Microsoft Defender for Cloud 威胁情报报告

Microsoft Defender for Cloud 威胁情报报告可以帮助你了解有关触发安全警报的威胁的详细信息。

什么是威胁智能报告?

Defender for Cloud 威胁防护通过监视来自 Azure 资源、网络和连接的合作伙伴解决方案的安全信息来工作。 分析该信息(通常需将多个来源的信息关联起来)即可确定威胁。 有关详细信息,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁

当 Defender for Cloud 识别到威胁时,它将触发安全警报,其中包含有关事件的详细信息,包括修正建议。 为了帮助事件响应团队调查和修正威胁,Defender for Cloud 提供包含有关检测到的威胁的信息的威胁情报报告。 该报告包含如下所示的信息:

  • 攻击者的身份或关联项(如果此信息可用)
  • 攻击者的目标
  • 当前和历史攻击活动(如果此信息可用)
  • 攻击者的策略、工具和过程
  • 相关危害指标 (IoC),例如 URL 和文件哈希
  • 受害者研究,即研究行业和地理普遍性,帮助确定 Azure 资源有无风险
  • 缓解计划和修复信息

注意

任何特定报表中的信息量都将有所不同;详细信息的级别基于恶意软件的活动和普遍性。

Defender for Cloud 有三种类型的威胁报告,可因攻击而异。 可用报告有:

  • 活动组报告:深入分析攻击者、其目标和策略。
  • 活动报告:重点提供特定攻击活动的详细信息。
  • 威胁摘要报告:包含前两个报告中的所有项目。

此类信息在事件响应过程中很有用。 例如,在进行调查以了解攻击源、攻击者的动机以及将来如何缓解此问题时,就可以使用此类信息。

如何访问威胁智能报告?

  1. 在 Defender for Cloud 的菜单中,打开“安全警报”页。

  2. 选择警报。

    此时将打开警报详细信息页面,其中包含有关警报的更多详细信息。 例如,“检测到勒索软件痕迹”警报详细信息页面:

    Ransomware indicators detected alert details page.

  3. 选择指向报告的链接,随机将在默认浏览器中打开 PDF。

    Potentially Unsafe Action alert details page.

    还可以选择性下载 PDF 报告。

    提示

    每个安全警报的可用信息量因警报类型而异。

后续步骤

本页说明了如何在调查安全警报时打开威胁情报报告。 如需相关信息,请参阅以下页面: