管理和响应安全警报

Defender for Cloud 将从 Azure、混合资源、网络和已连接的合作伙伴解决方案(例如防火墙和终结点代理)中收集、分析并整合日志数据。 Defender for Cloud 使用日志数据来检测真正的威胁并减少误报。 Defender for Cloud 显示了一系列安全警报(按严重程度排序),并显示了快速调查问题所需的信息以及针对攻击进行补救的步骤。

本文介绍如何查看和处理 Defender for Cloud 的警报并保护资源。

在对安全警报进行会审时,应根据警报严重性确定警报的优先级,从而首先解决严重性更高的警报。 详细了解如何对警报进行分类

提示

可以将 Microsoft Defender for Cloud 连接到包括 Microsoft Sentinel 在内的 SIEM 解决方案,并从所选工具中使用警报。 详细了解如何将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案

先决条件

有关先决条件和要求,请参阅适用于 Defender for Cloud 的支持矩阵

管理安全警报

执行以下步骤:

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“安全警报”。

    从 Microsoft Defender for Cloud 的“概述”页进入“安全警报”页的屏幕截图。

  3. (可选)使用任何相关筛选器筛选警报列表。 可以使用“添加筛选器”选项添加额外的筛选器

    显示如何将筛选器添加到警报视图的屏幕截图。

    列表会根据所选筛选器进行更新。 例如,由于你正在调查系统中可能存在的漏洞,你可能想要解决过去 24 小时内发生的安全警报。

调查安全警报

每个警报都包含有关有助于进行调查的警报的信息。

若要调查安全警报,请执行以下操作:

  1. 选择警报。 此时会打开一个侧窗格,其中显示了警报和所有受影响的资源的说明。

    安全警报的高级详细信息视图的屏幕截图。

  2. 查看有关安全警报的高级别信息。

    • 警报严重性、状态和活动时间
    • 解释检测到的精确活动的说明
    • 受影响的资源
    • 基于 MITRE ATT&CK 矩阵的活动的终止链意向(如果适用)
  3. 选择“查看完整的详细信息”。

    右侧窗格包含“警报详细信息”选项卡,其中包含警报的更多详细信息,用于帮助你调查问题:IP 地址、文件、进程等。

    显示警报的完整详细信息页面的屏幕截图。

    右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作,例如:

    • 检查资源上下文 - 将你转到支持安全警报的资源活动日志
    • 缓解威胁 - 为此安全警报提供手动修正步骤
    • 防范将来的攻击 - 提供安全建议,帮助减少攻击面,提高安全状况,从而防范将来的攻击
    • 触发自动响应 - 提供可触发逻辑应用的选项,作为对此安全警报的响应
    • 抑制类似的警报 - 如果警报与组织无关,则提供可抑制具有类似特征的未来警报的选项

    显示“执行操作”选项卡中可用的选项的屏幕截图。

    有关进一步详细信息,请联系资源所有者,以验证检测到的活动是否为误报。 还可以调查由被攻击资源生成的原始日志。

一次更改多个安全警报的状态

警报列表包含复选框,以便可以一次处理多个警报。 例如,出于会审目的,你可能会决定消除特定资源的所有信息性警报。

  1. 根据要批量处理的警报进行筛选。

    在此示例中,已选择资源 ASC-AKS-CLOUD-TALK 的严重性为 Informational 的警报。

    显示如何筛选警报以显示相关警报的屏幕截图。

  2. 请使用复选框选择要处理的警报。

    在此示例中,选择了所有警报。 更改状态”按钮现已可用

    选择要批量处理的所有警报的屏幕截图。

  3. 使用“更改状态”选项设置所需的状态。

    “安全警报状态”选项卡的屏幕截图。

    当前页中显示的警报已将其状态更改为所选值。

响应安全警报

调查安全警报后,可以从 Microsoft Defender for Cloud 中响应警报。

要响应安全警报,请执行以下操作

  1. 打开“执行操作”选项卡以查看建议的响应。

    “安全警报采取行动”选项卡的屏幕截图。

  2. 查看“缓解威胁”部分,了解缓解该问题所需的手动调查步骤。

  3. 若要强化资源并防止将来出现此类攻击,请在“防止将来的攻击”部分中修正安全建议。

  4. 要使用自动响应步骤触发逻辑应用,请使用“触发自动响应”部分,并选择“触发逻辑应用”

  5. 如果检测到的活动不是恶意行为,则可以使用“抑制类似警报”部分抑制将来显示此类警报,然后选择“创建抑制规则”

  6. 选择“配置电子邮件通知设置”,以查看接收有关此订阅上安全警报的电子邮件的人员。 请联系订阅所有者,以配置电子邮件设置。

  7. 如果已完成对警报的调查,并以适当的方式做出了响应,请将状态更改为“已消除”

    警报的状态下拉菜单的屏幕截图。

    警报将会从主警报列表中移除。 可以使用“警报列表”页中的筛选器查看所有处于“已解除”状态的警报。

  8. 建议你向 Microsoft 提供有关警报的反馈:

    1. 将警报标记为“有用”或“无用” 。
    2. 选择原因并添加注释。

    “向 Microsoft 窗口提供反馈”的屏幕截图,该窗口允许你选择警报的有用性。

    提示

    我们会查看你的反馈,以改进算法并提供更好的安全警报。

    若要了解各种类型的警报,请参阅安全警报 - 参考指南

    有关 Defender for Cloud 如何生成警报的概述,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁

    查看无代理扫描的结果

    基于代理的扫描程序和无代理扫描程序的结果都显示在“安全警报”页上。

    安全警报页的屏幕截图,其中同时显示了基于代理和无代理的扫描结果的结果。

    注意

    在完成下一次扫描之前,修正其中一个警报不会修正另一个警报。