Edytuj

Zarządzanie alertami zabezpieczeń i reagowanie na nie

  • Porady

Usługa Defender dla Chmury gromadzi, analizuje i integruje dane dzienników z zasobów platformy Azure, zasobów hybrydowych i wielochmurowych, sieci oraz połączonych rozwiązań partnerskich, takich jak zapory i agenty punktów końcowych. Defender dla Chmury używa danych dziennika do wykrywania rzeczywistych zagrożeń i zmniejszania wyników fałszywie dodatnich. W usłudze Defender dla Chmury jest wyświetlana lista alertów zabezpieczeń uporządkowanych według priorytetu oraz informacje potrzebne do szybkiego analizowania problemu i czynności, które należy wykonać w razie ataku.

W tym artykule pokazano, jak wyświetlać i przetwarzać alerty usługi Defender dla Chmury i chronić zasoby.

Podczas klasyfikowania alertów zabezpieczeń należy najpierw określić priorytety alertów na podstawie ich ważności, zwracając się najpierw do alertów o wyższej ważności. Dowiedz się więcej o sposobie klasyfikowania alertów.

Napiwek

Możesz połączyć Microsoft Defender dla Chmury z rozwiązaniami SIEM, w tym z usługą Microsoft Sentinel, i korzystać z alertów z wybranego narzędzia. Dowiedz się więcej na temat przesyłania strumieniowego alertów do rozwiązania SIEM, SOAR lub IT Service Management.

Wymagania wstępne

Aby zapoznać się z wymaganiami wstępnymi i wymaganiami, zobacz Obsługa macierzy dla Defender dla Chmury.

Zarządzanie alertami zabezpieczeń

Wykonaj te kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.

    Zrzut ekranu przedstawiający stronę alertów zabezpieczeń ze strony przeglądu Microsoft Defender dla Chmury.

  3. (Opcjonalnie) Filtruj listę alertów przy użyciu dowolnego z odpowiednich filtrów. Możesz dodać dodatkowe filtry za pomocą opcji Dodaj filtr .

    Zrzut ekranu przedstawiający sposób dodawania filtrów do widoku alertów.

    Lista zostanie zaktualizowana zgodnie z wybranymi filtrami. Na przykład możesz chcieć rozwiązać problem z alertami zabezpieczeń, które wystąpiły w ciągu ostatnich 24 godzin, ponieważ badasz potencjalne naruszenie w systemie.

Badanie alertu zabezpieczeń

Każdy alert zawiera informacje dotyczące alertu, który ułatwia badanie.

Aby zbadać alert zabezpieczeń:

  1. Wybierz alert. Zostanie otwarte okienko boczne z opisem alertu i wszystkimi zasobami, których dotyczy problem.

    Zrzut ekranu przedstawiający ogólny widok szczegółów alertu zabezpieczeń.

  2. Przejrzyj ogólne informacje o alercie zabezpieczeń.

    • Ważność alertu, stan i czas działania
    • Opis wyjaśniający dokładne wykryte działanie
    • Zasoby, których dotyczy problem
    • Zabij intencję łańcucha działań w macierzy MITRE ATT&CK (jeśli ma to zastosowanie)

  3. Wybierz pozycję Wyświetl pełne szczegóły.

    W okienku po prawej stronie znajduje się karta Szczegóły alertu zawierająca dalsze szczegóły alertu, które ułatwiają badanie problemu: adresy IP, pliki, procesy i inne.

    Zrzut ekranu przedstawiający pełną stronę szczegółów alertu.

    W okienku po prawej stronie znajduje się karta Podejmij akcję . Użyj tej karty, aby wykonać dalsze działania dotyczące alertu zabezpieczeń. Akcje, takie jak:

    • Sprawdzanie kontekstu zasobu — wysyła cię do dzienników aktywności zasobu, które obsługują alert zabezpieczeń
    • Eliminowanie zagrożenia — zawiera ręczne kroki korygowania dla tego alertu zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń, a tym samym zapobiec przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na ten alert zabezpieczeń
    • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla twojej organizacji

    Zrzut ekranu przedstawiający opcje dostępne na karcie Wykonaj akcję.

    Aby uzyskać więcej informacji, skontaktuj się z właścicielem zasobu, aby sprawdzić, czy wykryte działanie jest fałszywie dodatnie. Możesz również zbadać nieprzetworzone dzienniki wygenerowane przez zaatakowany zasób.

Zmienianie stanu wielu alertów zabezpieczeń jednocześnie

Lista alertów zawiera pola wyboru, dzięki czemu można obsługiwać wiele alertów jednocześnie. Na przykład w celach klasyfikacji możesz podjąć decyzję o odrzuceniu wszystkich alertów informacyjnych dla określonego zasobu.

  1. Filtruj według alertów, które mają być obsługiwane zbiorczo.

    W tym przykładzie wybrano alerty o ważności Informational dla zasobu ASC-AKS-CLOUD-TALK .

    Zrzut ekranu przedstawiający sposób filtrowania alertów w celu wyświetlania powiązanych alertów.

  2. Użyj pól wyboru, aby wybrać alerty do przetworzenia.

    W tym przykładzie wybrano wszystkie alerty. Przycisk Zmień stan jest teraz dostępny.

    Zrzut ekranu przedstawiający wybieranie wszystkich alertów do obsługi zbiorczej.

  3. Użyj opcji Zmień stan, aby ustawić żądany stan.

    Zrzut ekranu przedstawiający kartę Stan alertów zabezpieczeń.

    Alerty wyświetlane na bieżącej stronie mają zmieniony stan na wybraną wartość.

Reagowanie na alert zabezpieczeń

Po zbadaniu alertu zabezpieczeń możesz odpowiedzieć na alert z poziomu Microsoft Defender dla Chmury.

Aby odpowiedzieć na alert zabezpieczeń:

  1. Otwórz kartę Podejmij akcję, aby wyświetlić zalecane odpowiedzi.

    Zrzut ekranu przedstawiający kartę podejmowania akcji alertów zabezpieczeń.

  2. Zapoznaj się z sekcją Ograniczanie zagrożenia , aby zapoznać się z ręcznymi krokami badania, które należy rozwiązać, aby rozwiązać ten problem.

  3. Aby zabezpieczyć zasoby i zapobiec przyszłym atakom tego rodzaju, koryguj zalecenia dotyczące zabezpieczeń w sekcji Zapobieganie przyszłym atakom .

  4. Aby wyzwolić aplikację logiki z automatycznymi krokami odpowiedzi, użyj sekcji Wyzwalaj automatyczną odpowiedź i wybierz pozycję Wyzwalaj aplikację logiki.

  5. Jeśli wykryte działanie nie jest złośliwe, możesz pominąć przyszłe alerty tego typu przy użyciu sekcji Pomijanie podobnych alertów i wybrać pozycję Utwórz regułę pomijania.

  6. Wybierz pozycję Konfiguruj ustawienia powiadomień e-mail, aby wyświetlić, kto otrzymuje wiadomości e-mail dotyczące alertów zabezpieczeń w tej subskrypcji. Skontaktuj się z właścicielem subskrypcji, aby skonfigurować ustawienia wiadomości e-mail.

  7. Po zakończeniu badania alertu i odpowiedzi w odpowiedni sposób zmień stan na Odrzucone.

    Zrzut ekranu przedstawiający menu rozwijane stanu alertu.

    Alert zostanie usunięty z głównej listy alertów. Możesz użyć filtru na stronie listy alertów, aby wyświetlić wszystkie alerty ze stanem Odrzucone .

  8. Zachęcamy do przekazywania opinii na temat alertu firmie Microsoft:

    1. Oznaczanie alertu jako przydatne lub nie jest przydatne.
    2. Wybierz przyczynę i dodaj komentarz.

    Zrzut ekranu przedstawiający okno przekazywania opinii do firmy Microsoft, które pozwala wybrać użyteczność alertu.

    Napiwek

    Przejrzyjemy Twoją opinię, aby ulepszyć nasze algorytmy i zapewnić lepsze alerty zabezpieczeń.

    Aby dowiedzieć się więcej o różnych typach alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

    Aby zapoznać się z omówieniem sposobu generowania alertów przez Defender dla Chmury, zobacz Jak Microsoft Defender dla Chmury wykrywa zagrożenia i reaguje na nie.

    Przejrzyj wyniki skanowania bez agenta

    Wyniki zarówno dla skanera opartego na agencie, jak i bez agenta są wyświetlane na stronie Alerty zabezpieczeń.

    Zrzut ekranu przedstawiający stronę alertów zabezpieczeń, która pokazuje wyniki skanowania opartego na agencie i bez agenta.

    Uwaga

    Korygowanie jednego z tych alertów nie spowoduje skorygowania drugiego alertu do momentu ukończenia następnego skanowania.

Powiązana zawartość