編輯

共用方式為


管理和回應安全性警示

適用於雲端的 Defender 會收集、分析及整合您的 Azure、混合式和多雲端資源、網路和已連線合作夥伴解決方案 (例如防火牆和端點代理程式) 的記錄資料。 適用於雲端的 Defender 會使用記錄資料來偵測真正的威脅,並減少誤判。 適用於雲端的 Defender 會顯示按優先順序排列的安全性警示清單,以及快速調查問題所需的資訊和補救攻擊的步驟。

本文說明如何檢視和處理適用於雲端的 Defender 警示,並保護您的資源。

對安全性警示進行分類時,您應根據其警示嚴重性來排定警示的優先順序,先處理嚴重性較高的警示。 深入了解如何對警示進行分類

提示

您可以將適用於雲端的 Microsoft Defender 連結到 SIEM 解決方案 (包括 Microsoft Sentinel),並以您選擇的工具取用警示。 深入了解如何將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案

必要條件

如需必要條件和需求,請參閱適用於雲端的 Defender 的支援矩陣

管理您的安全性警示

執行下列步驟:

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]

    此螢幕擷取畫面顯示「適用於雲端的 Microsoft Defender」概觀頁面中的安全性警示頁面。

  3. (選擇性) 使用任何相關篩選條件來篩選警示清單。 您可以使用 [新增篩選條件] 選項來新增額外的篩選條件。

    此螢幕擷取畫面顯示如何將篩選條件新增至警示檢視。

    此清單會根據所選取的篩選條件來進行更新。 例如,您可能想確認在過去 24 小時發生的安全性警示,因為您正在調查系統中可能的入侵行動。

調查安全性警示

每個警示都包含有關該警示的資訊,可協助您進行調查。

若要調查安全性警示

  1. 選取警示。 側邊窗格開啟後,會顯示警示和所有受影響資源的描述。

    安全性警示的高階詳細資料檢視的螢幕擷取畫面。

  2. 檢閱有關安全性警示的高階資訊。

    • 警示嚴重性、狀態和活動時間
    • 說明所偵測到精確活動的描述
    • 受影響的資源
    • MITRE ATT&CK 矩陣上活動的終止鏈結意圖 (如果適用)
  3. 選取 [檢視完整詳細資料]

    右側窗格的 [警示詳細資料] 索引標籤,包含警示進一步的詳細資料,協助您調查 IP 位址、檔案、流程等問題。

    此螢幕擷取畫面顯示警示的完整詳細資料頁面。

    右窗格中還有 [採取動作] 索引標籤。使用此索引標籤可以針對安全性警示採取進一步的動作。 這些動作包括:

    • 檢查資源內容 - 將您傳送至支援安全性警示的資源活動記錄
    • 減輕威脅 - 提供安全性警示的手動補救步驟
    • 預防未來的攻擊 - 提供安全性建議協助減少受攻擊面、提高安全性態勢,藉此預防未來的攻擊
    • 觸發自動回應 - 提供回應安全性警示、觸發邏輯應用程式的選項
    • 隱藏類似警示 - 提供以類似特性隱藏未來警示的選項,即使警示無關組織

    此螢幕擷取畫面顯示 [採取動作] 索引標籤中的可用選項。

    如需進一步的詳細資料,請聯繫資源擁有者以驗證偵測到的活動是否為誤報。 您也可以調查受攻擊資源所產生的原始記錄。

一次變更多個安全性警示的狀態

警示清單包含核取方塊,讓您可以一次處理多個警示。 例如,基於分級目的,您可能會決定關閉特定資源的所有參考警示。

  1. 根據您想要大量處理的警示進行篩選。

    在此範例中,會選取資源 ASC-AKS-CLOUD-TALK 的嚴重性為 Informational 的警示。

    此螢幕擷取畫面顯示如何篩選警示以顯示相關的警示。

  2. 使用核取方塊來選取要處理的警示。

    在此範例中,會選取所有警示。 [變更狀態] 按鈕現已可供使用。

    選取要大量處理的所有警示的螢幕擷取畫面。

  3. 使用 [變更狀態] 選項來設定需要的狀態。

    [安全性警示狀態] 索引標籤的螢幕擷取畫面。

    目前頁面中顯示的警示會將其狀態變更為選取的值。

回應安全性警示

調查安全性警示之後,您可以從適用於雲端的 Microsoft Defender 內回應該警示。

若要回應安全性警示

  1. 開啟 [採取動作] 索引標籤,以查看建議的回應。

    [安全性警示採取動作] 索引標籤的螢幕擷取畫面。

  2. 請參閱降低威脅一節,以取得減輕問題所需的手動調查步驟。

  3. 若要強化您的資源並防止未來遭受這種攻擊,請在 [防止未來的攻擊] 區段中補救安全性建議。

  4. 若要使用自動化回應步驟來觸發邏輯應用程式,請使用 [觸發自動化回應],然後選取 [觸發邏輯應用程式]

  5. 如果偵測到的活動不是惡意的,您可以使用 [隱藏類似警示] 區段並選取 [建立隱藏規則] 來隱藏未來的這類警示。

  6. 選取 [設定電子郵件通知設定],以檢視誰收到有關此訂閱的安全性警示的電子郵件。 請聯絡訂閱擁有者以設定電子郵件設定。

  7. 當您完成警示的調查並以適當方式回應時,請將狀態變更為 [已關閉]

    警示狀態下拉功能表的螢幕擷取畫面。

    該警示會從主要的警示清單中移除。 您可以使用警示清單頁面中的篩選條件,檢視 [已關閉] 狀態的所有警示。

  8. 我們鼓勵您將有關警示的意見反應提供給 Microsoft:

    1. 將警示標示為 [實用] 或 [不實用]
    2. 選取原因並新增註解。

    螢幕擷取畫面:將意見反應提供到 Microsoft 視窗,它可讓您選取警示的實用性。

    提示

    我們會檢閱您的意見反應以改善我們的演算法,並提供更好的安全性警示。

    若要了解不同類型的警示,請參閱安全性警示 - 參考指南

    如需適用於雲端的 Defender 如何產生警示的概觀,請參閱適用於雲端的 Microsoft Defender 如何偵測和回應威脅

    檢閱無代理程式掃描的結果

    代理程式型和無代理程式掃描器的結果會出現在 [安全性警示] 頁面上。

    安全性警示頁面的螢幕擷取畫面,其中顯示代理程式型和無代理程式掃描結果的結果。

    注意

    在下一次掃描完成之前,補救其中一個警示不會補救另一個警示。