Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Defender dla Chmury
Klasyfikowanie i badanie alertów zabezpieczeń może być czasochłonne nawet dla najbardziej wykwalifikowanych analityków zabezpieczeń. Dla wielu trudno jest wiedzieć, gdzie zacząć.
Usługa Defender for Cloud używa analizy do łączenia informacji między odrębnymi alertami zabezpieczeń. Korzystając z tych połączeń, usługa Defender for Cloud może zapewnić pojedynczy widok kampanii ataku i powiązanych z nią alertów, aby ułatwić zrozumienie akcji osoby atakującej i zasobów, których dotyczy problem.
Ta strona zawiera omówienie zdarzeń w usłudze Defender for Cloud.
Co to jest zdarzenie naruszenia zabezpieczeń?
W usłudze Defender for Cloud zdarzenie zabezpieczeń to agregacja wszystkich alertów dla zasobu zgodnego z wzorcami łańcucha zagrożeń . Zdarzenia są wyświetlane na stronie Alerty zabezpieczeń . Wybierz zdarzenie, aby wyświetlić powiązane alerty i uzyskać więcej informacji.
Zarządzanie zdarzeniami naruszenia zabezpieczeń
Na stronie Alerty zabezpieczeń usługi Defender for Cloud użyj przycisku Dodaj filtr , aby filtrować według nazwy alertu do nazwy alertu Zdarzenie zabezpieczeń wykryte w wielu zasobach.
Lista jest teraz filtrowana w celu wyświetlania tylko zdarzeń. Zwróć uwagę, że zdarzenia zabezpieczeń mają inną ikonę alertów zabezpieczeń.
Aby wyświetlić szczegóły zdarzenia, wybierz je z listy. Zostanie wyświetlone okienko boczne z bardziej szczegółowymi informacjami o zdarzeniu.
Aby wyświetlić więcej szczegółów, wybierz pozycję Wyświetl pełne szczegóły.
Lewe okienko strony zdarzenia zabezpieczeń zawiera ogólne informacje o zdarzeniu zabezpieczeń: tytuł, ważność, stan, czas działania, opis i zasób, którego dotyczy problem. Obok zasobu, którego dotyczy problem, można zobaczyć odpowiednie tagi platformy Azure. Użyj tych tagów, aby wywnioskować kontekst organizacyjny zasobu podczas badania alertu.
Prawe okienko zawiera kartę Alerty z alertami zabezpieczeń, które zostały skorelowane w ramach tego zdarzenia.
Porada
Aby uzyskać więcej informacji na temat określonego alertu, wybierz go.
Aby przełączyć się na kartę Wykonaj akcję , wybierz kartę lub przycisk w dolnej części okienka po prawej stronie. Użyj tej karty, aby wykonać dalsze działania, takie jak:
- Eliminowanie zagrożenia — zawiera kroki ręcznego korygowania dla tego zdarzenia zabezpieczeń
- Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń i zapobiec przyszłym atakom
- Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na to zdarzenie zabezpieczeń
- Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla Twojej organizacji
Uwaga
Ten sam alert może istnieć w ramach zdarzenia, a także być widocznym jako alert autonomiczny.
Aby skorygować zagrożenia w zdarzeniu, wykonaj kroki korygowania podane dla każdego alertu.
Następne kroki
Na tej stronie wyjaśniono możliwości zdarzeń zabezpieczeń usługi Defender for Cloud. Aby uzyskać powiązane informacje, zobacz następujące strony: