Reagowanie na alerty zabezpieczeń i zarządzanie nimi w usłudze Microsoft Defender dla Chmury

W tym temacie przedstawiono sposób wyświetlania i przetwarzania alertów usługi Defender for Cloud oraz ochrony zasobów.

Zaawansowane wykrywania wyzwalające alerty zabezpieczeń są dostępne tylko w przypadku rozszerzonych funkcji zabezpieczeń usługi Microsoft Defender for Cloud. Dostępna jest bezpłatna wersja próbna. Aby uaktualnić, zobacz Włączanie rozszerzonych ochrony.

Czym są alerty zabezpieczeń?

Usługa Defender for Cloud zbiera, analizuje i integruje dane dziennika z zasobów platformy Azure, sieci i połączonych rozwiązań partnerskich, takich jak zapory i agenci punktu końcowego. Usługa Defender for Cloud używa danych dziennika do wykrywania rzeczywistych zagrożeń i zmniejszenia liczby wyników fałszywie dodatnich. Lista priorytetowych alertów zabezpieczeń jest wyświetlana w usłudze Defender for Cloud wraz z informacjami potrzebnymi do szybkiego zbadania problemu i kroków w celu rozwiązania ataku.

Aby dowiedzieć się więcej o różnych typach alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

Aby zapoznać się z omówieniem sposobu generowania alertów przez usługę Defender for Cloud, zobacz Jak usługa Microsoft Defender for Cloud wykrywa zagrożenia i reaguje na nie.

Zarządzanie alertami zabezpieczeń

  1. Na stronie Przegląd usługi Defender for Cloud wybierz kafelek Alerty zabezpieczeń w górnej części strony lub link z paska bocznego.

    Uzyskiwanie do strony alertów zabezpieczeń na stronie przeglądu usługi Microsoft Defender for Cloud

    Zostanie otwarta strona Alerty zabezpieczeń.

    Lista alertów zabezpieczeń usługi Microsoft Defender for Cloud

  2. Aby filtrować listę alertów, wybierz dowolny z odpowiednich filtrów. Opcjonalnie możesz dodać kolejne filtry za pomocą opcji Dodaj filtr .

    Dodawanie filtrów do widoku alertów.

    Lista jest aktualizowana zgodnie z wybranymi opcjami filtrowania. Możesz na przykład sprawdzić alerty zabezpieczeń, które wystąpiły w ciągu ostatnich 24 godzin, ponieważ badasz potencjalne naruszenie zabezpieczeń systemu.

Odpowiadanie na alerty zabezpieczeń

  1. Z listy Alerty zabezpieczeń wybierz alert. Zostanie otwarte okienko boczne z opisem alertu i wszystkimi zasobami, których dotyczy problem.

    Widok miniszczegóły alertu zabezpieczeń.

    Porada

    Po otwarciu tego okienka bocznego można szybko przejrzeć listę alertów za pomocą strzałek w górę i w dół na klawiaturze.

  2. Aby uzyskać więcej informacji, wybierz pozycję Wyświetl pełne szczegóły.

    W lewym okienku strony alertu zabezpieczeń są wyświetlane ogólne informacje dotyczące alertu zabezpieczeń: tytuł, ważność, stan, czas działania, opis podejrzanego działania oraz zasób, którego dotyczy problem. Tagi platformy Azure dla zasobu, którego dotyczy problem, ułatwiają zrozumienie kontekstu organizacyjnego zasobu.

    Okienko po prawej stronie zawiera kartę Szczegóły alertu zawierającą dalsze szczegóły alertu, które ułatwiają badanie problemu: adresy IP, pliki, procesy i inne.

    Sugestie dotyczące działania alertów zabezpieczeń.

    Również w okienku po prawej stronie znajduje się karta Wykonaj akcję . Użyj tej karty, aby podjąć dalsze działania dotyczące alertu zabezpieczeń. Akcje, takie jak:

    • Inspekcja kontekstu zasobu — wysyła Cię do dzienników aktywności zasobu, które obsługują alert zabezpieczeń
    • Eliminowanie zagrożenia — zapewnia ręczne kroki korygowania dla tego alertu zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń, a tym samym zapobiec przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — umożliwia wyzwolenie aplikacji logiki jako odpowiedzi na ten alert zabezpieczeń
    • Pomijanie podobnych alertów — udostępnia opcję pomijania przyszłych alertów z podobnymi cechami, jeśli alert nie jest odpowiedni dla twojej organizacji

    Wykonaj kartę akcji.

Zmiana stanu wielu alertów zabezpieczeń jednocześnie

Lista alertów zawiera pola wyboru, dzięki czemu można obsługiwać wiele alertów jednocześnie. Na przykład w celach klasyfikacji możesz zdecydować się na odrzucenie wszystkich alertów informacyjnych dla określonego zasobu.

  1. Filtruj według alertów, które mają być obsługiwane zbiorczo.

    W tym przykładzie wybrano wszystkie alerty o ważności "Informational" dla zasobu "ASC-AKS-CLOUD-TALK".

    Zrzut ekranu przedstawiający filtrowanie alertów w celu wyświetlenia powiązanych alertów.

  2. Użyj pól wyboru, aby wybrać alerty do przetworzenia — lub użyj pola wyboru w górnej części listy, aby je zaznaczyć.

    W tym przykładzie wybrano wszystkie alerty. Zwróć uwagę, że przycisk Zmień stan jest teraz dostępny.

    Zrzut ekranu przedstawiający wybieranie wszystkich alertów do obsługi zbiorczej.

  3. Użyj opcji Zmień stan , aby ustawić żądany stan.

Alerty wyświetlane na bieżącej stronie zostaną zmienione na wybraną wartość.

Zobacz też

W tym dokumencie przedstawiono sposób wyświetlania alertów zabezpieczeń. Zobacz następujące strony dotyczące powiązanego materiału: