管理和回應安全性警示

如需必要條件和需求，請參閱適用於雲端的 Defender 的支援矩陣。

執行下列步驟:

1. 登入 Azure 入口網站。

2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]。

   

3. (選擇性) 使用任何相關篩選條件來篩選警示清單。 您可以使用 [新增篩選條件] 選項來新增額外的篩選條件。

   

   此清單會根據所選取的篩選條件來進行更新。 例如，您可能想確認在過去 24 小時發生的安全性警示，因為您正在調查系統中可能的入侵行動。

每個警示都包含有關該警示的資訊，可協助您進行調查。

若要調查安全性警示：

1. 選取警示。 側邊窗格開啟後，會顯示警示和所有受影響資源的描述。

   

2. 檢閱有關安全性警示的高階資訊。

   • 警示嚴重性、狀態和活動時間
   • 說明所偵測到精確活動的描述
   • 受影響的資源
   • MITRE ATT&CK 矩陣上活動的終止鏈結意圖 (如果適用)

3. 選取 [檢視完整詳細資料]。

   右側窗格的 [警示詳細資料] 索引標籤，包含警示進一步的詳細資料，協助您調查 IP 位址、檔案、流程等問題。

   

   右窗格中還有 [採取動作] 索引標籤。使用此索引標籤可以針對安全性警示採取進一步的動作。 這些動作包括：

   • 檢查資源內容 - 將您傳送至支援安全性警示的資源活動記錄
   • 減輕威脅 - 提供安全性警示的手動補救步驟
   • 預防未來的攻擊 - 提供安全性建議協助減少受攻擊面、提高安全性態勢，藉此預防未來的攻擊
   • 觸發自動回應 - 提供回應安全性警示、觸發邏輯應用程式的選項
   • 隱藏類似警示 - 提供以類似特性隱藏未來警示的選項，即使警示無關組織

   

   如需進一步的詳細資料，請聯繫資源擁有者以驗證偵測到的活動是否為誤報。 您也可以調查受攻擊資源所產生的原始記錄。

警示清單包含核取方塊，讓您可以一次處理多個警示。 例如，基於分級目的，您可能會決定關閉特定資源的所有參考警示。

1. 根據您想要大量處理的警示進行篩選。

   在此範例中，會選取資源 ASC-AKS-CLOUD-TALK 的嚴重性為 Informational 的警示。

   

2. 使用核取方塊來選取要處理的警示。

   在此範例中，會選取所有警示。 [變更狀態] 按鈕現已可供使用。

   

3. 使用 [變更狀態] 選項來設定需要的狀態。

   

   目前頁面中顯示的警示會將其狀態變更為選取的值。

調查安全性警示之後，您可以從適用於雲端的 Microsoft Defender 內回應該警示。

若要回應安全性警示：

1. 開啟 [採取動作] 索引標籤，以查看建議的回應。

   

2. 請參閱降低威脅一節，以取得減輕問題所需的手動調查步驟。

3. 若要強化您的資源並防止未來遭受這種攻擊，請在 [防止未來的攻擊] 區段中補救安全性建議。

4. 若要使用自動化回應步驟來觸發邏輯應用程式，請使用 [觸發自動化回應]，然後選取 [觸發邏輯應用程式]。

5. 如果偵測到的活動不是惡意的，您可以使用 [隱藏類似警示] 區段並選取 [建立隱藏規則] 來隱藏未來的這類警示。

6. 選取 [設定電子郵件通知設定]，以檢視誰收到有關此訂閱的安全性警示的電子郵件。 請聯絡訂閱擁有者以設定電子郵件設定。

7. 當您完成警示的調查並以適當方式回應時，請將狀態變更為 [已關閉]。

   

   該警示會從主要的警示清單中移除。 您可以使用警示清單頁面中的篩選條件，檢視 [已關閉] 狀態的所有警示。

8. 我們鼓勵您將有關警示的意見反應提供給 Microsoft：

   1. 將警示標示為 [實用] 或 [不實用]。
   2. 選取原因並新增註解。

   

   提示

   我們會檢閱您的意見反應以改善我們的演算法，並提供更好的安全性警示。

   若要了解不同類型的警示，請參閱安全性警示 - 參考指南。

   如需適用於雲端的 Defender 如何產生警示的概觀，請參閱適用於雲端的 Microsoft Defender 如何偵測和回應威脅。

   檢閱無代理程式掃描的結果

   代理程式型和無代理程式掃描器的結果會出現在 [安全性警示] 頁面上。

   

   注意

   在下一次掃描完成之前，補救其中一個警示不會補救另一個警示。