Udostępnij za pośrednictwem

Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Defender dla Chmury

  • Artykuł

Klasyfikowanie i badanie alertów zabezpieczeń może być czasochłonne nawet dla najbardziej wykwalifikowanych analityków zabezpieczeń. Dla wielu trudno jest wiedzieć, gdzie zacząć.

Defender dla Chmury używa analizy do łączenia informacji między odrębnymi alertami zabezpieczeń. Korzystając z tych połączeń, Defender dla Chmury może zapewnić pojedynczy widok kampanii ataku i powiązanych z nią alertów, aby ułatwić zrozumienie działań osoby atakującej i dotkniętych zasobów.

Ta strona zawiera omówienie zdarzeń w Defender dla Chmury.

Co to jest zdarzenie naruszenia zabezpieczeń?

W Defender dla Chmury zdarzenie zabezpieczeń to agregacja wszystkich alertów dla zasobu, który jest zgodny z wzorcami łańcucha zabić. Zdarzenia są wyświetlane na stronie Alerty zabezpieczeń. Wybierz zdarzenie, aby wyświetlić powiązane alerty i uzyskać więcej informacji.

Zarządzanie zdarzeniami naruszenia zabezpieczeń

  1. Na stronie alertów zabezpieczeń Defender dla Chmury użyj przycisku Dodaj filtr, aby filtrować według nazwy alertu do nazwy alertu Zdarzenie zabezpieczeń wykryte w wielu zasobach.

    Lokalizowanie zdarzeń na stronie alertów zabezpieczeń w Microsoft Defender dla Chmury.

    Lista jest teraz filtrowana w celu wyświetlania tylko zdarzeń. Zwróć uwagę, że zdarzenia zabezpieczeń mają inną ikonę alertów zabezpieczeń.

    Lista zdarzeń na stronie alertów zabezpieczeń w Microsoft Defender dla Chmury.

  2. Aby wyświetlić szczegóły zdarzenia, wybierz jeden z listy. Zostanie wyświetlone okienko boczne z bardziej szczegółowymi informacjami o zdarzeniu.

    Okienko boczne przedstawiające szczegóły zdarzenia.

  3. Aby wyświetlić więcej szczegółów, wybierz pozycję Wyświetl pełne szczegóły.

    Reagowanie na zdarzenia zabezpieczeń w Microsoft Defender dla Chmury.

    W lewym okienku strony zdarzenia zabezpieczeń są wyświetlane ogólne informacje o zdarzeniu zabezpieczeń: tytuł, ważność, stan, czas działania, opis i dotknięty zasób. Obok zasobu, którego dotyczy problem, możesz zobaczyć odpowiednie tagi platformy Azure. Użyj tych tagów, aby wywnioskować kontekst organizacyjny zasobu podczas badania alertu.

    Okienko po prawej stronie zawiera kartę Alerty z alertami zabezpieczeń, które zostały skorelowane w ramach tego zdarzenia.

    Napiwek

    Aby uzyskać więcej informacji na temat określonego alertu, wybierz go.

    Karta Podejmowanie akcji zdarzenia.

    Aby przełączyć się na kartę Wykonaj akcję , wybierz kartę lub przycisk w dolnej części okienka po prawej stronie. Użyj tej karty, aby wykonać dalsze działania, takie jak:

    • Eliminowanie zagrożenia — zawiera ręczne kroki korygowania dla tego zdarzenia zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń ułatwiające zmniejszenie obszaru ataków, zwiększenie stanu zabezpieczeń i zapobieganie przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwolenia aplikacji logiki jako odpowiedzi na to zdarzenie zabezpieczeń
    • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla twojej organizacji

    Uwaga

    Ten sam alert może istnieć jako część zdarzenia, a także być widoczny jako alert autonomiczny.

  4. Aby skorygować zagrożenia w zdarzeniu, wykonaj kroki korygowania podane dla każdego alertu.

Następne kroki

Na tej stronie wyjaśniono możliwości zdarzeń zabezpieczeń Defender dla Chmury. Aby uzyskać powiązane informacje, zobacz następujące strony: