Sdílet prostřednictvím

Správa incidentů zabezpečení v Microsoft Defenderu for Cloud

  • Článek

Třídění a prošetřování výstrah zabezpečení může být časově náročné i pro ty nejzkušenější analytiky zabezpečení. Pro mnoho, je těžké vědět, kde začít.

Defender for Cloud používá analýzy k propojení informací mezi různými výstrahami zabezpečení. Pomocí těchto připojení může Defender for Cloud poskytnout jediný pohled na kampaň útoku a související výstrahy, které vám pomůžou porozumět akcím útočníka a ovlivněným prostředkům.

Tato stránka obsahuje přehled incidentů v defenderu pro cloud.

Co je bezpečnostní incident?

V Defenderu pro cloud je incident zabezpečení agregací všech výstrah pro prostředek, který je v souladu se vzory řetězu ukončení. Incidenty se zobrazují na stránce Výstrahy zabezpečení. Vyberte incident, abyste zobrazili související výstrahy a získali další informace.

Správa incidentů zabezpečení

  1. Na stránce výstrah zabezpečení v programu Defender for Cloud použijte tlačítko Přidat filtr a vyfiltrujte podle názvu výstrahy incident zabezpečení zjištěné u více prostředků.

    Vyhledání incidentů na stránce výstrah zabezpečení v programu Microsoft Defender for Cloud

    Seznam je teď filtrovaný tak, aby zobrazoval pouze incidenty. Všimněte si, že incidenty zabezpečení mají jinou ikonu než výstrahy zabezpečení.

    Seznam incidentů na stránce výstrah zabezpečení v programu Microsoft Defender for Cloud

  2. Pokud chcete zobrazit podrobnosti o incidentu, vyberte ho ze seznamu. Zobrazí se boční podokno s dalšími podrobnostmi o incidentu.

    Boční podokno zobrazující podrobnosti incidentu

  3. Pokud chcete zobrazit další podrobnosti, vyberte Zobrazit úplné podrobnosti.

    Reakce na incidenty zabezpečení v Programu Microsoft Defender for Cloud

    Levé podokno stránky incidentu zabezpečení zobrazuje základní informace o incidentu zabezpečení: název, závažnost, stav, čas aktivity, popis a ovlivněný prostředek. Vedle ovlivněného prostředku uvidíte relevantní značky Azure. Pomocí těchto značek můžete při zkoumání výstrahy odvodit organizační kontext prostředku.

    Pravé podokno obsahuje kartu Výstrahy s výstrahami zabezpečení, které byly v rámci tohoto incidentu korelovány.

    Tip

    Další informace o konkrétní výstraze potřebujete vybrat.

    Karta Akce incidentu

    Pokud chcete přepnout na kartu Provést akci , vyberte kartu nebo tlačítko v dolní části pravého podokna. Na této kartě můžete provádět další akce, jako jsou:

    • Zmírnění hrozby – poskytuje kroky ruční nápravy pro tento incident zabezpečení.
    • Prevence budoucích útoků – poskytuje doporučení zabezpečení, která vám pomůžou snížit prostor pro útoky, zvýšit stav zabezpečení a zabránit budoucím útokům.
    • Automatická odpověď triggeru – poskytuje možnost aktivovat aplikaci logiky jako odpověď na tento incident zabezpečení.
    • Potlačit podobné výstrahy – poskytuje možnost potlačit budoucí výstrahy s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.

    Poznámka:

    Stejná výstraha může existovat jako součást incidentu a být viditelná jako samostatná výstraha.

  4. Pokud chcete napravit hrozby v incidentu, postupujte podle kroků pro nápravu, které jsou k dispozici pro každou výstrahu.

Další kroky

Tato stránka vysvětlila možnosti incidentů zabezpečení defenderu pro cloud. Související informace najdete na následujících stránkách: