Управление инцидентами безопасности в Microsoft Defender для облака

  • Статья

Рассмотрение и исследование оповещений системы безопасности может занять много времени даже у самых опытных аналитиков в сфере безопасности. Во многих случаях трудно понять, с чего начать.

Defender для облака использует аналитику для подключения данных между отдельными оповещениями системы безопасности. Используя эти подключения, Defender для облака может предоставить единое представление кампании атаки и связанные с ней оповещения, которые помогут понять, какие действия выполнили злоумышленники и какие затронуты ресурсы.

На этой странице представлен обзор инцидентов в Defender для облака.

Что такое инцидент?

Инцидент безопасности в Defender для облака — это совокупность всех оповещений для ресурса, сопоставимых с шаблонами цепочки нарушения безопасности. Инциденты отображаются на странице Оповещения системы безопасности. Выберите инцидент, чтобы просмотреть связанные оповещения и получить дополнительные сведения.

Управление инцидентами

  1. На странице оповещений системы безопасности Defender для облака используйте кнопку Добавить фильтр , чтобы отфильтровать по имени оповещения имя оповещения Инцидент безопасности, обнаруженный на нескольких ресурсах.

    Поиск инцидентов на странице оповещений системы безопасности в Microsoft Defender для облака.

    Теперь список отфильтрован, и в нем указаны только инциденты. Обратите внимание, что инциденты безопасности имеют значок, который отличается от оповещений системы безопасности.

    Список инцидентов на странице оповещений системы безопасности в Microsoft Defender для облака.

  2. Чтобы просмотреть сведения об инциденте, нужный инцидент в списке. Откроется боковая область с дополнительными сведениями об инциденте.

    Боковая область со сведениями об инциденте.

  3. Чтобы просмотреть дополнительные сведения, выберите Просмотр полных сведений.

    Реагирование на инциденты безопасности в Microsoft Defender для облака.

    На левой панели страницы инцидента безопасности отображаются сведения высокого уровня об инциденте безопасности: заголовок, серьезность, состояние, время действия, описание и затронутый ресурс. Рядом с затронутым ресурсом можно увидеть соответствующие теги Azure. Используйте их, чтобы вывести организационный контекст ресурса при исследовании предупреждения.

    Правая панель содержит вкладку предупреждения с оповещениями системы безопасности, которые были связаны в рамках этого инцидента.

    Совет

    Чтобы получить дополнительные сведения о конкретном оповещении, выберите его.

    Вкладка выполнения действия для инцидента.

    Чтобы перейти на вкладку Выполнить действие, выберите ее или нажмите кнопку в нижней части правой панели. Используйте эту вкладку, чтобы выполнить следующие действия:

    • Устранение угрозы — здесь приведены действия по устранению проблемы, выполняемые вручную для этого инцидента системы безопасности
    • Предотвращение атак в будущем — предоставляет рекомендации по обеспечению безопасности для уменьшения уязвимой зоны, повышения безопасности и предотвращения атак в будущем
    • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности
    • Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации

    Примечание

    Одно и то же оповещение может существовать как часть инцидента, а также отображаться в виде автономного оповещения.

  4. Чтобы устранить угрозы в инциденте, выполните действия по исправлению, предоставленные вместе с каждым оповещением.

Дальнейшие действия

На этой странице описаны возможности инцидентов безопасности в Defender для облака. Больше узнать об этих возможностях можно на следующих страницах: