Udostępnij przez

Zarządzanie alertami zabezpieczeń i reagowanie na nie

Usługa Defender for Cloud zbiera, analizuje i integruje dane dzienników z zasobów platformy Azure, hybrydowych i wielochmurowych, sieci i połączonych rozwiązań partnerskich, takich jak zapory i agenci punktów końcowych. Usługa Defender for Cloud używa danych dziennika do wykrywania rzeczywistych zagrożeń i zmniejszania liczby wyników fałszywie dodatnich. Lista priorytetowych alertów zabezpieczeń jest wyświetlana w usłudze Defender for Cloud wraz z informacjami potrzebnymi do szybkiego zbadania problemu i krokami, które należy wykonać w celu rozwiązania ataku.

W tym artykule pokazano, jak wyświetlać i przetwarzać alerty usługi Defender for Cloud oraz chronić zasoby.

Podczas klasyfikowania alertów zabezpieczeń należy najpierw określić priorytety alertów na podstawie ich ważności, zwracając się najpierw do alertów o wyższej ważności. Dowiedz się więcej o sposobie klasyfikowania alertów.

Wskazówka

Możesz połączyć usługę Microsoft Defender for Cloud z rozwiązaniami SIEM, w tym z usługą Microsoft Sentinel, i korzystać z alertów z wybranego narzędzia. Dowiedz się więcej na temat przesyłania alertów do rozwiązania SIEM, SOAR lub zarządzania usługami IT.

Wymagania wstępne

Aby uzyskać informacje o wymaganiach wstępnych i wymaganiach, zobacz Macierze pomocy technicznej dla usługi Defender for Cloud.

Zarządzanie alertami zabezpieczeń

Wykonaj te kroki:

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do usługi Microsoft Defender for Cloud>powiadomień zabezpieczeń.

    Zrzut ekranu przedstawiający stronę alertów zabezpieczeń ze strony przeglądu usługi Microsoft Defender for Cloud.

  3. (Opcjonalnie) Filtruj listę alertów przy użyciu dowolnego z odpowiednich filtrów. Możesz dodać dodatkowe filtry za pomocą opcji Dodaj filtr .

    Zrzut ekranu przedstawiający sposób dodawania filtrów do widoku alertów.

    Lista zostanie zaktualizowana zgodnie z wybranymi filtrami. Na przykład możesz chcieć rozwiązać problem z alertami zabezpieczeń, które wystąpiły w ciągu ostatnich 24 godzin, ponieważ badasz potencjalne naruszenie w systemie.

Zbadanie alertu bezpieczeństwa

Każdy alert zawiera informacje dotyczące alertu, który ułatwia badanie.

Aby zbadać alert bezpieczeństwa:

  1. Wybierz alert. Zostanie otwarte okienko boczne z opisem alertu i wszystkimi zasobami, których dotyczy problem.

    Zrzut ekranu przedstawiający ogólny widok szczegółów alertu zabezpieczeń.

  2. Przejrzyj ogólne informacje o alercie zabezpieczeń.

    • Ważność alertu, stan i czas działania
    • Opis wyjaśniający dokładne wykryte działanie
    • Zasoby, których dotyczy problem
    • Zabij intencję łańcucha działań w macierzy MITRE ATT&CK (jeśli ma to zastosowanie)

  3. Wybierz pozycję Wyświetl pełne szczegóły.

    W okienku po prawej stronie znajduje się karta Szczegóły alertu zawierająca dalsze szczegóły alertu, które ułatwiają badanie problemu: adresy IP, pliki, procesy i inne.

    Zrzut ekranu przedstawiający pełną stronę szczegółów alertu.

    W okienku po prawej stronie znajduje się również karta Wykonaj akcję . Użyj tej karty, aby podjąć dalsze działania dotyczące alertu zabezpieczeń. Akcje, takie jak:

    • Sprawdzanie kontekstu zasobu — wysyła cię do dzienników aktywności zasobu, które obsługują alert zabezpieczeń
    • Eliminowanie zagrożenia — zawiera ręczne kroki korygowania dla tego alertu zabezpieczeń
    • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń, a tym samym zapobiec przyszłym atakom
    • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na ten alert zabezpieczeń
    • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla twojej organizacji

    Zrzut ekranu przedstawiający opcje dostępne na karcie Wykonaj akcję.

    Aby uzyskać więcej informacji, skontaktuj się z właścicielem zasobu, aby sprawdzić, czy wykryte działanie jest fałszywie dodatnie. Możesz również zbadać nieprzetworzone dzienniki wygenerowane przez zaatakowany zasób.

Zmienianie stanu wielu alertów zabezpieczeń jednocześnie

Lista alertów zawiera pola wyboru, dzięki czemu można obsługiwać wiele alertów jednocześnie. Na przykład w celach klasyfikacji możesz podjąć decyzję o odrzuceniu wszystkich alertów informacyjnych dla określonego zasobu.

  1. Filtruj według alertów, które mają być obsługiwane zbiorczo.

    W tym przykładzie wybrano alerty o ważności Informational dla zasobu ASC-AKS-CLOUD-TALK.

    Zrzut ekranu przedstawiający sposób filtrowania alertów w celu wyświetlania powiązanych alertów.

  2. Użyj pól wyboru, aby wybrać alerty do przetworzenia.

    W tym przykładzie wybrano wszystkie alerty. Przycisk Zmień stan jest teraz dostępny.

    Zrzut ekranu przedstawiający wybieranie wszystkich alertów do obsługi zbiorczej.

  3. Użyj opcji Zmień stan , aby ustawić żądany stan.

    Zrzut ekranu przedstawiający zakładkę stanu alertów zabezpieczeń.

    Alerty wyświetlane na bieżącej stronie mają zmieniony stan na wybraną wartość.

Reagowanie na alert zabezpieczeń

Po zbadaniu alertu zabezpieczeń możesz odpowiedzieć na alert z poziomu usługi Microsoft Defender for Cloud.

Aby odpowiedzieć na alert zabezpieczeń:

  1. Otwórz kartę Podejmij akcję , aby wyświetlić zalecane odpowiedzi.

    Zrzut ekranu przedstawiający zakładkę akcji alertów bezpieczeństwa.

  2. Zapoznaj się z sekcją Ograniczanie zagrożenia w celu poznania ręcznych kroków badania niezbędnych do zminimalizowania problemu.

  3. Aby zabezpieczyć zasoby i zapobiec przyszłym atakom tego rodzaju, koryguj zalecenia dotyczące zabezpieczeń w sekcji Zapobieganie przyszłym atakom .

  4. Aby wyzwolić aplikację logiki z automatycznymi krokami odpowiedzi, użyj sekcji Wyzwalaj automatyczną odpowiedź i wybierz pozycję Wyzwalaj aplikację logiki.

  5. Jeśli wykryte działanie nie jest złośliwe, możesz pominąć przyszłe alerty tego typu przy użyciu sekcji Pomijanie podobnych alertów i wybrać pozycję Utwórz regułę pomijania.

  6. Wybierz pozycję Konfiguruj ustawienia powiadomień e-mail, aby wyświetlić, kto otrzymuje wiadomości e-mail dotyczące alertów zabezpieczeń w tej subskrypcji. Skontaktuj się z właścicielem subskrypcji, aby skonfigurować ustawienia wiadomości e-mail.

  7. Po zakończeniu badania alertu i odpowiedzi w odpowiedni sposób zmień stan na Odrzucone.

    Zrzut ekranu przedstawiający menu rozwijane stanu alertu.

    Alert zostanie usunięty z głównej listy alertów. Możesz użyć filtru na stronie listy alertów, aby wyświetlić wszystkie alerty ze stanem Odrzucone .

  8. Zachęcamy do przekazywania opinii na temat alertu firmie Microsoft:

    1. Oznaczanie alertu jako przydatne lub nie jest przydatne.
    2. Wybierz przyczynę i dodaj komentarz.

    Zrzut ekranu przedstawiający okno przekazywania opinii do firmy Microsoft, które pozwala wybrać użyteczność alertu.

Wskazówka

Przejrzyjemy Twoją opinię, aby ulepszyć nasze algorytmy i zapewnić lepsze alerty zabezpieczeń.

Aby dowiedzieć się więcej o różnych typach alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

Aby zapoznać się z omówieniem sposobu generowania alertów przez usługę Defender for Cloud, zobacz Jak usługa Microsoft Defender for Cloud wykrywa zagrożenia i reaguje na nie.

Przejrzyj wyniki skanowania bez agenta

Wyniki zarówno dla skanera opartego na agencie, jak i bez agenta są wyświetlane na stronie Alerty zabezpieczeń.

Zrzut ekranu przedstawiający stronę alertów zabezpieczeń, która pokazuje wyniki skanowania opartego na agencie i bez agenta.

Uwaga / Notatka

Korygowanie jednego z tych alertów nie spowoduje skorygowania drugiego alertu do momentu ukończenia następnego skanowania.

Treści powiązane

  • Last updated on