Biztonsági incidensek kezelése a Felhőhöz készült Microsoft Defenderben
A biztonsági riasztások osztályozása és vizsgálata még a legképzettebb biztonsági elemzők számára is időigényes lehet. Sokak számára nehéz tudni, hol kezdjem.
A Defender for Cloud elemzésekkel kapcsolja össze az információkat a különböző biztonsági riasztások között. Ezen kapcsolatok használatával a Defender for Cloud egyetlen nézetet biztosít egy támadási kampányról és az ahhoz kapcsolódó riasztásokról, amelyek segítenek megérteni a támadó műveleteit és az érintett erőforrásokat.
Ez a lap áttekintést nyújt a Felhőhöz készült Defenderben történt incidensekről.
Mi az a biztonsági incidens?
A Felhőhöz készült Defenderben a biztonsági incidens egy olyan erőforrás összes riasztásának összesítése, amely igazodik a leölési lánc mintáihoz. Az incidensek a Biztonsági riasztások lapon jelennek meg. Válasszon ki egy incidenst a kapcsolódó riasztások megtekintéséhez és további információk beszerzéséhez.
Biztonsági incidensek kezelése
A Felhőhöz készült Defender biztonsági riasztások lapján a Szűrő hozzáadása gombbal szűrhet riasztásnév alapján a több erőforráson észlelt biztonsági incidens riasztásnevére.
A lista most már szűrve van, hogy csak incidenseket jelenítsen meg. Figyelje meg, hogy a biztonsági incidensek ikonja eltér a biztonsági riasztások ikonjaitól.
Az incidens részleteinek megtekintéséhez válasszon egyet a listából. Megjelenik egy oldalsó ablaktábla, amely további részleteket tartalmaz az incidensről.
További részletek megtekintéséhez válassza a Teljes adatok megtekintése lehetőséget.
A biztonsági incidens oldalának bal oldali paneljén magas szintű információk láthatók a biztonsági incidensről: cím, súlyosság, állapot, tevékenységidő, leírás és az érintett erőforrás. Az érintett erőforrás mellett láthatja a vonatkozó Azure-címkéket. Ezekkel a címkék használatával következtethet az erőforrás szervezeti környezetére a riasztás vizsgálatakor.
A jobb oldali panel tartalmazza a Riasztások lapot az incidens részeként korrelált biztonsági riasztásokkal.
Tipp
Egy adott riasztással kapcsolatos további információkért válassza ki.
A Művelet végrehajtása lapra való váltáshoz válassza a jobb oldali ablaktábla alján található fület vagy gombot. Ezen a lapon további műveleteket hajthat végre, például:
- A fenyegetés mérséklése – manuális szervizelési lépéseket biztosít ehhez a biztonsági incidenshez
- Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez és a jövőbeli támadások megelőzéséhez
- Automatizált válasz aktiválása – lehetővé teszi logikai alkalmazás aktiválását a biztonsági incidensre adott válaszként
- Hasonló riasztások mellőzése – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára
Megjegyzés
Ugyanez a riasztás egy incidens részeként is létezhet, valamint különálló riasztásként is látható lehet.
Az incidensben lévő fenyegetések elhárításához kövesse az egyes riasztásokhoz tartozó szervizelési lépéseket.
Következő lépések
Ez a lap a Felhőhöz készült Defender biztonsági incidensi képességeit ismertette. A kapcsolódó információkért tekintse meg a következő oldalakat: