管理和响应安全警报

Defender for Cloud 收集、分析和集成 Azure 中的日志数据，以及混合资源、网络和连接的合作伙伴解决方案，例如防火墙和终结点代理。 Defender for Cloud 使用日志数据来检测真实威胁并减少误报。 Defender for Cloud 中显示了优先安全警报列表，以及快速调查问题所需的信息以及修正攻击的步骤。

本文介绍如何查看和处理 Defender for Cloud 警报和保护资源。

在对安全警报进行会审时，应根据警报严重性确定警报的优先级，首先解决更高的严重性警报。详细了解如何对警报进行分类。

小窍门

可以将 Microsoft Defender for Cloud 连接到 SIEM 解决方案，包括 Microsoft Sentinel，并使用所选工具发出的警报。详细了解如何将警报传输到 SIEM、SOAR 或 IT 服务管理解决方案中。

先决条件

有关先决条件和要求，请参阅 Defender for Cloud 的支持矩阵。

管理安全警报

执行以下步骤：

登录到 Azure 门户。
导航到 Microsoft Defender for Cloud>安全警报。
（可选）使用任何相关筛选器筛选警报列表。可以使用 “添加筛选器 ”选项添加额外的筛选器。

列表根据所选的筛选器进行更新。例如，你可能想要解决过去 24 小时内发生的安全警报，因为你正在调查系统中的潜在违规行为。

调查安全警报

每个警报都包含帮助您调查的有关警报的信息。

若要调查安全警报，请执行以下操作：

选择警报。此时会打开一个侧窗格，并显示警报的说明以及所有受影响的资源。
查看有关安全警报的高级信息。
- 警报严重性、状态和活动时间
- 检测到的精确活动说明
- 受影响的资源
- 在 MITRE ATT&CK 矩阵上终止活动的链意向（如果适用）
选择“查看完整的详细信息”。

右窗格包含“ 警报详细信息 ”选项卡，其中包含警报的更多详细信息，可帮助你调查问题：IP 地址、文件、进程等。

右侧窗格中还有“ 采取行动 ”选项卡。使用此选项卡可以对于安全警报执行进一步措施。例如以下操作：
- 检查资源上下文 - 将你发送到支持安全警报的资源活动日志
- 缓解威胁 - 为此安全警报提供手动修正步骤
- 防止将来的攻击 - 提供安全建议来帮助减少攻击面、增加安全状况，从而防止将来的攻击
- 触发自动响应 - 提供用于触发逻辑应用作为对此安全警报的响应的选项
- 禁止显示类似的警报 - 如果警报与组织无关，还可禁止显示具有类似特征的未来警报
有关更多详细信息，请联系资源所有者以验证检测到的活动是否为误报。还可以调查受攻击资源生成的原始日志。

一次性更改多个安全警报的状态

警报列表包含复选框，以便一次性处理多个警报。例如，出于会审目的，你可能会决定消除特定资源的所有信息警报。

根据要批量处理的警报进行筛选。

在此示例中，已选择资源Informational中严重性为ASC-AKS-CLOUD-TALK的警报。
使用复选框选择要处理的警报。

在此示例中，选择所有警报。 “更改状态”按钮现已可用。
使用 “更改状态 ”选项设置所需状态。

当前页中显示的警报的状态已更改为所选值。

响应安全警报

调查安全警报后，可以从 Microsoft Defender for Cloud 内响应警报。

若要响应安全警报，请执行以下作：

打开“执行操作”选项卡以查看建议措施。
请查看 “缓解威胁” 部分，了解缓解问题所需的手动调查步骤。
若要强化资源并防止此类攻击的未来攻击，请修正“ 防止将来的攻击 ”部分中的安全建议。
若要使用自动响应步骤触发逻辑应用，请使用 “触发器自动响应 ”部分并选择“ 触发器逻辑应用”。
如果检测到的活动不是恶意活动，可以使用 “禁止类似的警报 ”部分取消此类警报，然后选择“ 创建抑制规则”。
选择“ 配置电子邮件通知设置”以查看接收有关此订阅上安全警报的电子邮件的人员。请联系订阅所有者，配置电子邮件设置。
完成对警报的调查并采用适当的方式做出响应时，请将状态更改为 “已消除”。

警报已从主警报列表中删除。可以使用“警报列表”页中的筛选器查看状态 为“已关闭 ”的所有警报。
我们鼓励你提供有关警报的反馈给Microsoft。
1. 将警报标记为 “有用 ”或 “不有用”。
2. 选择原因并添加注释。