Biztonsági incidensek kezelése a Felhőhöz készült Microsoft Defenderben

  • Cikk

A biztonsági riasztások osztályozása és vizsgálata még a legképzettebb biztonsági elemzők számára is időigényes lehet. Sokak számára nehéz tudni, hol kezdjem.

A Defender for Cloud elemzésekkel kapcsolja össze az információkat a különböző biztonsági riasztások között. Ezen kapcsolatok használatával a Defender for Cloud egyetlen nézetet biztosít egy támadási kampányról és az ahhoz kapcsolódó riasztásokról, amelyek segítenek megérteni a támadó műveleteit és az érintett erőforrásokat.

Ez a lap áttekintést nyújt a Felhőhöz készült Defenderben történt incidensekről.

Mi az a biztonsági incidens?

A Felhőhöz készült Defenderben a biztonsági incidens egy olyan erőforrás összes riasztásának összesítése, amely igazodik a leölési lánc mintáihoz. Az incidensek a Biztonsági riasztások lapon jelennek meg. Válasszon ki egy incidenst a kapcsolódó riasztások megtekintéséhez és további információk beszerzéséhez.

Biztonsági incidensek kezelése

  1. A Felhőhöz készült Defender biztonsági riasztások lapján a Szűrő hozzáadása gombbal szűrhet riasztásnév alapján a több erőforráson észlelt biztonsági incidens riasztásnevére.

    Az incidensek keresése a biztonsági riasztások oldalán a Microsoft Defender for Cloudban.

    A lista most már szűrve van, hogy csak incidenseket jelenítsen meg. Figyelje meg, hogy a biztonsági incidensek ikonja eltér a biztonsági riasztások ikonjaitól.

    Az incidensek listája a biztonsági riasztások oldalán a Microsoft Defender for Cloudban.

  2. Az incidens részleteinek megtekintéséhez válasszon egyet a listából. Megjelenik egy oldalsó ablaktábla, amely további részleteket tartalmaz az incidensről.

    Az oldalsó panelen az incidens részletei láthatók.

  3. További részletek megtekintéséhez válassza a Teljes adatok megtekintése lehetőséget.

    Válaszoljon a felhőhöz készült Microsoft Defender biztonsági incidenseire.

    A biztonsági incidens oldalának bal oldali paneljén magas szintű információk láthatók a biztonsági incidensről: cím, súlyosság, állapot, tevékenységidő, leírás és az érintett erőforrás. Az érintett erőforrás mellett láthatja a vonatkozó Azure-címkéket. Ezekkel a címkék használatával következtethet az erőforrás szervezeti környezetére a riasztás vizsgálatakor.

    A jobb oldali panel tartalmazza a Riasztások lapot az incidens részeként korrelált biztonsági riasztásokkal.

    Tipp

    Egy adott riasztással kapcsolatos további információkért válassza ki.

    Az incidens művelet lapja.

    A Művelet végrehajtása lapra való váltáshoz válassza a jobb oldali ablaktábla alján található fület vagy gombot. Ezen a lapon további műveleteket hajthat végre, például:

    • A fenyegetés mérséklése – manuális szervizelési lépéseket biztosít ehhez a biztonsági incidenshez
    • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez és a jövőbeli támadások megelőzéséhez
    • Automatizált válasz aktiválása – lehetővé teszi logikai alkalmazás aktiválását a biztonsági incidensre adott válaszként
    • Hasonló riasztások mellőzése – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

    Megjegyzés

    Ugyanez a riasztás egy incidens részeként is létezhet, valamint különálló riasztásként is látható lehet.

  4. Az incidensben lévő fenyegetések elhárításához kövesse az egyes riasztásokhoz tartozó szervizelési lépéseket.

Következő lépések

Ez a lap a Felhőhöz készült Defender biztonsági incidensi képességeit ismertette. A kapcsolódó információkért tekintse meg a következő oldalakat: