在 Microsoft Defender for Cloud 中管理安全事件
会审和调查安全警报可能会非常耗时,即使对于技术高超的安全分析员也是如此。 对于许多安全分析员而言,很难知道从何处着手。
Defender for Cloud 使用分析来连接不同安全警报之间的信息。 使用这些连接,Defender for Cloud 可以提供攻击活动及其相关警报的单一视图,以帮助你了解攻击者的操作和受影响的资源。
此页概述了 Defender for Cloud 中的事件。
什么是安全事件?
在 Defender for Cloud 中,安全事件是与攻击链模式一致的资源的所有警报的聚合。 事件显示在安全警报页中。 选择事件以查看相关警报并获取详细信息。
管理安全事件
在 Defender for Cloud 的安全警报页上,使用“添加筛选器”按钮按警报名称筛选到警报名称“在多个资源上检测到的安全事件”。
现在,此列表已经过筛选,只显示事件。 请注意,安全事件与安全警报的图标不同。
若要查看事件的详细信息,请从列表中选择一个事件。 此时会显示一个侧窗格,其中包含有关事件的更多详细信息。
若要查看更多详细信息,请选择“查看完整详细信息”。
“安全事件”页的左窗格显示有关安全事件的大致信息:标题、严重性、状态、活动时间、说明以及受影响的资源。 在受影响的资源旁边,可以看到相关的 Azure 标记。 在调查警报时,可以使用这些标记来推断资源的组织环境。
右窗格包含“警报”选项卡,其中包含与此事件相关联的安全警报。
提示
有关特定警报的详细信息,请选择该警报。
若要切换到“执行操作”选项卡,请选择该选项卡或右窗格底部的按钮。 使用此选项卡执行更多操作,例如:
- 缓解威胁 - 为此安全事件提供手动修正步骤
- 防范未来的攻击 - 提供安全建议,帮助减少攻击面、提高安全状况和防范未来的攻击
- 触发自动响应 - 提供触发逻辑应用以响应此安全事件的选项
- 禁止显示类似的警报 - 如果警报与组织无关,还可禁止显示具有类似特征的未来警报
注意
同一个警报可以作为事件的一部分存在,也可以作为独立警报显示。
若要修正事件中的威胁,请按照每个警报提供的修正步骤操作。
后续步骤
此页介绍了 Defender for Cloud 的安全事件功能。 如需相关信息,请参阅以下页面: