適用於雲端的 Defender 會收集、分析及整合您的 Azure、混合式和多雲端資源、網路和已連線合作夥伴解決方案 (例如防火牆和端點代理程式) 的記錄資料。 適用於雲端的 Defender 會使用記錄資料來偵測真正的威脅,並減少誤判。 適用於雲端的 Defender 會顯示按優先順序排列的安全性警示清單,以及快速調查問題所需的資訊和補救攻擊的步驟。
本文說明如何檢視和處理適用於雲端的 Defender 警示,並保護您的資源。
對安全性警示進行分類時,您應根據其警示嚴重性來排定警示的優先順序,先處理嚴重性較高的警示。 深入了解如何對警示進行分類。
提示
您可以將適用於雲端的 Microsoft Defender 連結到 SIEM 解決方案 (包括 Microsoft Sentinel),並以您選擇的工具取用警示。 深入了解如何將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案。
如需必要條件和需求,請參閱支援 適用於雲端的 Defender 矩陣。
執行下列步驟:
登入 Azure 入口網站。
瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]。
(選擇性) 使用任何相關篩選條件來篩選警示清單。 您可以使用 [新增篩選條件] 選項來新增額外的篩選條件。
此清單會根據所選取的篩選條件來進行更新。 例如,您可能想確認在過去 24 小時發生的安全性警示,因為您正在調查系統中可能的入侵行動。
每個警示都包含有關該警示的資訊,可協助您進行調查。
若要調查安全性警示:
選取警示。 側邊窗格開啟後,會顯示警示和所有受影響資源的描述。
檢閱有關安全性警示的高階資訊。
選取 [檢視完整詳細資料]。
右側窗格的 [警示詳細資料] 索引標籤,包含警示進一步的詳細資料,協助您調查 IP 位址、檔案、流程等問題。
右窗格中還有 [採取動作] 索引標籤。使用此索引標籤可以針對安全性警示採取進一步的動作。 這些動作包括:
![顯示 [採取動作] 索引標籤中可用選項的螢幕快照。](media/managing-and-responding-alerts/alert-take-action.png)
如需進一步的詳細資料,請聯繫資源擁有者以驗證偵測到的活動是否為誤報。 您也可以調查受攻擊資源所產生的原始記錄。
警示清單包含核取方塊,讓您可以一次處理多個警示。 例如,基於分級目的,您可能會決定關閉特定資源的所有參考警示。
根據您想要大量處理的警示進行篩選。
在此範例中,會選取資源 ASC-AKS-CLOUD-TALK 的嚴重性為 Informational 的警示。
使用核取方塊來選取要處理的警示。
在此範例中,會選取所有警示。 [變更狀態] 按鈕現已可供使用。
使用 [變更狀態] 選項來設定需要的狀態。
目前頁面中顯示的警示會將其狀態變更為選取的值。
調查安全性警示之後,您可以從適用於雲端的 Microsoft Defender 內回應該警示。
若要回應安全性警示:
開啟 [採取動作] 索引標籤,以查看建議的回應。
請參閱降低威脅一節,以取得減輕問題所需的手動調查步驟。
若要強化您的資源並防止未來遭受這種攻擊,請在 [防止未來的攻擊] 區段中補救安全性建議。
若要使用自動化回應步驟來觸發邏輯應用程式,請使用 [觸發自動化回應],然後選取 [觸發邏輯應用程式]。
如果偵測到的活動不是惡意的,您可以使用 [隱藏類似警示] 區段並選取 [建立隱藏規則] 來隱藏未來的這類警示。
選取 [設定電子郵件通知設定],以檢視誰收到有關此訂閱的安全性警示的電子郵件。 請聯絡訂閱擁有者以設定電子郵件設定。
當您完成警示的調查並以適當方式回應時,請將狀態變更為 [已關閉]。
該警示會從主要的警示清單中移除。 您可以使用警示清單頁面中的篩選條件,檢視 [已關閉] 狀態的所有警示。
我們鼓勵您將有關警示的意見反應提供給 Microsoft:
提示
我們會檢閱您的意見反應以改善我們的演算法,並提供更好的安全性警示。
若要了解不同類型的警示,請參閱安全性警示 - 參考指南。
如需適用於雲端的 Defender 如何產生警示的概觀,請參閱適用於雲端的 Microsoft Defender 如何偵測和回應威脅。
代理程式型和無代理程式掃描器的結果會出現在 [安全性警示] 頁面上。
注意
在下一次掃描完成之前,補救其中一個警示不會補救另一個警示。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應