Mengelola insiden keamanan di Microsoft Defender untuk Cloud

  • Artikel

Triaging dan menyelidiki peringatan keamanan dapat memakan waktu bahkan untuk analis keamanan yang paling terampil sekalipun. Bagi banyak orang, sulit untuk mengetahui harus memulai dari mana.

Defender untuk Cloud menggunakan analitik untuk menghubungkan informasi antara peringatan keamanan yang berbeda. Dengan menggunakan koneksi ini, Defender untuk Cloud dapat memberikan satu tampilan kampanye serangan dan peringatan terkait untuk membantu Anda memahami tindakan penyerang dan sumber daya yang terpengaruh.

Halaman ini memberikan gambaran umum insiden di Defender untuk Cloud.

Apa itu insiden keamanan?

Di Defender untuk Cloud, insiden keamanan adalah agregasi semua pemberitahuan untuk sumber daya yang selaras dengan pola kill chain. Insiden muncul di halaman Pemberitahuan keamanan. Pilih insiden untuk melihat pemberitahuan terkait dan mendapatkan informasi selengkapnya.

Mengelola insiden keamanan

  1. Pada halaman pemberitahuan keamanan Defender for Cloud, gunakan tombol Tambahkan filter untuk memfilter menurut nama pemberitahuan ke nama pemberitahuan Insiden keamanan yang terdeteksi pada beberapa sumber daya.

    Menemukan insiden di halaman pemberitahuan keamanan di Microsoft Defender untuk Cloud.

    Daftar sekarang difilter untuk hanya menampilkan insiden. Perhatikan bahwa insiden keamanan memiliki ikon yang berbeda dengan peringatan keamanan.

    Daftar insiden di halaman pemberitahuan keamanan di Microsoft Defender untuk Cloud.

  2. Untuk melihat detail insiden, pilih salah satu dari daftar. Panel samping muncul dengan detail selengkapnya tentang insiden tersebut.

    Panel samping yang memperlihatkan detail insiden.

  3. Untuk melihat detail selengkapnya, pilih Tampilkan detail lengkap.

    Menanggapi insiden keamanan di Microsoft Defender untuk Cloud.

    Panel kiri halaman insiden keamanan memperlihatkan informasi tingkat tinggi tentang insiden keamanan: judul, tingkat keparahan, status, waktu aktivitas, deskripsi, dan sumber daya yang terpengaruh. Di samping sumber daya yang terpengaruh, Anda dapat melihat tag Azure yang relevan. Gunakan tag ini untuk menyimpulkan konteks organisasi sumber daya saat menyelidiki peringatan.

    Panel kanan menyertakan tab Pemberitahuan dengan pemberitahuan keamanan yang berkorelasi sebagai bagian dari insiden ini.

    Tip

    Untuk informasi selengkapnya tentang pemberitahuan tertentu, pilih pemberitahuan tersebut.

    Tab ambil tindakan terhadap insiden.

    Untuk beralih ke tab Ambil tindakan, pilih tab atau tombol di bagian bawah panel kanan. Gunakan tab ini untuk melakukan tindakan lebih lanjut seperti:

    • Memitigasi ancaman - memberikan langkah-langkah perbaikan manual untuk insiden keamanan ini
    • Mencegah serangan di masa depan - berikan rekomendasi keamanan untuk membantu mengurangi permukaan serangan, meningkatkan postur keamanan, dan mencegah serangan di masa depan
    • Memicu respons otomatis - menyediakan opsi untuk memicu Aplikasi Logika sebagai respons terhadap insiden keamanan ini
    • Menekan peringatan serupa - menyediakan opsi untuk menekan peringatan di masa mendatang dengan karakteristik serupa jika peringatan tidak relevan untuk organisasi Anda

    Catatan

    Peringatan yang sama dapat ada sebagai bagian dari insiden, serta dapat dilihat sebagai peringatan mandiri.

  4. Untuk mengatasi ancaman dalam insiden tersebut, ikuti langkah-langkah perbaikan yang diberikan setiap peringatan.

Langkah berikutnya

Halaman ini menjelaskan kemampuan insiden keamanan Defender untuk Cloud. Untuk informasi terkait, lihat halaman berikut: