.

    Boční podokno zobrazující podrobnosti incidentu

  3. Pokud chcete zobrazit další podrobnosti, vyberte Zobrazit úplné podrobnosti.

    Reakce na bezpečnostní incidenty ve službě Microsoft Defender for Cloud.

    V levém podokně stránky incidentu zabezpečení se zobrazují základní informace o incidentu zabezpečení: název, závažnost, stav, čas aktivity, popis a ovlivněný prostředek. Vedle ovlivněného prostředku se zobrazí příslušné značky Azure. Tyto značky použijte k odvození organizačního kontextu prostředku při zkoumání výstrahy.

    Pravé podokno obsahuje kartu Výstrahy s výstrahami zabezpečení, které byly korelovány v rámci tohoto incidentu.

    Tip

    Pokud chcete získat další informace o konkrétní výstraze, vyberte ji.

    Karta akce incidentu

    Pokud chcete přepnout na kartu Provést akci , vyberte kartu nebo tlačítko v dolní části pravého podokna. Na této kartě můžete provádět další akce, jako jsou:

    • Zmírnění hrozby – poskytuje kroky ruční nápravy pro tento incident zabezpečení.
    • Prevence budoucích útoků – poskytuje doporučení k zabezpečení, která pomáhají omezit prostor pro útoky, zvýšit stav zabezpečení a zabránit budoucím útokům.
    • Aktivovat automatizovanou reakci – poskytuje možnost aktivovat aplikaci logiky jako reakci na tento incident zabezpečení.
    • Potlačit podobná upozornění – poskytuje možnost potlačit budoucí upozornění s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.

    Poznámka

    Stejná výstraha může existovat jako součást incidentu a může být viditelná jako samostatná výstraha.

  4. Pokud chcete napravit hrozby v incidentu, postupujte podle kroků pro nápravu, které jsou k dispozici u jednotlivých výstrah.

Další kroky

Tato stránka vysvětluje možnosti incidentů zabezpečení defenderu pro cloud. Související informace najdete na následujících stránkách: