你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Defender for Cloud 中管理和响应安全警报

本主题介绍如何查看和处理 Defender for Cloud 的警报并保护资源。

仅启用了 Microsoft Defender for Cloud 增强的安全功能,才能使用触发安全警报的高级检测功能。 有免费试用版可用。 若要升级,请参阅启用增强的保护

什么是安全警报?

Defender for Cloud 将从 Azure 资源、网络和已连接的合作伙伴解决方案(例如防火墙和终结点代理)中收集、分析并整合日志数据。 Defender for Cloud 使用日志数据来检测真正的威胁并减少误报。 Defender for Cloud 显示了一系列安全警报(按严重程度排序),并显示了快速调查问题所需的信息以及修复攻击的步骤。

若要了解各种类型的警报,请参阅安全警报 - 参考指南

有关 Defender for Cloud 如何生成警报的概述,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁

管理安全警报

  1. 从 Defender for Cloud 的“概述”页上,选择页面顶部的“安全警报”磁贴,或侧栏中的链接。

    从 Microsoft Defender for Cloud 的“概述”页进入“安全警报”页

    此时将打开安全警报页。

    Microsoft Defender for Cloud 的安全警报列表

  2. 若要筛选警报列表,请选择任何相关的筛选器。 你还可以通过“添加筛选器”选项添加进一步的筛选器。

    向警报视图添加筛选器。

    列表会根据你选择的筛选选项进行更新。 例如,假设正在调查系统中的潜在危害,需要处理过去 24 小时内发生的安全警报。

响应安全警报

  1. 从“安全警报”列表中,选择一个警报。 此时会打开一个侧窗格,其中显示了警报和所有受影响的资源的说明。

    安全警报的迷你详细信息视图。

    提示

    在此侧窗格处于打开状态时,可以通过键盘上的向上和向下箭头键快速查看警报列表。

  2. 有关详细信息,请选择“查看完整详细信息”。

    安全警报页面的左窗格显示有关安全警报的大致信息:标题、严重性、状态、活动时间、可疑活动的说明以及受影响的资源。 受影响资源的 Azure 标记可帮助你了解资源的组织上下文。

    右侧窗格包含“警报详细信息”选项卡,其中包含警报的更多详细信息,用于帮助你调查问题:IP 地址、文件、进程等。

    有关如何处理安全警报的建议。

    右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作,例如:

    • 检查资源上下文 - 将你转到支持安全警报的资源活动日志
    • 缓解威胁 - 为此安全警报提供手动修正步骤
    • 防范将来的攻击 - 提供安全建议,帮助减少攻击面,提高安全状况,从而防范将来的攻击
    • 触发自动响应 - 提供可触发逻辑应用的选项,作为对此安全警报的响应
    • 抑制类似的警报 - 如果警报与组织无关,则提供可抑制具有类似特征的未来警报的选项

    “执行操作”选项卡。

一次更改多个安全警报的状态

警报列表包含复选框,以便可以一次处理多个警报。 例如,出于会审目的,你可能会决定消除特定资源的所有信息性警报。

  1. 根据要批量处理的警报进行筛选。

    在此示例中,我们为资源“ASC-AKS-CLOUD-TALK”选择了严重性为“信息性”的所有警报。

    筛选警报以显示相关警报的屏幕截图。

  2. 使用复选框选择要处理的警报或使用列表顶部的复选框将它们全部选中。

    在此示例中,我们选择了所有警报。 请注意,“更改状态”按钮现在可用。

    选择要批量处理的所有警报的屏幕截图。

  3. 使用“更改状态”选项设置所需的状态。

当前页中显示的警报将其状态更改为所选值。

请参阅

本文档介绍了如何查看安全警报。 请参阅以下页面,以获取相关材料: