共用方式為

管理和回應安全性警示

適用於雲端的 Defender 會收集、分析和整合來自 Azure、混合式和多雲端資源、網路和連線合作夥伴解決方案 (例如防火牆和端點代理程式) 的記錄資料。 適用於雲端的 Defender 會使用記錄資料來偵測實際威脅,並減少誤判。 適用於雲端的 Defender 中會顯示優先順序的安全性警示清單,以及快速調查問題所需的資訊,以及補救攻擊所採取的步驟。

本文說明如何檢視和處理適用於雲端的 Defender 警示,以及保護您的資源。

分級安全性警示時,您應該根據警示嚴重性來排定警示的優先順序,並先解決較高嚴重性警示。 深入瞭解 如何分類警示

小提示

您可以將適用於雲端的 Microsoft Defender 連線到 SIEM 解決方案,包括 Microsoft Sentinel,並從您選擇的工具取用警示。 深入瞭解如何 將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案

先決條件

如需必要條件和需求,請參閱 適用於雲端的 Defender 的支援矩陣

管理您的安全性警示

執行下列步驟:

  1. 登入 Azure 入口網站

  2. 前往 Microsoft Defender for Cloud 中的 >安全性警示

    螢幕擷取畫面,顯示適用於雲端的 Microsoft Defender 概觀頁面中的安全性警示頁面。

  3. (選用)使用任何相關篩選器篩選警示清單。 您可以使用 [新增篩選器 ] 選項新增額外的篩選器。

    螢幕擷取畫面,示範如何將篩選新增至警示檢視。

    清單會根據選取的篩選器進行更新。 例如,您可能想要解決過去 24 小時內發生的安全性警示,因為您正在調查系統中的潛在違規行為。

調查安全性警示

每個警示都包含警示的相關資訊,可協助您進行調查。

若要調查安全性警示

  1. 選取一個警示。 側邊窗格隨即開啟,並顯示警示和所有受影響資源的描述。

    安全性警示的高階詳細資料檢視的螢幕擷取畫面。

  2. 檢閱安全性警示的高階資訊。

    • 警示嚴重性、狀態和活動時間
    • 說明偵測到的精確活動的說明
    • 受影響的資源
    • MITRE ATT&CK 矩陣上活動的終止鏈結意圖 (如果適用)

  3. 選取 [檢視完整詳細資料]

    右窗格包含 [警示詳細資料 ] 索引標籤,其中包含警示的進一步詳細資料,以協助您調查問題:IP 位址、檔案、進程等等。

    顯示警示完整詳細資料頁面的螢幕擷取畫面。

    右窗格中還有 [ 採取動作 ] 索引標籤。使用此索引標籤可針對安全性警示採取進一步動作。 動作,例如:

    • 檢查資源內容 - 將您傳送至支援安全性警示的資源活動記錄
    • 減輕威脅 - 提供此安全性警示的手動補救步驟
    • 防止未來的攻擊 - 提供安全性建議,以協助減少攻擊面、增加安全性狀態,從而防止未來的攻擊
    • 觸發自動回應 - 提供觸發邏輯應用程式作為此安全性警示回應的選項
    • 隱藏類似的警示 - 提供選項,如果警示與您的組織無關,則隱藏具有類似特性的未來警示

    螢幕擷取畫面,顯示 [ 採取動作 ] 索引標籤中可用的選項。

    如需更多詳細資訊,請聯絡資源擁有者,以確認偵測到的活動是否為誤判。 您也可以調查受攻擊資源所產生的原始記錄。

一次變更多個安全性警示的狀態

警示清單包含核取方塊,以便您可以一次處理多個警示。 例如,出於分類目的,您可能會決定關閉特定資源的所有資訊警示。

  1. 根據您要批量處理的警報進行過濾。

    在此範例中,會選取資源 ASC-AKS-CLOUD-TALK 的嚴重性為 Informational 的警示。

    螢幕擷取畫面,顯示如何篩選警示以顯示相關警示。

  2. 使用核取方塊來選取要處理的警示。

    在此範例中,會選取所有警示。 「 變更狀態 」按鈕現在可供使用。

    螢幕擷取畫面顯示選取全部警示以進行批次處理。

  3. 使用 Change status 選項來設定所需的狀態。

    安全性警示狀態索引標籤的螢幕擷取畫面。

    目前頁面中顯示的警示狀態已變更為選取的值。

回應安全性警示

調查安全性警示之後,您可以從適用於雲端的 Microsoft Defender 內回應警示。

若要回應安全性警示

  1. 開啟 [ 採取動作 ] 索引標籤,查看建議的回應。

    安全性警示動作分頁的螢幕擷取畫面。

  2. 檢閱 [ 減輕威脅 ] 區段,以取得緩解問題所需的手動調查步驟。

  3. 若要強化您的資源並防止未來發生此類攻擊,請補救 [防止未來攻擊] 區段中的安全性建議。

  4. 若要使用自動回應步驟觸發邏輯應用程式,請使用 [觸發自動回應] 區段,然後選取 [觸發邏輯應用程式]。

  5. 如果偵測到的活動不是惡意的,您可以使用 [抑制類似警示] 區段,然後選取 [建立抑制規則] 來隱藏此類的未來警示。

  6. 選取 [設定電子郵件通知設定],以檢視誰收到有關此訂用帳戶安全性警示的電子郵件。 請聯絡訂閱擁有者,以設定電子郵件設定。

  7. 當您完成警示的調查並以適當的方式回應時,請將狀態變更為 [ 已關閉]。

    警示狀態下拉式功能表的螢幕擷取畫面。

    警示會從主要警示清單中移除。 您可以使用警示清單頁面中的篩選器來檢視所有狀態為 「已關閉」 的警示。

  8. 我們鼓勵您向 Microsoft 提供警示的意見反應:

    1. 將警示標示為 有用無用
    2. 選取原因並新增註解。

    [向 Microsoft 提供意見反應] 視窗的螢幕擷取畫面,可讓您選取警示的實用性。

小提示

我們會審查您的回饋,以改進我們的演算法並提供更好的安全警報。

若要瞭解不同類型的警示,請參閱 安全性警示 - 參考指南

如需適用於雲端的 Defender 如何產生警示的概觀,請參閱適用於雲端的 Microsoft Defender 如何偵測和回應威脅

檢閱無代理程式掃描的結果

代理程式型掃描器和無代理程式掃描器的結果都會顯示在「安全性警示」頁面上。

安全性警示頁面的螢幕擷取畫面,其中顯示代理程式型和無代理程式掃描結果的結果。

備註

補救其中一個警示將不會補救另一個警示,直到下一次掃描完成為止。

相關內容

  • Last updated on