Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet

Det här avsnittet visar hur du visar och bearbetar Defender för molnets aviseringar och skyddar dina resurser.

Avancerade identifieringar som utlöser säkerhetsaviseringar är endast tillgängliga med Microsoft Defender för molnets förbättrade säkerhetsfunktioner aktiverade. Det finns en kostnadsfri utvärderingsversion. Information om hur du uppgraderar finns i Aktivera förbättrat skydd.

Vad är säkerhetsaviseringar?

Defender för molnet samlar in, analyserar och integrerar loggdata från dina Azure-resurser, nätverket och anslutna partnerlösningar, till exempel brandväggar och slutpunktsagenter. Defender för molnet använder loggdata för att identifiera verkliga hot och minska falska positiva identifieringar. En lista över prioriterade säkerhetsaviseringar visas i Defender för molnet tillsammans med den information du behöver för att snabbt undersöka problemet och vilka åtgärder som ska vidtas för att åtgärda ett angrepp.

Mer information om de olika typerna av aviseringar finns i Säkerhetsaviseringar – en referensguide.

En översikt över hur Defender för molnet genererar aviseringar finns i Så identifierar och svarar Microsoft Defender för molnet på hot.

Hantera dina säkerhetsaviseringar

  1. På översiktssidan för Defender för molnet väljer du panelen Säkerhetsaviseringar överst på sidan eller länken från sidopanelen.

    Komma till sidan med säkerhetsaviseringar från översiktssidan för Microsoft Defender för molnet

    Sidan säkerhetsaviseringar öppnas.

    Microsoft Defender för molnets lista över säkerhetsaviseringar

  2. Om du vill filtrera aviseringslistan väljer du något av de relevanta filtren. Du kan också lägga till ytterligare filter med alternativet Lägg till filter .

    Lägga till filter i aviseringsvyn.

    Listan uppdateras enligt de filtreringsalternativ som du har valt. Kanske vill du till exempel se säkerhetsaviseringar från det senaste dygnet eftersom du undersöker ett potentiellt angrepp i systemet under den här tiden.

Åtgärda säkerhetsaviseringar

  1. Välj en avisering i listan Säkerhetsaviseringar . En sidoruta öppnas och visar en beskrivning av aviseringen och alla berörda resurser.

    Miniinformationsvy över en säkerhetsavisering.

    Tips

    När det här sidofönstret är öppet kan du snabbt granska aviseringslistan med upp- och nedpilarna på tangentbordet.

  2. Om du vill ha mer information väljer du Visa fullständig information.

    Den vänstra rutan på sidan säkerhetsavisering visar information på hög nivå om säkerhetsaviseringen: rubrik, allvarlighetsgrad, status, aktivitetstid, beskrivning av den misstänkta aktiviteten och den berörda resursen. Azure-taggarna för den berörda resursen hjälper dig att förstå resursens organisationskontext.

    Den högra rutan innehåller fliken Aviseringsinformation som innehåller ytterligare information om aviseringen som hjälper dig att undersöka problemet: IP-adresser, filer, processer med mera.

    Förslag på vad du kan göra med säkerhetsaviseringar.

    I den högra rutan finns också fliken Vidta åtgärd . Använd den här fliken om du vill vidta ytterligare åtgärder för säkerhetsaviseringen. Åtgärder som:

    • Granska resurskontext – skickar dig till resursens aktivitetsloggar som stöder säkerhetsaviseringen
    • Åtgärda hotet – innehåller manuella reparationssteg för den här säkerhetsaviseringen
    • Förhindra framtida attacker – ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och därmed förhindra framtida attacker
    • Utlösa automatiserat svar – ger möjlighet att utlösa en logikapp som svar på den här säkerhetsaviseringen
    • Ignorera liknande aviseringar – ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation

    Ta åtgärdsfliken.

Ändra status för flera säkerhetsaviseringar samtidigt

Aviseringslistan innehåller kryssrutor så att du kan hantera flera aviseringar samtidigt. I sorteringssyfte kan du till exempel välja att stänga alla informationsaviseringar för en specifik resurs.

  1. Filtrera efter de aviseringar som du vill hantera i grupp.

    I det här exemplet har vi valt alla aviseringar med allvarlighetsgraden "Information" för resursen "ASC-AKS-CLOUD-TALK".

    Skärmbild av filtrering av aviseringar för att visa relaterade aviseringar.

  2. Använd kryssrutorna för att markera de aviseringar som ska bearbetas , eller använd kryssrutan överst i listan för att markera dem alla.

    I det här exemplet har vi valt alla aviseringar. Observera att knappen Ändra status nu är tillgänglig.

    Skärmbild av att välja alla aviseringar som ska hanteras i grupp.

  3. Använd alternativen ändra status för att ange önskad status.

Aviseringarna som visas på den aktuella sidan får sin status ändrad till det valda värdet.

Se även

I det här dokumentet har du lärt dig hur du visar säkerhetsaviseringar. Se följande sidor för relaterat material: