通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理和响应安全警报

Defender for Cloud 从 Azure、混合和多云资源、网络和连接的合作伙伴解决方案(例如防火墙和终结点代理)收集、分析和集成日志数据。 Defender for Cloud 使用日志数据来检测真实威胁并减少误报。 Defender for Cloud 中显示了优先安全警报列表,以及快速调查问题所需的信息以及修正攻击的步骤。

本文介绍如何查看和处理 Defender for Cloud 警报和保护资源。

在对安全警报进行会审时,应根据警报严重性确定警报的优先级,首先解决更高的严重性警报。 详细了解 如何对警报进行分类

小窍门

可以将 Microsoft Defender for Cloud 连接到 SIEM 解决方案,包括 Microsoft Sentinel,并使用所选工具发出的警报。 详细了解如何将 警报传输到 SIEM、SOAR 或 IT 服务管理解决方案中

先决条件

有关先决条件和要求,请参阅 Defender for Cloud 的支持矩阵

管理安全警报

执行以下步骤:

  1. 登录到 Azure 门户

  2. 导航到 Microsoft Defender for Cloud>安全警报

    显示 Microsoft Defender for Cloud 概述页中安全警报页的屏幕截图。

  3. (可选)使用任何相关筛选器筛选警报列表。 可以使用 “添加筛选器 ”选项添加额外的筛选器。

    显示如何将筛选器添加到警报视图的屏幕截图。

    列表根据所选的筛选器进行更新。 例如,你可能想要解决过去 24 小时内发生的安全警报,因为你正在调查系统中的潜在违规行为。

调查安全警报

每个警报都包含帮助您调查的有关警报的信息。

若要调查安全警报,请执行以下操作:

  1. 选择警报。 此时会打开一个侧窗格,并显示警报的说明以及所有受影响的资源。

    安全警报的高级详细信息视图的屏幕截图。

  2. 查看有关安全警报的高级信息。

    • 警报严重性、状态和活动时间
    • 检测到的精确活动说明
    • 受影响的资源
    • 基于 MITRE ATT&CK 矩阵的活动的终止链意向(如果适用)

  3. 选择“查看完整的详细信息”。

    右窗格包含“ 警报详细信息 ”选项卡,其中包含警报的更多详细信息,可帮助你调查问题:IP 地址、文件、进程等。

    显示警报的完整详细信息页的屏幕截图。

    右侧窗格中还有“ 采取行动 ”选项卡。使用此选项卡可以对于安全警报执行进一步措施。 例如以下操作:

    • 检查资源上下文 - 将你发送到支持安全警报的资源活动日志
    • 缓解威胁 - 为此安全警报提供手动修正步骤
    • 防止将来的攻击 - 提供安全建议来帮助减少攻击面、增加安全状况,从而防止将来的攻击
    • 触发自动响应 - 提供用于触发逻辑应用作为对此安全警报的响应的选项
    • 禁止显示类似的警报 - 如果警报与组织无关,还可禁止显示具有类似特征的未来警报

    显示“采取行动”选项卡中可选操作的屏幕截图。

    有关更多详细信息,请联系资源所有者以验证检测到的活动是否为误报。 还可以调查受攻击资源生成的原始日志。

一次性更改多个安全警报的状态

警报列表包含复选框,以便一次性处理多个警报。 例如,出于会审目的,你可能会决定消除特定资源的所有信息性警报。

  1. 根据要批量处理的警报进行筛选。

    在此示例中,已选择资源 ASC-AKS-CLOUD-TALK 的严重性为 Informational 的警报。

    显示如何筛选警报以显示相关警报的屏幕截图。

  2. 使用复选框选择要处理的警报。

    在此示例中,选择所有警报。 “更改状态”按钮现已可用。

    选择要批量处理的所有警报的屏幕截图。

  3. 使用 “更改状态 ”选项设置所需状态。

    “安全警报状态”选项卡的屏幕截图。

    当前页中显示的警报的状态已更改为所选值。

响应安全警报

调查安全警报后,可以从 Microsoft Defender for Cloud 内响应警报。

若要响应安全警报,请执行以下作:

  1. 打开“执行操作”选项卡以查看建议措施。

    安全警报“采取行动”选项卡的屏幕截图。

  2. 请查看 “缓解威胁” 部分,了解缓解问题所需的手动调查步骤。

  3. 若要强化资源并防止此类攻击的未来攻击,请修正“ 防止将来的攻击 ”部分中的安全建议。

  4. 若要使用自动响应步骤触发逻辑应用,请使用 “触发器自动响应 ”部分并选择“ 触发器逻辑应用”。

  5. 如果检测到的活动 不是 恶意活动,可以使用 “禁止类似的警报 ”部分取消此类警报,然后选择“ 创建抑制规则”。

  6. 选择“ 配置电子邮件通知设置”以查看接收有关此订阅上安全警报的电子邮件的人员。 请联系订阅所有者,配置电子邮件设置。

  7. 完成对警报的调查并采用适当的方式做出响应时,请将状态更改为 “已消除”。

    警报状态下拉菜单的屏幕截图。

    警报已从主警报列表中删除。 可以使用“警报列表”页中的筛选器查看状态 为“已关闭 ”的所有警报。

  8. 我们鼓励你提供有关警报的反馈给Microsoft。

    1. 将警报标记为 “有用 ”或 “不有用”。
    2. 选择原因并添加注释。

    提供反馈Microsoft窗口的屏幕截图,该窗口允许你选择警报的有用性。

小窍门

我们将查看你的反馈,以改进算法并提供更好的安全警报。

若要了解不同类型的警报,请参阅 安全警报 - 参考指南

有关 Defender for Cloud 如何生成警报的概述,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁

查看无代理扫描的结果

基于代理和无代理的扫描程序的结果都显示在“安全警报”页上。

安全警报页的屏幕截图,其中显示了基于代理和无代理的扫描结果的结果。

注释

在完成下一次扫描之前,修正其中一个警报不会修正另一个警报。

相关内容

  • Last updated on