Biztonsági riasztások kezelése és megválaszolás

A Felhőhöz készült Microsoft Defender összegyűjti, elemzi és integrálja az Azure-, hibrid- és többfelhős erőforrásokból, a hálózatból és a csatlakoztatott partnermegoldásokból – például a tűzfaltól és végpontkezelőktől származó naplózási adatokat. Felhőhöz készült Defender a naplóadatok használatával észleli a valós fenyegetéseket, és csökkenti a hamis pozitív értékeket. A Felhőhöz készült Defenderben megtekinthető a rangsorolt biztonsági riasztások listája, ezenkívül a probléma gyors kivizsgálásához szükséges információk és a támadás elhárításához szükséges lépések.

Ez a bejegyzés bemutatja, hogyan tekintheti meg és dolgozhatja fel a Felhőhöz készült Defender riasztásait, és hogyan védheti meg az erőforrásait.

A biztonsági riasztások osztályozásakor a riasztások súlyossága alapján kell rangsorolni a riasztásokat, és először a magasabb súlyosságú riasztásokat kell kezelnie. További információ a riasztások besorolásáról.

Tipp.

Csatlakoztathat Felhőhöz készült Microsoft Defender SIEM-megoldásokhoz, például a Microsoft Sentinelhez, és felhasználhatja a választott eszköz riasztásait. További információ a riasztások SIEM-, SOAR- vagy IT Service Management-megoldásba való streameléséről.

Előfeltételek

Az előfeltételekről és követelményekről a támogatási mátrixok Felhőhöz készült Defender című témakörben olvashat.

Biztonsági riasztások kezelése

Tegye a következők egyikét:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.

   

3. (Nem kötelező) Szűrje a riasztások listáját a megfelelő szűrők bármelyikével. A Szűrő hozzáadása lehetőséggel további szűrőket is hozzáadhat.

   

   A lista a kiválasztott szűrőknek megfelelően frissül. Előfordulhat például, hogy az elmúlt 24 órában történt biztonsági riasztásokat szeretné kezelni, mert a rendszer esetleges megsértését vizsgálja.

Biztonsági riasztás vizsgálata

Minden riasztás a vizsgálat során segítséget nyújtó riasztással kapcsolatos információkat tartalmaz.

Biztonsági riasztás kivizsgálása:

1. Válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.

   

2. Tekintse át a biztonsági riasztással kapcsolatos magas szintű információkat.

   • Riasztás súlyossága, állapota és tevékenységideje
   • Az észlelt pontos tevékenységet leíró leírás
   • Érintett erőforrások
   • A MITRE ATT&CK mátrix tevékenységlánc-szándékának megölése (ha van)

3. Válassza a Részletes információk megtekintése lehetőséget.

   A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.

   

   A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:

   • Erőforrás-környezet vizsgálata – elküldi Az erőforrás tevékenységnaplóinak, amelyek támogatják a biztonsági riasztást
   • A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz
   • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez
   • Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként
   • Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

   

   További részletekért forduljon az erőforrás tulajdonosához annak ellenőrzéséhez, hogy az észlelt tevékenység hamis pozitív-e. Emellett megvizsgálhatja a megtámadott erőforrás által létrehozott nyers naplókat is.

Egyszerre több biztonsági riasztás állapotának módosítása

A riasztások listája jelölőnégyzeteket tartalmaz, így egyszerre több riasztást is kezelhet. Osztályozási célokból például dönthet úgy, hogy egy adott erőforrás összes tájékoztató riasztását elveti.

1. Szűrjön a tömegesen kezelni kívánt riasztások alapján.

   Ebben a példában az erőforrás ASC-AKS-CLOUD-TALK súlyosságú riasztásai Informational lesznek kiválasztva.

   

2. A jelölőnégyzetekkel jelölje ki a feldolgozandó riasztásokat.

   Ebben a példában az összes riasztás ki van jelölve. Az Állapot módosítása gomb már elérhető.

   

3. A kívánt állapot beállításához használja az Állapot módosítása lehetőséget.

   

   Az aktuális lapon megjelenő riasztások állapota a kijelölt értékre módosult.

Válasz biztonsági riasztásra

A biztonsági riasztás vizsgálata után a riasztásra a Felhőhöz készült Microsoft Defender belülről válaszolhat.

Biztonsági riasztásra való reagálás:

1. Nyissa meg a Művelet végrehajtása lapot az ajánlott válaszok megtekintéséhez.

   

2. A probléma megoldásához szükséges manuális vizsgálati lépésekért tekintse át a Fenyegetés elhárítása szakaszt.

3. Az erőforrások megerősítéséhez és az ilyen jellegű jövőbeli támadások megelőzéséhez a jövőbeni támadások megelőzése szakaszban találja a biztonsági javaslatokat.

4. Ha automatikus válaszlépésekkel szeretne logikai alkalmazást aktiválni, használja az Eseményindító automatikus válasz szakaszt, és válassza a Trigger logikai alkalmazás lehetőséget.

5. Ha az észlelt tevékenység nem rosszindulatú, letilthatja az ilyen típusú jövőbeli riasztásokat a Hasonló riasztások letiltása szakaszban, és válassza a Letiltási szabály létrehozása lehetőséget.

6. Válassza az E-mail-értesítések beállításainak konfigurálása lehetőséget, ha meg szeretné tekinteni, hogy ki kap e-mailt az előfizetés biztonsági riasztásaival kapcsolatban. Az e-mail-beállítások konfigurálásához lépjen kapcsolatba az előfizetés tulajdonosával.

7. Amikor befejezi a riasztás vizsgálatát, és a megfelelő módon válaszolt, módosítsa az állapotot Elutasítva állapotra.

   

   A rendszer eltávolítja a riasztást a fő riasztások listájából. A riasztások listaoldalának szűrőjével megtekintheti az összes elutasított állapotú riasztást .

8. Javasoljuk, hogy küldjön visszajelzést a Riasztásról a Microsoftnak:

   1. A riasztás megjelölése hasznosként vagy nem hasznosként.
   2. Jelöljön ki egy okot, és adjon hozzá egy megjegyzést.

   

   Tipp.

   Az algoritmusok továbbfejlesztése és a jobb biztonsági riasztások biztosítása érdekében áttekintjük a visszajelzéseit.

   A riasztások különböző típusairól további információt a Biztonsági riasztások – referencia-útmutató című témakörben talál.

   A riasztások Felhőhöz készült Defender generálásának áttekintéséért lásd: Hogyan észleli és válaszol a Felhőhöz készült Microsoft Defender a fenyegetésekre.

   Az ügynök nélküli vizsgálat eredményeinek áttekintése

   Az ügynökalapú és az ügynök nélküli szkenner eredményei is megjelennek a Biztonsági riasztások lapon.

   

   Feljegyzés

   Ezen riasztások egyikének szervizelése a következő vizsgálat befejezéséig nem orvosolja a másik riasztást.

Kapcsolódó tartalom

• Riasztáselnyomási szabályok konfigurálása
• Felhőhöz készült Defender eseményindítókra adott válaszok automatizálása
• Biztonsági riasztások - – referencia-útmutató

A Felhőhöz készült Microsoft Defender összegyűjti, elemzi és integrálja az Azure-, hibrid- és többfelhős erőforrásokból, a hálózatból és a csatlakoztatott partnermegoldásokból – például a tűzfaltól és végpontkezelőktől származó naplózási adatokat. Felhőhöz készült Defender a naplóadatok használatával észleli a valós fenyegetéseket, és csökkenti a hamis pozitív értékeket. A Felhőhöz készült Defenderben megtekinthető a rangsorolt biztonsági riasztások listája, ezenkívül a probléma gyors kivizsgálásához szükséges információk és a támadás elhárításához szükséges lépések.

Ez a bejegyzés bemutatja, hogyan tekintheti meg és dolgozhatja fel a Felhőhöz készült Defender riasztásait, és hogyan védheti meg az erőforrásait.

A biztonsági riasztások osztályozásakor a riasztások súlyossága alapján kell rangsorolni a riasztásokat, és először a magasabb súlyosságú riasztásokat kell kezelnie. További információ a riasztások besorolásáról.

Tipp.

Csatlakoztathat Felhőhöz készült Microsoft Defender SIEM-megoldásokhoz, például a Microsoft Sentinelhez, és felhasználhatja a választott eszköz riasztásait. További információ a riasztások SIEM-, SOAR- vagy IT Service Management-megoldásba való streameléséről.

Az előfeltételekről és követelményekről a támogatási mátrixok Felhőhöz készült Defender című témakörben olvashat.

Tegye a következők egyikét:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.

   

3. (Nem kötelező) Szűrje a riasztások listáját a megfelelő szűrők bármelyikével. A Szűrő hozzáadása lehetőséggel további szűrőket is hozzáadhat.

   

   A lista a kiválasztott szűrőknek megfelelően frissül. Előfordulhat például, hogy az elmúlt 24 órában történt biztonsági riasztásokat szeretné kezelni, mert a rendszer esetleges megsértését vizsgálja.

Minden riasztás a vizsgálat során segítséget nyújtó riasztással kapcsolatos információkat tartalmaz.

Biztonsági riasztás kivizsgálása:

1. Válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.

   

2. Tekintse át a biztonsági riasztással kapcsolatos magas szintű információkat.

   • Riasztás súlyossága, állapota és tevékenységideje
   • Az észlelt pontos tevékenységet leíró leírás
   • Érintett erőforrások
   • A MITRE ATT&CK mátrix tevékenységlánc-szándékának megölése (ha van)

3. Válassza a Részletes információk megtekintése lehetőséget.

   A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.

   

   A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:

   • Erőforrás-környezet vizsgálata – elküldi Az erőforrás tevékenységnaplóinak, amelyek támogatják a biztonsági riasztást
   • A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz
   • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez
   • Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként
   • Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

   

   További részletekért forduljon az erőforrás tulajdonosához annak ellenőrzéséhez, hogy az észlelt tevékenység hamis pozitív-e. Emellett megvizsgálhatja a megtámadott erőforrás által létrehozott nyers naplókat is.

A riasztások listája jelölőnégyzeteket tartalmaz, így egyszerre több riasztást is kezelhet. Osztályozási célokból például dönthet úgy, hogy egy adott erőforrás összes tájékoztató riasztását elveti.

1. Szűrjön a tömegesen kezelni kívánt riasztások alapján.

   Ebben a példában az erőforrás ASC-AKS-CLOUD-TALK súlyosságú riasztásai Informational lesznek kiválasztva.

   

2. A jelölőnégyzetekkel jelölje ki a feldolgozandó riasztásokat.

   Ebben a példában az összes riasztás ki van jelölve. Az Állapot módosítása gomb már elérhető.

   

3. A kívánt állapot beállításához használja az Állapot módosítása lehetőséget.

   

   Az aktuális lapon megjelenő riasztások állapota a kijelölt értékre módosult.

A biztonsági riasztás vizsgálata után a riasztásra a Felhőhöz készült Microsoft Defender belülről válaszolhat.

Biztonsági riasztásra való reagálás:

1. Nyissa meg a Művelet végrehajtása lapot az ajánlott válaszok megtekintéséhez.

   

2. A probléma megoldásához szükséges manuális vizsgálati lépésekért tekintse át a Fenyegetés elhárítása szakaszt.

3. Az erőforrások megerősítéséhez és az ilyen jellegű jövőbeli támadások megelőzéséhez a jövőbeni támadások megelőzése szakaszban találja a biztonsági javaslatokat.

4. Ha automatikus válaszlépésekkel szeretne logikai alkalmazást aktiválni, használja az Eseményindító automatikus válasz szakaszt, és válassza a Trigger logikai alkalmazás lehetőséget.

5. Ha az észlelt tevékenység nem rosszindulatú, letilthatja az ilyen típusú jövőbeli riasztásokat a Hasonló riasztások letiltása szakaszban, és válassza a Letiltási szabály létrehozása lehetőséget.

6. Válassza az E-mail-értesítések beállításainak konfigurálása lehetőséget, ha meg szeretné tekinteni, hogy ki kap e-mailt az előfizetés biztonsági riasztásaival kapcsolatban. Az e-mail-beállítások konfigurálásához lépjen kapcsolatba az előfizetés tulajdonosával.

7. Amikor befejezi a riasztás vizsgálatát, és a megfelelő módon válaszolt, módosítsa az állapotot Elutasítva állapotra.

   

   A rendszer eltávolítja a riasztást a fő riasztások listájából. A riasztások listaoldalának szűrőjével megtekintheti az összes elutasított állapotú riasztást .

8. Javasoljuk, hogy küldjön visszajelzést a Riasztásról a Microsoftnak:

   1. A riasztás megjelölése hasznosként vagy nem hasznosként.
   2. Jelöljön ki egy okot, és adjon hozzá egy megjegyzést.

   

   Tipp.

   Az algoritmusok továbbfejlesztése és a jobb biztonsági riasztások biztosítása érdekében áttekintjük a visszajelzéseit.

   A riasztások különböző típusairól további információt a Biztonsági riasztások – referencia-útmutató című témakörben talál.

   A riasztások Felhőhöz készült Defender generálásának áttekintéséért lásd: Hogyan észleli és válaszol a Felhőhöz készült Microsoft Defender a fenyegetésekre.

   Az ügynök nélküli vizsgálat eredményeinek áttekintése

   Az ügynökalapú és az ügynök nélküli szkenner eredményei is megjelennek a Biztonsági riasztások lapon.

   

   Feljegyzés

   Ezen riasztások egyikének szervizelése a következő vizsgálat befejezéséig nem orvosolja a másik riasztást.