Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Felhőhöz készült Microsoft Defender összegyűjti, elemzi és integrálja az Azure-, hibrid- és többfelhős erőforrásokból, a hálózatból és a csatlakoztatott partnermegoldásokból – például a tűzfaltól és végpontkezelőktől származó naplózási adatokat. Felhőhöz készült Defender a naplóadatok használatával észleli a valós fenyegetéseket, és csökkenti a hamis pozitív értékeket. A Felhőhöz készült Defenderben megtekinthető a rangsorolt biztonsági riasztások listája, ezenkívül a probléma gyors kivizsgálásához szükséges információk és a támadás elhárításához szükséges lépések.
Ez a bejegyzés bemutatja, hogyan tekintheti meg és dolgozhatja fel a Felhőhöz készült Defender riasztásait, és hogyan védheti meg az erőforrásait.
A biztonsági riasztások osztályozásakor a riasztások súlyossága alapján kell rangsorolni a riasztásokat, és először a magasabb súlyosságú riasztásokat kell kezelnie. További információ a riasztások besorolásáról.
Tipp.
Csatlakoztathat Felhőhöz készült Microsoft Defender SIEM-megoldásokhoz, például a Microsoft Sentinelhez, és felhasználhatja a választott eszköz riasztásait. További információ a riasztások SIEM-, SOAR- vagy IT Service Management-megoldásba való streameléséről.
Előfeltételek
Az előfeltételekről és követelményekről a támogatási mátrixok Felhőhöz készült Defender című témakörben olvashat.
Biztonsági riasztások kezelése
Tegye a következők egyikét:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.
(Nem kötelező) Szűrje a riasztások listáját a megfelelő szűrők bármelyikével. A Szűrő hozzáadása lehetőséggel további szűrőket is hozzáadhat.
A lista a kiválasztott szűrőknek megfelelően frissül. Előfordulhat például, hogy az elmúlt 24 órában történt biztonsági riasztásokat szeretné kezelni, mert a rendszer esetleges megsértését vizsgálja.
Biztonsági riasztás vizsgálata
Minden riasztás a vizsgálat során segítséget nyújtó riasztással kapcsolatos információkat tartalmaz.
Biztonsági riasztás kivizsgálása:
Válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.
Tekintse át a biztonsági riasztással kapcsolatos magas szintű információkat.
- Riasztás súlyossága, állapota és tevékenységideje
- Az észlelt pontos tevékenységet leíró leírás
- Érintett erőforrások
- A MITRE ATT&CK mátrix tevékenységlánc-szándékának megölése (ha van)
Válassza a Részletes információk megtekintése lehetőséget.
A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.
A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:
- Erőforrás-környezet vizsgálata – elküldi Az erőforrás tevékenységnaplóinak, amelyek támogatják a biztonsági riasztást
- A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz
- Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez
- Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként
- Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára
További részletekért forduljon az erőforrás tulajdonosához annak ellenőrzéséhez, hogy az észlelt tevékenység hamis pozitív-e. Emellett megvizsgálhatja a megtámadott erőforrás által létrehozott nyers naplókat is.
Egyszerre több biztonsági riasztás állapotának módosítása
A riasztások listája jelölőnégyzeteket tartalmaz, így egyszerre több riasztást is kezelhet. Osztályozási célokból például dönthet úgy, hogy egy adott erőforrás összes tájékoztató riasztását elveti.
Szűrjön a tömegesen kezelni kívánt riasztások alapján.
Ebben a példában az erőforrás
ASC-AKS-CLOUD-TALK
súlyosságú riasztásaiInformational
lesznek kiválasztva.A jelölőnégyzetekkel jelölje ki a feldolgozandó riasztásokat.
Ebben a példában az összes riasztás ki van jelölve. Az Állapot módosítása gomb már elérhető.
A kívánt állapot beállításához használja az Állapot módosítása lehetőséget.
Az aktuális lapon megjelenő riasztások állapota a kijelölt értékre módosult.
Válasz biztonsági riasztásra
A biztonsági riasztás vizsgálata után a riasztásra a Felhőhöz készült Microsoft Defender belülről válaszolhat.
Biztonsági riasztásra való reagálás:
Nyissa meg a Művelet végrehajtása lapot az ajánlott válaszok megtekintéséhez.
A probléma megoldásához szükséges manuális vizsgálati lépésekért tekintse át a Fenyegetés elhárítása szakaszt.
Az erőforrások megerősítéséhez és az ilyen jellegű jövőbeli támadások megelőzéséhez a jövőbeni támadások megelőzése szakaszban találja a biztonsági javaslatokat.
Ha automatikus válaszlépésekkel szeretne logikai alkalmazást aktiválni, használja az Eseményindító automatikus válasz szakaszt, és válassza a Trigger logikai alkalmazás lehetőséget.
Ha az észlelt tevékenység nem rosszindulatú, letilthatja az ilyen típusú jövőbeli riasztásokat a Hasonló riasztások letiltása szakaszban, és válassza a Letiltási szabály létrehozása lehetőséget.
Válassza az E-mail-értesítések beállításainak konfigurálása lehetőséget, ha meg szeretné tekinteni, hogy ki kap e-mailt az előfizetés biztonsági riasztásaival kapcsolatban. Az e-mail-beállítások konfigurálásához lépjen kapcsolatba az előfizetés tulajdonosával.
Amikor befejezi a riasztás vizsgálatát, és a megfelelő módon válaszolt, módosítsa az állapotot Elutasítva állapotra.
A rendszer eltávolítja a riasztást a fő riasztások listájából. A riasztások listaoldalának szűrőjével megtekintheti az összes elutasított állapotú riasztást .
Javasoljuk, hogy küldjön visszajelzést a Riasztásról a Microsoftnak:
- A riasztás megjelölése hasznosként vagy nem hasznosként.
- Jelöljön ki egy okot, és adjon hozzá egy megjegyzést.
Tipp.
Az algoritmusok továbbfejlesztése és a jobb biztonsági riasztások biztosítása érdekében áttekintjük a visszajelzéseit.
A riasztások különböző típusairól további információt a Biztonsági riasztások – referencia-útmutató című témakörben talál.
A riasztások Felhőhöz készült Defender generálásának áttekintéséért lásd: Hogyan észleli és válaszol a Felhőhöz készült Microsoft Defender a fenyegetésekre.
Az ügynök nélküli vizsgálat eredményeinek áttekintése
Az ügynökalapú és az ügynök nélküli szkenner eredményei is megjelennek a Biztonsági riasztások lapon.
Feljegyzés
Ezen riasztások egyikének szervizelése a következő vizsgálat befejezéséig nem orvosolja a másik riasztást.