Zarządzanie alertami zabezpieczeń i reagowanie na nie

Usługa Defender dla Chmury gromadzi, analizuje i integruje dane dzienników z zasobów platformy Azure, zasobów hybrydowych i wielochmurowych, sieci oraz połączonych rozwiązań partnerskich, takich jak zapory i agenty punktów końcowych. Defender dla Chmury używa danych dziennika do wykrywania rzeczywistych zagrożeń i zmniejszania wyników fałszywie dodatnich. W usłudze Defender dla Chmury jest wyświetlana lista alertów zabezpieczeń uporządkowanych według priorytetu oraz informacje potrzebne do szybkiego analizowania problemu i czynności, które należy wykonać w razie ataku.

W tym artykule pokazano, jak wyświetlać i przetwarzać alerty usługi Defender dla Chmury i chronić zasoby.

Podczas klasyfikowania alertów zabezpieczeń należy najpierw określić priorytety alertów na podstawie ich ważności, zwracając się najpierw do alertów o wyższej ważności. Dowiedz się więcej o sposobie klasyfikowania alertów.

Napiwek

Możesz połączyć Microsoft Defender dla Chmury z rozwiązaniami SIEM, w tym z usługą Microsoft Sentinel, i korzystać z alertów z wybranego narzędzia. Dowiedz się więcej na temat przesyłania strumieniowego alertów do rozwiązania SIEM, SOAR lub IT Service Management.

Zarządzanie alertami zabezpieczeń

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (Opcjonalnie) Filtruj listę alertów przy użyciu dowolnego z odpowiednich filtrów. Możesz dodać dodatkowe filtry za pomocą opcji Dodaj filtr .

    Screenshot that shows you how to add filters to the alerts view.

    Lista zostanie zaktualizowana zgodnie z wybranymi filtrami. Na przykład możesz chcieć rozwiązać problem z alertami zabezpieczeń, które wystąpiły w ciągu ostatnich 24 godzin, ponieważ badasz potencjalne naruszenie w systemie.

Badanie alertu zabezpieczeń

Każdy alert zawiera informacje dotyczące alertu, który ułatwia badanie.

Aby zbadać alert zabezpieczeń:

  1. Wybierz alert. Zostanie otwarte okienko boczne z opisem alertu i wszystkimi zasobami, których dotyczy problem.

    Screenshot of the high-level details view of a security alert.

  2. Przejrzyj ogólne informacje o alercie zabezpieczeń.

    • Ważność alertu, stan i czas działania
    • Opis wyjaśniający dokładne wykryte działanie
    • Zasoby, których dotyczy problem
    • Zabij intencję łańcucha działań w macierzy MITRE ATT&CK (jeśli ma to zastosowanie)
  3. Wybierz pozycję Wyświetl pełne szczegóły.

    W okienku po prawej stronie znajduje się karta Szczegóły alertu zawierająca dalsze szczegóły alertu, które ułatwiają badanie problemu: adresy IP, pliki, procesy i inne.

    Screenshot that shows the full details page for an alert.

    W okienku po prawej stronie znajduje się karta Podejmij akcję . Użyj tej karty, aby wykonać dalsze działania dotyczące alertu zabezpieczeń. Akcje, takie jak:

    • Sprawdzanie kontekstu zasobu — wysyła cię do dzienników aktywności zasobu, które obsługują alert zabezpieczeń
    • Eliminowanie zagrożenia — zawiera ręczne kroki korygowania dla tego alertu zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń, a tym samym zapobiec przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na ten alert zabezpieczeń
    • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla twojej organizacji

    Screenshot that shows the options available in the Take action tab.

Aby uzyskać więcej informacji, skontaktuj się z właścicielem zasobu, aby sprawdzić, czy wykryte działanie jest fałszywie dodatnie. Możesz również zbadać nieprzetworzone dzienniki wygenerowane przez zaatakowany zasób.

Zmienianie stanu wielu alertów zabezpieczeń jednocześnie

Lista alertów zawiera pola wyboru, dzięki czemu można obsługiwać wiele alertów jednocześnie. Na przykład w celach klasyfikacji możesz podjąć decyzję o odrzuceniu wszystkich alertów informacyjnych dla określonego zasobu.

  1. Filtruj według alertów, które mają być obsługiwane zbiorczo.

    W tym przykładzie wybrano alerty o ważności Informational dla zasobu ASC-AKS-CLOUD-TALK .

    Screenshot that shows how to filter alerts to show related alerts.

  2. Użyj pól wyboru, aby wybrać alerty do przetworzenia.

    W tym przykładzie wybrano wszystkie alerty. Przycisk Zmień stan jest teraz dostępny.

    Screenshot of selecting all alerts to handle in bulk.

  3. Użyj opcji Zmień stan, aby ustawić żądany stan.

    Screenshot of the security alerts status tab.

Alerty wyświetlane na bieżącej stronie mają zmieniony stan na wybraną wartość.

Odpowiadanie na alert zabezpieczeń

Po zbadaniu alertu zabezpieczeń możesz odpowiedzieć na alert z poziomu Microsoft Defender dla Chmury.

Aby odpowiedzieć na alert zabezpieczeń:

  1. Otwórz kartę Podejmij akcję, aby wyświetlić zalecane odpowiedzi.

    Screenshot of the security alerts take action tab.

  2. Zapoznaj się z sekcją Ograniczanie zagrożenia , aby zapoznać się z ręcznymi krokami badania, które należy rozwiązać, aby rozwiązać ten problem.

  3. Aby zabezpieczyć zasoby i zapobiec przyszłym atakom tego rodzaju, koryguj zalecenia dotyczące zabezpieczeń w sekcji Zapobieganie przyszłym atakom .

  4. Aby wyzwolić aplikację logiki z automatycznymi krokami odpowiedzi, użyj sekcji Wyzwalaj automatyczną odpowiedź i wybierz pozycję Wyzwalaj aplikację logiki.

  5. Jeśli wykryte działanie nie jest złośliwe, możesz pominąć przyszłe alerty tego typu przy użyciu sekcji Pomijanie podobnych alertów i wybrać pozycję Utwórz regułę pomijania.

  6. Wybierz pozycję Konfiguruj ustawienia powiadomień e-mail, aby wyświetlić, kto otrzymuje wiadomości e-mail dotyczące alertów zabezpieczeń w tej subskrypcji. Skontaktuj się z właścicielem subskrypcji, aby skonfigurować ustawienia wiadomości e-mail.

  7. Po zakończeniu badania alertu i odpowiedzi w odpowiedni sposób zmień stan na Odrzucone.

    Screenshot of the alert's status drop down menu

    Alert zostanie usunięty z głównej listy alertów. Możesz użyć filtru na stronie listy alertów, aby wyświetlić wszystkie alerty ze stanem Odrzucone .

  8. Zachęcamy do przekazywania opinii na temat alertu firmie Microsoft:

    1. Oznaczanie alertu jako przydatne lub nie jest przydatne.

    2. Wybierz przyczynę i dodaj komentarz.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    Napiwek

    Przejrzyjemy Twoją opinię, aby ulepszyć nasze algorytmy i zapewnić lepsze alerty zabezpieczeń.

Aby dowiedzieć się więcej o różnych typach alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

Aby zapoznać się z omówieniem sposobu generowania alertów przez Defender dla Chmury, zobacz Jak Microsoft Defender dla Chmury wykrywa zagrożenia i reaguje na nie.

Przejrzyj wyniki skanowania bez agenta

Wyniki zarówno dla skanera opartego na agencie, jak i bez agenta są wyświetlane na stronie Alerty zabezpieczeń.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

Uwaga

Korygowanie jednego z tych alertów nie spowoduje skorygowania drugiego alertu do momentu ukończenia następnego skanowania.

Zobacz też

W tym dokumencie przedstawiono sposób wyświetlania alertów zabezpieczeń. Zobacz następujące strony dotyczące powiązanego materiału: