Hantera och svara på säkerhetsaviseringar

Microsoft Defender för molnet samlar in, analyserar och integrerar loggdata från Azure-resurser, hybridresurser och resurser för flera moln, nätverket och anslutna partnerlösningar – såsom brandväggar och slutpunktsagenter. Defender for Cloud använder loggdata för att identifiera verkliga hot och minska falska positiva identifieringar. En lista över prioriterade säkerhetsvarningar visas i Defender för molnet tillsammans med den information som du behöver för att snabbt undersöka problemet, samt rekommendationer för hur du åtgärdar ett angrepp.

Den här artikeln visar hur du visar och bearbetar aviseringar för Defender för molnet och skyddar dina resurser.

När du sorterar säkerhetsaviseringar bör du prioritera aviseringar baserat på deras allvarlighetsgrad för aviseringar och först åtgärda aviseringar med högre allvarlighetsgrad. Läs mer om hur aviseringar klassificeras.

Dricks

Du kan ansluta Microsoft Defender för molnet till SIEM-lösningar, inklusive Microsoft Sentinel, och använda aviseringarna från valfritt verktyg. Läs mer om hur du strömmar aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.

Förutsättningar

Hantera dina säkerhetsaviseringar

Följ de här stegen:

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för Cloud>Security-aviseringar.

    Skärmbild som visar sidan säkerhetsaviseringar från översiktssidan för Microsoft Defender för molnet.

  3. (Valfritt) Filtrera aviseringslistan med något av de relevanta filtren. Du kan lägga till extra filter med alternativet Lägg till filter .

    Skärmbild som visar hur du lägger till filter i aviseringsvyn.

    Listan uppdateras enligt de filter som valts. Du kanske till exempel vill hantera säkerhetsaviseringar som har inträffat under de senaste 24 timmarna eftersom du undersöker ett potentiellt intrång i systemet.

Undersöka en säkerhetsavisering

Varje avisering innehåller information om aviseringen som hjälper dig i din undersökning.

Så här undersöker du en säkerhetsavisering:

  1. Välj en avisering. En sidoruta öppnas och visar en beskrivning av aviseringen och alla berörda resurser.

    Skärmbild av den övergripande informationsvyn för en säkerhetsavisering.

  2. Granska den övergripande informationen om säkerhetsaviseringen.

    • Allvarlighetsgrad, status och aktivitetstid för aviseringar
    • Beskrivning som förklarar den exakta aktivitet som identifierades
    • Berörda resurser
    • Avsikten att avsluta kedjan för aktiviteten i MITRE ATT&CK-matrisen (om tillämpligt)
  3. Välj Visa fullständig information.

    Det högra fönstret innehåller fliken Aviseringsinformation som innehåller ytterligare information om aviseringen som hjälper dig att undersöka problemet: IP-adresser, filer, processer med mera.

    Skärmbild som visar den fullständiga informationssidan för en avisering.

    I den högra rutan finns även fliken Vidta åtgärd . Använd den här fliken om du vill vidta ytterligare åtgärder när det gäller säkerhetsaviseringen. Åtgärder som:

    • Granska resurskontext – skickar dig till resursens aktivitetsloggar som stöder säkerhetsaviseringen
    • Åtgärda hotet – tillhandahåller manuella reparationssteg för den här säkerhetsaviseringen
    • Förhindra framtida attacker – ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och därmed förhindra framtida attacker
    • Utlösa automatiserat svar – ger möjlighet att utlösa en logikapp som ett svar på den här säkerhetsaviseringen
    • Ignorera liknande aviseringar – ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation

    Skärmbild som visar tillgängliga alternativ på fliken Vidta åtgärd.

    Om du vill ha mer information kontaktar du resursägaren för att kontrollera om den identifierade aktiviteten är en falsk positiv identifiering. Du kan också undersöka de rådataloggar som genereras av den angripna resursen.

Ändra status för flera säkerhetsaviseringar samtidigt

Listan med aviseringar innehåller kryssrutor så att du kan hantera flera aviseringar samtidigt. Du kan till exempel välja att stänga alla informationsaviseringar för en viss resurs i trevande syften.

  1. Filtrera efter de aviseringar som du vill hantera i grupp.

    I det här exemplet väljs aviseringarna med allvarlighetsgraden Informational för resursen ASC-AKS-CLOUD-TALK .

    Skärmbild som visar hur du filtrerar aviseringar för att visa relaterade aviseringar.

  2. Använd kryssrutorna för att välja de aviseringar som ska bearbetas.

    I det här exemplet är alla aviseringar markerade. Knappen Ändra status är nu tillgänglig.

    Skärmbild av att välja alla aviseringar som ska hanteras i grupp.

  3. Använd alternativen Ändra status för att ange önskad status.

    Skärmbild av statusfliken säkerhetsaviseringar.

    Aviseringarna som visas på den aktuella sidan har statusen ändrad till det valda värdet.

Svara på en säkerhetsavisering

När du har undersökt en säkerhetsavisering kan du svara på aviseringen från Microsoft Defender för molnet.

Så här svarar du på en säkerhetsavisering:

  1. Öppna fliken Vidta åtgärd för att se de rekommenderade svaren.

    Skärmbild av åtgärdsfliken för säkerhetsaviseringar.

  2. I avsnittet Åtgärda hot finns de manuella undersökningssteg som krävs för att åtgärda problemet.

  3. Om du vill förstärka dina resurser och förhindra framtida attacker av det här slaget kan du åtgärda säkerhetsrekommendationerna i avsnittet Förhindra framtida attacker .

  4. Om du vill utlösa en logikapp med automatiserade svarssteg använder du avsnittet Utlösa automatiserat svar och väljer Utlösa logikapp.

  5. Om den identifierade aktiviteten inte är skadlig kan du förhindra framtida aviseringar av den här typen med hjälp av avsnittet Ignorera liknande aviseringar och välja Skapa undertryckningsregel.

  6. Välj Konfigurera e-postaviseringsinställningar för att visa vem som tar emot e-postmeddelanden om säkerhetsaviseringar för den här prenumerationen. Kontakta prenumerationsägaren för att konfigurera e-postinställningarna.

  7. När du har slutfört undersökningen av aviseringen och svarat på lämpligt sätt ändrar du statusen till Avvisad.

    Skärmbild av aviseringens nedrullningsbara meny för status.

    Aviseringen tas bort från huvudaviseringslistan. Du kan använda filtret från sidan med aviseringslistan för att visa alla aviseringar med statusen Avvisad .

  8. Vi rekommenderar att du ger feedback om aviseringen till Microsoft:

    1. Markera aviseringen som Användbar eller Inte användbar.
    2. Välj en orsak och lägg till en kommentar.

    Skärmbild av fönstret Ge feedback till Microsoft som gör att du kan välja användbarheten för en avisering.

    Dricks

    Vi granskar din feedback för att förbättra våra algoritmer och ge bättre säkerhetsaviseringar.

    Mer information om de olika typerna av aviseringar finns i Säkerhetsaviseringar – en referensguide.

    En översikt över hur Defender för molnet genererar aviseringar finns i Hur Microsoft Defender för molnet identifierar och svarar på hot.

    Granska resultatet av den agentlösa genomsökningen

    Resultat för både den agentbaserade och agentlösa skannern visas på sidan Säkerhetsaviseringar.

    Skärmbild av sidan säkerhetsaviseringar som visar resultatet av både agentbaserade och agentlösa genomsökningsresultat.

    Kommentar

    Om du åtgärdar en av dessa aviseringar åtgärdas inte den andra aviseringen förrän nästa genomsökning har slutförts.