Generování sestav analýzy hrozeb

  • 6 min

Třídění a prošetřování výstrah zabezpečení může být časově náročné i pro ty nejzkušenější analytiky zabezpečení. Pro mnoho, je těžké vědět, kde začít.

Defender for Cloud používá analýzy k propojení informací mezi různými výstrahami zabezpečení. Pomocí těchto připojení může Defender for Cloud poskytnout jediný pohled na kampaň útoku a související výstrahy, které vám pomůžou porozumět akcím útočníka a ovlivněným prostředkům.

Incidenty se zobrazují na stránce Výstrahy zabezpečení. Vyberte incident, abyste zobrazili související výstrahy a získali další informace.

Na stránce přehledu Defenderu pro cloud vyberte dlaždici Výstrahy zabezpečení. Jsou uvedené incidenty a výstrahy. Všimněte si, že incidenty zabezpečení mají jinou ikonu než výstrahy zabezpečení.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Pokud chcete zobrazit podrobnosti, vyberte incident. Další podrobnosti najdete na stránce Incident zabezpečení.

Screenshot of Defender for Cloud Security Alert Incident details.

Levé podokno stránky incidentu zabezpečení zobrazuje základní informace o incidentu zabezpečení: název, závažnost, stav, čas aktivity, popis a ovlivněný prostředek. Vedle ovlivněného prostředku uvidíte relevantní značky Azure. Pomocí těchto značek můžete při zkoumání výstrahy odvodit organizační kontext prostředku.

Pravé podokno obsahuje kartu Výstrahy s výstrahami zabezpečení, které byly v rámci tohoto incidentu korelovány.

Pokud chcete přepnout na kartu Provést akci, vyberte kartu nebo tlačítko v dolní části pravého podokna. Na této kartě můžete provádět další akce, jako jsou:

  • Zmírnění hrozby – poskytuje kroky ruční nápravy pro tento incident zabezpečení.

  • Prevence budoucích útoků – poskytuje doporučení zabezpečení, která vám pomůžou snížit prostor pro útoky, zvýšit stav zabezpečení a zabránit budoucím útokům.

  • Automatická odpověď triggeru – poskytuje možnost aktivovat aplikaci logiky jako odpověď na tento incident zabezpečení.

  • Potlačit podobné výstrahy – poskytuje možnost potlačit budoucí výstrahy s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.

Pokud chcete napravit hrozby v incidentu, postupujte podle kroků pro nápravu, které jsou k dispozici pro každou výstrahu.

Generování sestav analýzy hrozeb

Defender for Cloud Threat Protection funguje tak, že monitoruje informace o zabezpečení z prostředků Azure, sítě a připojených partnerských řešení. Za účelem identifikace hrozeb služba tyto informace analyzuje a často přitom koreluje data z různých zdrojů.

Když Defender for Cloud identifikuje hrozbu, aktivuje výstrahu zabezpečení obsahující podrobné informace o události, včetně návrhů na nápravu. Defender for Cloud poskytuje sestavy analýzy hrozeb obsahující informace o detekovaných hrozbách, které pomáhají týmům reakce na incidenty vyšetřovat a opravovat hrozby. Sestava obsahuje například tyto informace:

  • Identita nebo přidružení útočníka (pokud je tato informace k dispozici)

  • Cíle útočníků

  • Současné a historické útočné kampaně (pokud je tato informace k dispozici)

  • Taktika, nástroje a postupy útočníků

  • Přidružené ukazatele ohrožení zabezpečení, například adresy URL a hodnoty hash souborů

  • Viktimologie, což je oborové a geografické rozšíření, které vám pomůže určit, zda jsou vaše prostředky Azure v ohrožení

  • Informace o zmírnění a odstraňování problémů

Defender for Cloud má tři typy sestav hrozeb, které se můžou lišit podle útoku. K dispozici jsou tyto sestavy:

  • Sestava skupiny aktivit: poskytuje podrobné informace o útočníkech, jejich cílech a taktikách.

  • Sestava kampaně: zaměřuje se na podrobnosti o konkrétních útočných kampaních.

  • Sestava shrnutí hrozby: pokrývá všechny položky v předchozích dvou sestavách.

Tento typ informací je užitečný během procesu reakce na incidenty, kde probíhá šetření, abyste pochopili zdroj útoku, motivaci útočníka a co dělat, aby se tento problém v budoucnu zmírnit.

Přístup k sestavě analýzy hrozeb

Generování sestavy:

Na bočním panelu Defenderu pro Cloud otevřete stránku Výstrahy zabezpečení.

Vyberte výstrahu. Otevře se stránka s podrobnostmi o upozorněních s dalšími podrobnostmi o upozornění. Níže jsou uvedené indikátory ransomwaru zjištěné na stránce s podrobnostmi o upozorněních.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Vyberte odkaz na sestavu a soubor PDF se otevře ve výchozím prohlížeči.