Edit

Mengelola dan merespons pemberitahuan keamanan

  • Bagaimana

Daftar pemberitahuan keamanan yang diprioritaskan ditampilkan di Defender untuk Cloud bersama dengan informasi yang Anda butuhkan untuk menyelidiki masalah dengan cepat dan langkah-langkah yang harus diambil untuk memulihkan serangan. Defender untuk Cloud menggunakan data log untuk mendeteksi ancaman nyata dan mengurangi positif palsu. Daftar pemberitahuan keamanan yang diprioritaskan ditampilkan di Defender untuk Cloud bersama dengan informasi yang Anda butuhkan untuk menyelidiki masalah dengan cepat dan langkah-langkah yang harus diambil untuk memulihkan serangan.

Artikel ini memperlihatkan kepada Anda cara melihat dan memproses pemberitahuan Defender untuk Cloud dan melindungi sumber daya Anda.

Saat melakukan triaging pemberitahuan keamanan, Anda harus memprioritaskan pemberitahuan berdasarkan tingkat keparahan pemberitahuannya, mengatasi pemberitahuan tingkat keparahan yang lebih tinggi terlebih dahulu. Pelajari selengkapnya tentang bagaimana pemberitahuan diklasifikasikan.

Tip

Anda dapat menyambungkan Microsoft Defender untuk Cloud ke solusi SIEM termasuk Microsoft Sentinel dan menggunakan pemberitahuan dari alat pilihan Anda. Pelajari selengkapnya cara mengalirkan pemberitahuan ke solusi SIEM, SOAR, atau MANAJEMEN Layanan TI.

Prasyarat

Untuk prasyarat dan persyaratan, lihat Matriks dukungan untuk Defender untuk Cloud.

Mengelola pemberitahuan keamanan Anda

Ikuti langkah-langkah ini:

  1. Masuk ke portal Azure.

  2. Buka Microsoft Defender untuk Cloud>Peringatan keamanan.

    Cuplikan layar yang memperlihatkan halaman pemberitahuan keamanan dari halaman gambaran umum Microsoft Defender untuk Cloud.

  3. (Opsional) Filter daftar pemberitahuan dengan salah satu filter yang relevan. Anda dapat menambahkan filter tambahan dengan opsi Tambahkan filter .

    Cuplikan layar yang memperlihatkan kepada Anda cara menambahkan filter ke tampilan pemberitahuan.

    Daftar diperbarui sesuai dengan filter yang dipilih. Misalnya, Anda mungkin ingin mengatasi pemberitahuan keamanan yang terjadi dalam 24 jam terakhir karena Anda menyelidiki potensi pelanggaran dalam sistem.

Menyelidiki pemberitahuan keamanan

Setiap pemberitahuan berisi informasi mengenai pemberitahuan yang membantu Anda dalam penyelidikan Anda.

Untuk menyelidiki pemberitahuan keamanan:

  1. Pilih pemberitahuan. Panel samping akan terbuka dan menampilkan deskripsi pemberitahuan dan semua sumber daya yang terpengaruh.

    Cuplikan layar tampilan detail tingkat tinggi dari pemberitahuan keamanan.

  2. Tinjau informasi tingkat tinggi tentang pemberitahuan keamanan.

    • Tingkat keparahan, status, dan waktu aktivitas pemberitahuan
    • Deskripsi yang menjelaskan aktivitas tepat yang terdeteksi
    • Sumber daya yang terpengaruh
    • Niat kill chain aktivitas pada matriks MITRE ATT&CK (jika berlaku)

  3. Pilih Tampilkan detail lengkap.

    Panel kanan menyertakan tab Detail pemberitahuan yang berisi detail pemberitahuan lebih lanjut untuk membantu Anda menyelidiki masalah: alamat IP, file, proses, dan lainnya.

    Cuplikan layar yang memperlihatkan halaman detail lengkap untuk pemberitahuan.

    Juga di panel kanan adalah tab Ambil tindakan. Gunakan tab ini untuk mengambil tindakan lebih lanjut terkait peringatan keamanan. Tindakan seperti:

    • Memeriksa konteks sumber daya - mengirim Anda ke log aktivitas sumber daya yang mendukung peringatan keamanan
    • Mitigasi ancaman - memberikan langkah-langkah perbaikan manual untuk peringatan keamanan ini
    • Cegah serangan di masa depan - memberikan rekomendasi keamanan untuk membantu mengurangi permukaan serangan, meningkatkan postur keamanan, dan dengan demikian mencegah serangan di masa depan
    • Memicu respons otomatis - menyediakan opsi untuk memicu aplikasi logika sebagai respons terhadap peringatan keamanan ini
    • Menekan peringatan serupa - menyediakan opsi untuk menekan peringatan di masa mendatang dengan karakteristik serupa jika peringatan tidak relevan untuk organisasi Anda

    Cuplikan layar yang memperlihatkan opsi yang tersedia di tab Ambil tindakan.

    Untuk detail lebih lanjut, hubungi pemilik sumber daya untuk memverifikasi apakah aktivitas yang terdeteksi adalah positif palsu. Anda juga dapat menyelidiki log mentah yang dihasilkan oleh sumber daya yang diserang.

Mengubah status beberapa pemberitahuan keamanan sekaligus

Daftar peringatan menyertakan kotak centang sehingga Anda dapat menangani beberapa peringatan sekaligus. Misalnya, untuk tujuan triase Anda mungkin memutuskan untuk menutup semua peringatan bersifat informasi untuk sumber daya tertentu.

  1. Filter sesuai dengan peringatan yang ingin Anda tangani secara massal.

    Dalam contoh ini, pemberitahuan dengan tingkat keparahan Informational untuk sumber daya ASC-AKS-CLOUD-TALK dipilih.

    Cuplikan layar yang memperlihatkan cara memfilter pemberitahuan untuk menampilkan pemberitahuan terkait.

  2. Gunakan kotak centang untuk memilih pemberitahuan yang akan diproses.

    Dalam contoh ini, semua pemberitahuan dipilih. Tombol Ubah status sekarang tersedia.

    Cuplikan layar dari proses memilih semua pemberitahuan untuk dihandel secara massal.

  3. Gunakan opsi Ubah status untuk mengatur status yang diinginkan.

    Cuplikan layar tab status pemberitahuan keamanan.

    Pemberitahuan yang ditampilkan di halaman saat ini telah mengubah statusnya menjadi nilai yang dipilih.

Merespons pemberitahuan keamanan

Setelah menyelidiki pemberitahuan keamanan, Anda dapat merespons pemberitahuan dari dalam Microsoft Defender untuk Cloud.

Untuk menanggapi pemberitahuan keamanan:

  1. Buka tab Ambil tindakan untuk melihat respons yang direkomendasikan.

    Cuplikan layar pemberitahuan keamanan mengambil tab tindakan.

  2. Tinjau bagian Meredakan ancaman untuk langkah-langkah investigasi manual yang diperlukan untuk meredakan masalah.

  3. Untuk menguatkan sumber daya Anda dan mencegah serangan di masa depan semacam ini, perbaiki rekomendasi keamanan di bagian Mencegah serangan di masa depan.

  4. Untuk memicu aplikasi logika dengan langkah respons otomatis, gunakan bagian Memicu respons otomatis dan pilih Memicu aplikasi logika.

  5. Jika aktivitas yang terdeteksi tidak berbahaya, Anda dapat menekan pemberitahuan di masa mendatang dari jenis ini menggunakan bagian Sembunyikan pemberitahuan serupa dan pilih Buat aturan supresi.

  6. Pilih Konfigurasikan pengaturan pemberitahuan email, untuk melihat siapa yang menerima email mengenai pemberitahuan keamanan pada langganan ini. Hubungi pemilik langganan, untuk mengonfigurasi pengaturan email.

  7. Saat Anda menyelesaikan penyelidikan ke pemberitahuan dan merespons dengan cara yang sesuai, ubah status menjadi Diberhentikan.

    Cuplikan layar menu drop-down status pemberitahuan.

    Pemberitahuan dihapus dari daftar pemberitahuan utama. Anda dapat menggunakan filter dari halaman daftar pemberitahuan untuk melihat semua pemberitahuan dengan status Dimatikan.

  8. Kami mendorong Anda untuk memberikan umpan balik tentang pemberitahuan ke Microsoft:

    1. Menandai pemberitahuan sebagai Berguna atau Tidak berguna.
    2. Pilih alasan dan tambahkan komentar.

    Cuplikan layar jendela berikan umpan balik ke Microsoft yang memungkinkan Anda memilih kegunaan pemberitahuan.

    Tip

    Kami meninjau umpan balik Anda untuk meningkatkan algoritma kami dan memberikan pemberitahuan keamanan yang lebih baik.

    Untuk mempelajari tentang berbagai jenis peringatan, lihat Pemberitahuan keamanan - panduan referensi.

    Untuk gambaran umum tentang bagaimana Defender for Cloud menghasilkan peringatan, lihat Bagaimana Microsoft Defender for Cloud mendeteksi dan merespons ancaman.

    Tinjau hasil pemindaian tanpa agen

    Hasil untuk pemindai berbasis agen dan tanpa agen muncul di halaman Pemberitahuan keamanan.

    Cuplikan layar halaman pemberitahuan keamanan yang menunjukkan hasil hasil pemindaian berbasis agen dan tanpa agen.

    Catatan

    Memulihkan salah satu pemberitahuan ini tidak akan memulihkan pemberitahuan lain sampai pemindaian berikutnya selesai.

Konten terkait