Fenyegetésfelderítési jelentés előállítása

  • 6 perc

A biztonsági riasztások osztályozása és vizsgálata még a legképzettebb biztonsági elemzők számára is időigényes lehet. Sokak számára nehéz tudni, hol kezdjem.

Felhőhöz készült Defender elemzéssel kapcsolja össze az információkat a különböző biztonsági riasztások között. Ezeknek a kapcsolatoknak a használatával Felhőhöz készült Defender egyetlen nézetet biztosíthat a támadási kampányokról és a kapcsolódó riasztásokról, így könnyebben megértheti a támadó műveleteit és az érintett erőforrásokat.

Az incidensek a Biztonsági riasztások lapon jelennek meg. Válassza ki az incidenst a kapcsolódó riasztások megtekintéséhez és további információk beszerzéséhez.

Az Felhőhöz készült Defender áttekintési lapon válassza a Biztonsági riasztások csempét. Az incidensek és a riasztások listája megjelenik. Figyelje meg, hogy a biztonsági incidensek ikonja eltér a biztonsági riasztások ikonjaitól.

Screenshot of Defender for Cloud Incidents in the Alerts page.

A részletek megtekintéséhez válasszon ki egy incidenst. A Biztonsági incidens lapon további részletek láthatók.

Screenshot of Defender for Cloud Security Alert Incident details.

A biztonsági incidens oldalának bal oldali ablaktábláján magas szintű információk láthatók a biztonsági incidensről: cím, súlyosság, állapot, tevékenység ideje, leírás és az érintett erőforrás. Az érintett erőforrás mellett láthatja a vonatkozó Azure-címkéket. Ezekkel a címkék használatával következtethet az erőforrás szervezeti környezetére a riasztás vizsgálatakor.

A jobb oldali panel tartalmazza a Riasztások lapot az incidens részeként korrelált biztonsági riasztásokkal.

A Művelet végrehajtása lapra váltáshoz válassza a jobb oldali panel alján található lapot vagy gombot. Ezen a lapon további műveleteket hajthat végre, például:

  • A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági incidenshez

  • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez és a jövőbeli támadások megelőzéséhez

  • Automatikus válasz aktiválása – lehetővé teszi a logikai alkalmazás aktiválását a biztonsági incidensre adott válaszként

  • Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

Az incidens fenyegetéseinek elhárításához kövesse az egyes riasztásokhoz tartozó szervizelési lépéseket.

Fenyegetésfelderítési jelentés előállítása

Felhőhöz készült Defender veszélyforrások elleni védelem az Azure-erőforrások, a hálózat és a csatlakoztatott partnermegoldások biztonsági információinak monitorozásával működik. A fenyegetések azonosításához elemzi ezeket az információkat, és gyakran megvizsgálja a különböző forrásokból származó adatok közötti összefüggéseket.

Ha Felhőhöz készült Defender azonosít egy fenyegetést, egy biztonsági riasztást aktivál, amely részletes információkat tartalmaz az eseményről, beleértve a szervizelési javaslatokat is. Felhőhöz készült Defender fenyegetésfelderítési jelentéseket biztosít, amelyek információkat tartalmaznak az észlelt fenyegetésekről, hogy segítsenek az incidensmegoldási csapatoknak a fenyegetések kivizsgálásában és elhárításában. A jelentés olyan információkat tartalmaz, mint például:

  • A támadó identitása vagy társításai (ha ez az információ elérhető)

  • A támadó céljai

  • Jelenlegi és korábbi támadássorozatok (ha ez az információ elérhető)

  • Támadók taktikája, eszközei és eljárásai

  • A sérüléssel kapcsolatos mutatók (IoC), például URL-címek és fájlkivonatok

  • A viktimológia, azaz az ipari és földrajzi gyakoriság segít annak meghatározásában, hogy az Ön Azure-erőforrásai veszélyeztetettek-e

  • Kezelési és elhárítási információk

Felhőhöz készült Defender háromféle fenyegetésjelentéssel rendelkezik, amelyek a támadástól függően változhatnak. Az elérhető jelentések a következők:

  • Tevékenységcsoport-jelentés: részletes áttekintést nyújt a támadókról, azok célkitűzéseiről és taktikáiról.

  • Kampányjelentés: adott támadási kampányok részleteire összpontosít.

  • Fenyegetésösszegző jelentés: az előző két jelentés összes elemét tartalmazza.

Ez az információtípus hasznos az incidenskezelési folyamat során, ahol folyamatban van egy vizsgálat a támadás forrásának, a támadó motivációinak és a probléma jövőbeni megoldásának érdekében.

A fenyegetésfelderítési jelentés elérése

A jelentés létrehozása:

Felhőhöz készült Defender oldalsávján nyissa meg a Biztonsági riasztások lapot.

Válasszon ki egy riasztást. Megnyílik a riasztás részleteinek lapja, amelyen további részletek találhatók a riasztásról. Az alábbiakban a Ransomware-jelzők észlelt riasztás részleteinek oldala látható.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Válassza ki a jelentésre mutató hivatkozást, és megnyílik egy PDF az alapértelmezett böngészőben.