在 Microsoft Defender for Cloud 中管理安全事件

  • 项目

会审和调查安全警报可能会非常耗时,即使对于技术高超的安全分析员也是如此。 对于许多安全分析员而言,很难知道从何处着手。

Defender for Cloud 使用分析来连接不同安全警报之间的信息。 使用这些连接,Defender for Cloud 可以提供攻击活动及其相关警报的单一视图,以帮助你了解攻击者的操作和受影响的资源。

此页概述了 Defender for Cloud 中的事件。

什么是安全事件?

在 Defender for Cloud 中,安全事件是与攻击链模式一致的资源的所有警报的聚合。 事件显示在安全警报页中。 选择事件以查看相关警报并获取详细信息。

管理安全事件

  1. 在 Defender for Cloud 的安全警报页上,使用“添加筛选器”按钮按警报名称筛选到警报名称“在多个资源上检测到的安全事件”。

    Locating the incidents on the security alerts page in Microsoft Defender for Cloud.

    现在,此列表已经过筛选,只显示事件。 请注意,安全事件与安全警报的图标不同。

    List of incidents on the security alerts page in Microsoft Defender for Cloud.

  2. 若要查看事件的详细信息,请从列表中选择一个事件。 此时会显示一个侧窗格,其中包含有关事件的更多详细信息。

    Side pane showing details of the incident.

  3. 若要查看更多详细信息,请选择“查看完整详细信息”。

    Respond to security incidents in Microsoft Defender for Cloud.

    “安全事件”页的左窗格显示有关安全事件的大致信息:标题、严重性、状态、活动时间、说明以及受影响的资源。 在受影响的资源旁边,可以看到相关的 Azure 标记。 在调查警报时,可以使用这些标记来推断资源的组织环境。

    右窗格包含“警报”选项卡,其中包含与此事件相关联的安全警报。

    提示

    有关特定警报的详细信息,请选择该警报。

    Incident's take action tab.

    若要切换到“执行操作”选项卡,请选择该选项卡或右窗格底部的按钮。 使用此选项卡执行更多操作,例如:

    • 缓解威胁 - 为此安全事件提供手动修正步骤
    • 防范未来的攻击 - 提供安全建议,帮助减少攻击面、提高安全状况和防范未来的攻击
    • 触发自动响应 - 提供触发逻辑应用以响应此安全事件的选项
    • 禁止显示类似的警报 - 如果警报与组织无关,还可禁止显示具有类似特征的未来警报

    注意

    同一个警报可以作为事件的一部分存在,也可以作为独立警报显示。

  4. 若要修正事件中的威胁,请按照每个警报提供的修正步骤操作。

后续步骤

此页介绍了 Defender for Cloud 的安全事件功能。 如需相关信息,请参阅以下页面: