管理和回應安全性警示

適用於雲端的 Defender 會收集、分析及整合您的 Azure、混合式和多雲端資源、網路和已連線合作夥伴解決方案 (例如防火牆和端點代理程式) 的記錄資料。 適用於雲端的 Defender 會使用記錄資料來偵測真正的威脅,並減少誤判。 適用於雲端的 Defender 會顯示按優先順序排列的安全性警示清單,以及快速調查問題所需的資訊和補救攻擊的步驟。

本文說明如何檢視和處理適用於雲端的 Defender 警示,並保護您的資源。

對安全性警示進行分類時,您應根據其警示嚴重性來排定警示的優先順序,先處理嚴重性較高的警示。 深入了解如何對警示進行分類

提示

您可以將適用於雲端的 Microsoft Defender 連結到 SIEM 解決方案 (包括 Microsoft Sentinel),並以您選擇的工具取用警示。 深入了解如何將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案

必要條件

如需必要條件和需求,請參閱適用於雲端的 Defender 的支援矩陣

管理您的安全性警示

執行下列步驟:

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]

    此螢幕擷取畫面顯示「適用於雲端的 Microsoft Defender」概觀頁面中的安全性警示頁面。

  3. (選擇性) 使用任何相關篩選條件來篩選警示清單。 您可以使用 [新增篩選條件] 選項來新增額外的篩選條件。

    此螢幕擷取畫面顯示如何將篩選條件新增至警示檢視。

    此清單會根據所選取的篩選條件來進行更新。 例如,您可能想確認在過去 24 小時發生的安全性警示,因為您正在調查系統中可能的入侵行動。

調查安全性警示

每個警示都包含有關該警示的資訊,可協助您進行調查。

若要調查安全性警示

  1. 選取警示。 側邊窗格開啟後,會顯示警示和所有受影響資源的描述。

    安全性警示的高階詳細資料檢視的螢幕擷取畫面。

  2. 檢閱有關安全性警示的高階資訊。

    • 警示嚴重性、狀態和活動時間
    • 說明所偵測到精確活動的描述
    • 受影響的資源
    • MITRE ATT&CK 矩陣上活動的終止鏈結意圖 (如果適用)
  3. 選取 [檢視完整詳細資料]

    右側窗格的 [警示詳細資料] 索引標籤,包含警示進一步的詳細資料,協助您調查 IP 位址、檔案、流程等問題。

    此螢幕擷取畫面顯示警示的完整詳細資料頁面。

    右窗格中還有 [採取動作] 索引標籤。使用此索引標籤可以針對安全性警示採取進一步的動作。 這些動作包括:

    • 檢查資源內容 - 將您傳送至支援安全性警示的資源活動記錄
    • 減輕威脅 - 提供安全性警示的手動補救步驟
    • 預防未來的攻擊 - 提供安全性建議協助減少受攻擊面、提高安全性態勢,藉此預防未來的攻擊
    • 觸發自動回應 - 提供回應安全性警示、觸發邏輯應用程式的選項
    • 隱藏類似警示 - 提供以類似特性隱藏未來警示的選項,即使警示無關組織

    此螢幕擷取畫面顯示 [採取動作] 索引標籤中的可用選項。

    如需進一步的詳細資料,請聯繫資源擁有者以驗證偵測到的活動是否為誤報。 您也可以調查受攻擊資源所產生的原始記錄。

一次變更多個安全性警示的狀態

警示清單包含核取方塊,讓您可以一次處理多個警示。 例如,基於分級目的,您可能會決定關閉特定資源的所有參考警示。

  1. 根據您想要大量處理的警示進行篩選。

    在此範例中,會選取資源 ASC-AKS-CLOUD-TALK 的嚴重性為 Informational 的警示。

    此螢幕擷取畫面顯示如何篩選警示以顯示相關的警示。

  2. 使用核取方塊來選取要處理的警示。

    在此範例中,會選取所有警示。 [變更狀態] 按鈕現已可供使用。

    選取要大量處理的所有警示的螢幕擷取畫面。

  3. 使用 [變更狀態] 選項來設定需要的狀態。

    [安全性警示狀態] 索引標籤的螢幕擷取畫面。

    目前頁面中顯示的警示會將其狀態變更為選取的值。

回應安全性警示

調查安全性警示之後,您可以從適用於雲端的 Microsoft Defender 內回應該警示。

若要回應安全性警示

  1. 開啟 [採取動作] 索引標籤,以查看建議的回應。

    [安全性警示採取動作] 索引標籤的螢幕擷取畫面。

  2. 請參閱降低威脅一節,以取得減輕問題所需的手動調查步驟。

  3. 若要強化您的資源並防止未來遭受這種攻擊,請在 [防止未來的攻擊] 區段中補救安全性建議。

  4. 若要使用自動化回應步驟來觸發邏輯應用程式,請使用 [觸發自動化回應],然後選取 [觸發邏輯應用程式]

  5. 如果偵測到的活動不是惡意的,您可以使用 [隱藏類似警示] 區段並選取 [建立隱藏規則] 來隱藏未來的這類警示。

  6. 選取 [設定電子郵件通知設定],以檢視誰收到有關此訂閱的安全性警示的電子郵件。 請聯絡訂閱擁有者以設定電子郵件設定。

  7. 當您完成警示的調查並以適當方式回應時,請將狀態變更為 [已關閉]

    警示狀態下拉功能表的螢幕擷取畫面。

    該警示會從主要的警示清單中移除。 您可以使用警示清單頁面中的篩選條件,檢視 [已關閉] 狀態的所有警示。

  8. 我們鼓勵您將有關警示的意見反應提供給 Microsoft:

    1. 將警示標示為 [實用] 或 [不實用]
    2. 選取原因並新增註解。

    螢幕擷取畫面:將意見反應提供到 Microsoft 視窗,它可讓您選取警示的實用性。

    提示

    我們會檢閱您的意見反應以改善我們的演算法,並提供更好的安全性警示。

    若要了解不同類型的警示,請參閱安全性警示 - 參考指南

    如需適用於雲端的 Defender 如何產生警示的概觀,請參閱適用於雲端的 Microsoft Defender 如何偵測和回應威脅

    檢閱無代理程式掃描的結果

    代理程式型和無代理程式掃描器的結果會出現在 [安全性警示] 頁面上。

    安全性警示頁面的螢幕擷取畫面,其中顯示代理程式型和無代理程式掃描結果的結果。

    注意

    在下一次掃描完成之前,補救其中一個警示不會補救另一個警示。