Defender for Cloud 将从 Azure、混合资源、网络和已连接的合作伙伴解决方案(例如防火墙和终结点代理)中收集、分析并整合日志数据。 Defender for Cloud 使用日志数据来检测真正的威胁并减少误报。 Defender for Cloud 显示了一系列安全警报(按严重程度排序),并显示了快速调查问题所需的信息以及针对攻击进行补救的步骤。
本文介绍如何查看和处理 Defender for Cloud 的警报并保护资源。
在对安全警报进行会审时,应根据警报严重性确定警报的优先级,从而首先解决严重性更高的警报。 详细了解如何对警报进行分类。
提示
可以将 Microsoft Defender for Cloud 连接到包括 Microsoft Sentinel 在内的 SIEM 解决方案,并从所选工具中使用警报。 详细了解如何将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案。
有关先决条件和要求,请参阅适用于 Defender for Cloud 的支持矩阵。
执行以下步骤:
登录 Azure 门户。
导航到“Microsoft Defender for Cloud”>“安全警报”。
(可选)使用任何相关筛选器筛选警报列表。 可以使用“添加筛选器”选项添加额外的筛选器。
列表会根据所选筛选器进行更新。 例如,由于你正在调查系统中可能存在的漏洞,你可能想要解决过去 24 小时内发生的安全警报。
每个警报都包含有关有助于进行调查的警报的信息。
若要调查安全警报,请执行以下操作:
选择警报。 此时会打开一个侧窗格,其中显示了警报和所有受影响的资源的说明。
查看有关安全警报的高级别信息。
选择“查看完整的详细信息”。
右侧窗格包含“警报详细信息”选项卡,其中包含警报的更多详细信息,用于帮助你调查问题:IP 地址、文件、进程等。
右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作,例如:
有关进一步详细信息,请联系资源所有者,以验证检测到的活动是否为误报。 还可以调查由被攻击资源生成的原始日志。
警报列表包含复选框,以便可以一次处理多个警报。 例如,出于会审目的,你可能会决定消除特定资源的所有信息性警报。
根据要批量处理的警报进行筛选。
在此示例中,已选择资源 ASC-AKS-CLOUD-TALK 的严重性为 Informational 的警报。
请使用复选框选择要处理的警报。
在此示例中,选择了所有警报。 更改状态”按钮现已可用。
使用“更改状态”选项设置所需的状态。
当前页中显示的警报已将其状态更改为所选值。
调查安全警报后,可以从 Microsoft Defender for Cloud 中响应警报。
要响应安全警报,请执行以下操作:
打开“执行操作”选项卡以查看建议的响应。
查看“缓解威胁”部分,了解缓解该问题所需的手动调查步骤。
若要强化资源并防止将来出现此类攻击,请在“防止将来的攻击”部分中修正安全建议。
要使用自动响应步骤触发逻辑应用,请使用“触发自动响应”部分,并选择“触发逻辑应用”。
如果检测到的活动不是恶意行为,则可以使用“抑制类似警报”部分抑制将来显示此类警报,然后选择“创建抑制规则”。
选择“配置电子邮件通知设置”,以查看接收有关此订阅上安全警报的电子邮件的人员。 请联系订阅所有者,以配置电子邮件设置。
如果已完成对警报的调查,并以适当的方式做出了响应,请将状态更改为“已消除”。
警报将会从主警报列表中移除。 可以使用“警报列表”页中的筛选器查看所有处于“已解除”状态的警报。
建议你向 Microsoft 提供有关警报的反馈:
提示
我们会查看你的反馈,以改进算法并提供更好的安全警报。
若要了解各种类型的警报,请参阅安全警报 - 参考指南。
有关 Defender for Cloud 如何生成警报的概述,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁。
基于代理的扫描程序和无代理扫描程序的结果都显示在“安全警报”页上。
注意
在完成下一次扫描之前,修正其中一个警报不会修正另一个警报。