Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Defender dla Chmury

  • Artykuł

Klasyfikowanie i badanie alertów zabezpieczeń może być czasochłonne nawet dla najbardziej wykwalifikowanych analityków zabezpieczeń. Dla wielu trudno jest wiedzieć, gdzie zacząć.

Usługa Defender for Cloud używa analizy do łączenia informacji między odrębnymi alertami zabezpieczeń. Korzystając z tych połączeń, usługa Defender for Cloud może zapewnić pojedynczy widok kampanii ataku i powiązanych z nią alertów, aby ułatwić zrozumienie akcji osoby atakującej i zasobów, których dotyczy problem.

Ta strona zawiera omówienie zdarzeń w usłudze Defender for Cloud.

Co to jest zdarzenie naruszenia zabezpieczeń?

W usłudze Defender for Cloud zdarzenie zabezpieczeń to agregacja wszystkich alertów dla zasobu zgodnego z wzorcami łańcucha zagrożeń . Zdarzenia są wyświetlane na stronie Alerty zabezpieczeń . Wybierz zdarzenie, aby wyświetlić powiązane alerty i uzyskać więcej informacji.

Zarządzanie zdarzeniami naruszenia zabezpieczeń

  1. Na stronie Alerty zabezpieczeń usługi Defender for Cloud użyj przycisku Dodaj filtr , aby filtrować według nazwy alertu do nazwy alertu Zdarzenie zabezpieczeń wykryte w wielu zasobach.

    Lokalizowanie zdarzeń na stronie alertów zabezpieczeń w Microsoft Defender for Cloud.

    Lista jest teraz filtrowana w celu wyświetlania tylko zdarzeń. Zwróć uwagę, że zdarzenia zabezpieczeń mają inną ikonę alertów zabezpieczeń.

    Lista zdarzeń na stronie alertów zabezpieczeń w Microsoft Defender for Cloud.

  2. Aby wyświetlić szczegóły zdarzenia, wybierz je z listy. Zostanie wyświetlone okienko boczne z bardziej szczegółowymi informacjami o zdarzeniu.

    Okienko boczne przedstawiające szczegóły zdarzenia.

  3. Aby wyświetlić więcej szczegółów, wybierz pozycję Wyświetl pełne szczegóły.

    Reagowanie na zdarzenia zabezpieczeń w usłudze Microsoft Defender for Cloud.

    Lewe okienko strony zdarzenia zabezpieczeń zawiera ogólne informacje o zdarzeniu zabezpieczeń: tytuł, ważność, stan, czas działania, opis i zasób, którego dotyczy problem. Obok zasobu, którego dotyczy problem, można zobaczyć odpowiednie tagi platformy Azure. Użyj tych tagów, aby wywnioskować kontekst organizacyjny zasobu podczas badania alertu.

    Prawe okienko zawiera kartę Alerty z alertami zabezpieczeń, które zostały skorelowane w ramach tego zdarzenia.

    Porada

    Aby uzyskać więcej informacji na temat określonego alertu, wybierz go.

    Karta Podejmowanie akcji zdarzenia.

    Aby przełączyć się na kartę Wykonaj akcję , wybierz kartę lub przycisk w dolnej części okienka po prawej stronie. Użyj tej karty, aby wykonać dalsze działania, takie jak:

    • Eliminowanie zagrożenia — zawiera kroki ręcznego korygowania dla tego zdarzenia zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń i zapobiec przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na to zdarzenie zabezpieczeń
    • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla Twojej organizacji

    Uwaga

    Ten sam alert może istnieć w ramach zdarzenia, a także być widocznym jako alert autonomiczny.

  4. Aby skorygować zagrożenia w zdarzeniu, wykonaj kroki korygowania podane dla każdego alertu.

Następne kroki

Na tej stronie wyjaśniono możliwości zdarzeń zabezpieczeń usługi Defender for Cloud. Aby uzyskać powiązane informacje, zobacz następujące strony: