Riasztások monitorozása a Defender for Cloud Appsben

Megjegyzés

Microsoft Defender for Cloud Apps (korábbi nevén Microsoft Felhőappbiztonság) mostantól a Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen végezhetik el a biztonsági feladatokat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender a Microsoft-identitások, -adatok, -eszközök, -alkalmazások és -infrastruktúra biztonságának monitorozására és kezelésére szolgáló otthon. Ezekről a változásokról további információt a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál.

A riasztások révén lehetséges a felhőkörnyezet mélyebb megértése. Ez a cikk az összes riasztás listáját és leírását tartalmazza.

Riasztások monitorozása

Érdemes áttekinteni az összes riasztást. A riasztások előfordulásának megértése lehetővé teszi, hogy a szabályzatok módosítására szolgáló eszközként használja őket.

Riasztások megtekintése: A Microsoft Defender for Cloud Apps portálon válassza a Riasztások lehetőséget.

Riasztás menü.

  • A vizsgálat után zárja be a riasztást, és állapítsa meg, hogy nem érdekes.

    • Írjon be egy megjegyzést , amely elmagyarázza, miért utasította el a riasztást
    • Küldjön nekünk visszajelzést erről a riasztásról , amelyet biztonsági kutatócsapatunk ellenőriz a riasztások javítása érdekében.
  • Oldja fel a riasztást, ha kivizsgálja, és csökkenti a kockázatot.

    • A riasztás többé nem jelenik meg a riasztások táblájában.
    • Megjelölés olvasatlanként , ha megkezdte a probléma kivizsgálását, de szeretné, hogy ne felejtse el folytatni a műveletet.
    • Módosítsa a riasztásnak megfelelő szabályzatot a jövőbeli riasztási egyezések javítása érdekében.
    • A riasztások feloldásával megjegyzést adhat meg, és visszajelzést küldhet a Defender for Cloud Apps csapatának.

A továbbfejlesztett riasztásfigyelési és felügyeleti felület üzembe helyezése

A riasztások monitorozásának és kezelésének folyamatos fejlesztései részeként a Visszajelzések alapján továbbfejlesztettük a Defender for Cloud Apps Riasztások oldalát. A továbbfejlesztett felületen a Feloldott és a Bezárt állapotot a Zárt állapot váltja fel, a bezárt riasztások pedig az alábbi megoldástípusok egyikével rendelkeznek:

  • Igaz pozitív: Egy megerősített rosszindulatú tevékenységre vonatkozó riasztás
  • Jóindulatú: Riasztás gyanús, de nem rosszindulatú tevékenységről, például behatolási tesztről vagy más engedélyezett gyanús műveletről
  • Hamis pozitív: Nem rosszindulatú tevékenységre vonatkozó riasztás

Megjegyzés

A továbbfejlesztett felület csak az új riasztásokra vonatkozik, és nem befolyásolja a feloldott vagy elvetett meglévő (örökölt) riasztások állapotát.

Továbbfejlesztett riasztások lap.

Továbbfejlesztett riasztásfigyelés

A továbbfejlesztett riasztások lapon az Állapot oszlop azt mutatja, hogy egy riasztás meg van-e nyitva vagy bezárva, a Megoldás típusa oszlop pedig a riasztás bezárásakor használt felbontás típusát jeleníti meg. Az Állapotszűrővel azonosíthatja a megnyitott vagy bezárt riasztásokat, majd a Speciális szűrővel tovább vizsgálhatja a lezárt riasztásokat megoldástípus szerint a bővített és az örökölt megoldástípusok használatával.

Továbbfejlesztett riasztások lap speciális szűrővel.

Továbbfejlesztett riasztáskezelés

A riasztások bezárásakor válasszon az alábbi megoldási lehetőségek közül:

  • Igaz pozitívként zárjon be: Ha a tevékenység rosszindulatúként van megerősítve
  • Jóindulatú lezárás: Ha a tevékenység gyanús, de nem rosszindulatú tevékenység, például behatolási teszt vagy más engedélyezett gyanús művelet
  • Zárjon be hamis pozitívként: Ha a tevékenység nem rosszindulatúként van megerősítve

A megjelenő előugró ablakban adja meg a riasztás bezárásának okát, és szükség szerint töltse ki a többi részletet, majd válassza a Riasztás bezárása lehetőséget.

A továbbfejlesztett riasztások bezárják az előugró ablakot.

Beépített riasztások

Az itt felsorolt anomáliadetektálások által létrehozott riasztások alapértelmezés szerint megjelennek.

Egyéni riasztások

A következő típusú riasztások jelennek meg.

Riasztás neve Riasztás azonosítója Description
Riasztás gyanús tevékenységről ALERT_SUSPICIOUS_ACTIVITY A gyanús tevékenységek pontszáma annak megfelelően történik, hogy a rendellenes tevékenység mennyire gyanús (Van-e inaktív fiók? Új helyről származik?) Ezeket a kritériumokat együtt számítjuk ki, hogy a kockázati pontszámot a következő kockázati tényezők alapján állapítsuk meg:
A felhasználó rendszergazda
Kizárólag távoli felhasználó
Névtelen proxy
A teljes munkamenet sikertelen bejelentkezésekből áll
Számos sikertelen bejelentkezés
Új (rendszergazda)
A felhasználó/bérlő IP-címe/internetszolgáltatója/országa/felhasználói ügynöke
Az IP-címet/internetszolgáltatót/országot/felhasználói ügynököt csak a (rendszergazda) felhasználó használja
Hosszú idő óta az első (rendszergazdai) felhasználói tevékenység
Hosszú idő óta az első alkalom, hogy az adott rendszergazdai tevékenységet végrehajtották
Ez a bizonyos rendszergazdai tevékenység nem gyakori / még soha nem hajtották végre
Az IP-címhez a múltban csak sikertelen bejelentkezések tartoztak
Lehetetlen utazás
Riasztás gyanús felhőhasználatról ALERT_DISCOVERY_ANOMALY_DETECTION A Cloud Discovery anomáliadetektálása ellenőrzi a normál viselkedési szokásokat, és megkeresi azokat a felhasználókat és alkalmazásokat, amelyek szokatlan módon működnek.
Tevékenységszabályzat megsértése ALERT_CABINET_EVENT_MATCH_AUDIT Ez a riasztás felhívja a figyelmét arra, ha valamilyen tevékenység megfelelt a szabályzat feltételeinek.
Fájlhasználati szabályzat megsértése ALERT_CABINET_EVENT_MATCH_FILE Ez a riasztás felhívja a figyelmét arra, ha valamilyen tevékenység megfelelt a szabályzat feltételeinek.
Proxyszabályzat megsértése ALERT_CABINET_INLINE_EVENT_MATCH Ez a riasztás felhívja a figyelmét arra, ha valamilyen tevékenység megfelelt a szabályzat feltételeinek.
Mezőhasználati szabályzat megsértése ALERT_CABINET_EVENT_MATCH_OBJECT Ez a riasztás felhívja a figyelmét arra, ha valamilyen tevékenység megfelelt a szabályzat feltételeinek.
Új szolgáltatás felderítve ALERT_CABINET_DISCOVERY_NEW_SERVICE A rendszer új alkalmazást észlelt.
Személyes fiók használata ALERT_PERSONAL_USER_SAGE A detektálómotor megkeresi a személyes fiókokat a fájlmegosztások és a felhasználónevek alapján.

Következő lépések

Ha bármilyen problémába ütközik, itt vagyunk, hogy segítsünk. Ha segítségre vagy támogatásra van szüksége a termék problémájához, nyisson meg egy támogatási jegyet.