Správa výstrah zabezpečení a reakce na ně

Defender for Cloud shromažďuje, analyzuje a integruje data protokolů z vašich prostředků Azure, hybridních a multicloudových prostředků a připojených partnerských řešení, jako jsou brány firewall a agenti koncových bodů. Defender for Cloud používá data protokolu k detekci skutečných hrozeb a omezení falešně pozitivních výsledků. Seznam výstrah zabezpečení seřazených podle priorit se ve službě Defender for Cloud zobrazí spolu s informacemi, které potřebujete k rychlému prozkoumání problému, a postupem pro řešení útoku.

V tomto článku se dozvíte, jak zobrazit a zpracovat výstrahy služby Defender for Cloud a chránit své prostředky.

Při třídění výstrahzabezpečeních Přečtěte si další informace o klasifikaci výstrah.

Tip

Microsoft Defender for Cloud můžete propojit s řešeními SIEM, včetně Microsoft Sentinelu, a využívat výstrahy z vašeho zvoleného nástroje. Přečtěte si další informace o tom, jak streamovat výstrahy do řešení PRO SPRÁVU SLUŽEB SIEM, SOAR nebo IT Service Management.

Požadavky

Požadavky a požadavky najdete v části Matice podpory pro Defender for Cloud.

Správa výstrah zabezpečení

Postupujte následovně:

  1. Přihlaste se k portálu Azure.

  2. Přejděte do programu Microsoft Defender pro výstrahy zabezpečení cloudu>.

    Snímek obrazovky znázorňující stránku výstrah zabezpečení ze stránky přehledu v programu Microsoft Defender for Cloud

  3. (Volitelné) Vyfiltrujte seznam výstrah s libovolnými relevantními filtry. Další filtry můžete přidat pomocí možnosti Přidat filtr .

    Snímek obrazovky, který ukazuje, jak přidat filtry do zobrazení upozornění

    Seznam se aktualizuje podle vybraných filtrů. Můžete například chtít řešit výstrahy zabezpečení, ke kterým došlo za posledních 24 hodin, protože prošetřujete potenciální porušení zabezpečení v systému.

Prozkoumání výstrahy zabezpečení

Každá výstraha obsahuje informace týkající se výstrahy, která vám pomůže při vyšetřování.

Zkoumání výstrahy zabezpečení:

  1. Vyberte výstrahu. Otevře se boční podokno s popisem výstrahy a všech ovlivněných prostředků.

    Snímek obrazovky s zobrazením podrobností vysoké úrovně výstrahy zabezpečení

  2. Projděte si základní informace o výstrahě zabezpečení.

    • Závažnost upozornění, stav a čas aktivity
    • Popis vysvětlující přesnou aktivitu, která byla zjištěna
    • Ovlivněné prostředky
    • Záměr kill chain aktivity v matici MITRE ATT&CK (pokud je k dispozici)
  3. Vyberte Zobrazit všechny podrobnosti.

    Pravé podokno obsahuje kartu Podrobnosti výstrahy obsahující další podrobnosti výstrahy, která vám pomůže prozkoumat problém: IP adresy, soubory, procesy a další.

    Snímek obrazovky se stránkou s úplnými podrobnostmi výstrahy

    V pravém podokně je také karta Provést akci . Na této kartě můžete provádět další akce týkající se výstrahy zabezpečení. Akce, jako jsou:

    • Kontrola kontextu prostředku – odešle vás do protokolů aktivit prostředku, které podporují výstrahu zabezpečení.
    • Zmírnění hrozby – poskytuje kroky ruční nápravy pro tuto výstrahu zabezpečení.
    • Prevence budoucích útoků – poskytuje doporučení zabezpečení, která pomáhají snížit prostor pro útoky, zvýšit stav zabezpečení a tím zabránit budoucím útokům.
    • Aktivace automatizované odpovědi – poskytuje možnost aktivovat aplikaci logiky jako odpověď na tuto výstrahu zabezpečení.
    • Potlačit podobné výstrahy – poskytuje možnost potlačit budoucí výstrahy s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.

    Snímek obrazovky s možnostmi dostupnými na kartě Provést akci

    Pokud potřebujete další podrobnosti, obraťte se na vlastníka prostředku a ověřte, jestli je zjištěná aktivita falešně pozitivní. Můžete také prozkoumat nezpracované protokoly generované napadeným prostředkem.

Změna stavu více výstrah zabezpečení najednou

Seznam upozornění obsahuje zaškrtávací políčka, abyste mohli zpracovat více výstrah najednou. Například pro účely třídění se můžete rozhodnout zavřít všechna informační upozornění pro konkrétní prostředek.

  1. Filtrujte podle výstrah, které chcete zpracovat hromadně.

    V tomto příkladu jsou vybrána upozornění se závažností Informational prostředku ASC-AKS-CLOUD-TALK .

    Snímek obrazovky znázorňující, jak filtrovat výstrahy tak, aby zobrazovaly související výstrahy

  2. Pomocí zaškrtávacích políček vyberte výstrahy, které se mají zpracovat.

    V tomto příkladu jsou vybrána všechna upozornění. Tlačítko Změnit stav je nyní k dispozici.

    Snímek obrazovky s výběrem všech výstrah, které chcete zpracovat hromadně

  3. Pomocí možností Změnit stav nastavte požadovaný stav.

    Snímek obrazovky s kartou Stav výstrah zabezpečení

    Výstrahy zobrazené na aktuální stránce se změní na vybranou hodnotu.

Reakce na výstrahu zabezpečení

Po prošetření výstrahy zabezpečení můžete na výstrahu reagovat z programu Microsoft Defender for Cloud.

Reakce na výstrahu zabezpečení:

  1. Otevřete kartu Provést akci a zobrazte doporučené odpovědi.

    Snímek obrazovky s kartou Výstrahy zabezpečení provést akci

  2. Projděte si část Zmírnění hrozby, kde najdete kroky ručního šetření potřebné ke zmírnění problému.

  3. Pokud chcete posílit prostředky a zabránit budoucím útokům tohoto typu, opravte doporučení zabezpečení v části Prevence budoucích útoků .

  4. Pokud chcete aktivovat aplikaci logiky pomocí automatizovaných kroků odezvy, použijte část Aktivace automatizované odpovědi a vyberte Aplikaci logiky triggeru.

  5. Pokud zjištěná aktivita není škodlivá, můžete potlačit budoucí výstrahy tohoto typu pomocí oddílu Potlačit podobné výstrahy a vybrat vytvořit pravidlo potlačení.

  6. Výběrem možnosti Konfigurovat nastavení e-mailových oznámení zobrazíte, kdo obdrží e-maily týkající se výstrah zabezpečení v tomto předplatném. Pokud chcete nakonfigurovat nastavení e-mailů, obraťte se na vlastníka předplatného.

  7. Až dokončíte šetření výstrahy a odpovídajícím způsobem odpovíte, změňte stav na Zamítnuto.

    Snímek obrazovky s rozevírací nabídkou stavu upozornění

    Výstraha se odebere ze seznamu hlavních upozornění. Pomocí filtru ze stránky se seznamem upozornění můžete zobrazit všechna upozornění se stavem Zamítnuto .

  8. Doporučujeme, abyste microsoftu poskytli zpětnou vazbu k upozornění:

    1. Označení výstrahy jako užitečné nebo není užitečné.
    2. Vyberte důvod a přidejte komentář.

    Snímek obrazovky s oknem Poskytnout zpětnou vazbu k Microsoftu, které umožňuje vybrat užitečnost výstrahy

    Tip

    Zkontrolujeme vaši zpětnou vazbu, abychom vylepšili naše algoritmy a poskytli lepší výstrahy zabezpečení.

    Další informace o různých typech výstrah najdete v tématu Výstrahy zabezpečení – referenční příručka.

    Přehled o tom, jak Defender for Cloud generuje výstrahy, najdete v tématu Jak Microsoft Defender for Cloud detekuje hrozby a reaguje na ně.

    Kontrola výsledků kontroly bez agentů

    Výsledky kontroly založené na agentech i bez agentů se zobrazí na stránce Výstrahy zabezpečení.

    Snímek obrazovky se stránkou výstrah zabezpečení, která zobrazuje výsledky kontrol bez agentů i agentů

    Poznámka:

    Náprava jedné z těchto výstrah nenapraví druhou výstrahu, dokud se nedokončí další kontrola.