教程:会审、调查和响应安全警报

安全中心使用高级分析和威胁情报来持续分析混合云工作负载,在云资源中出现潜在恶意活动时发出警报。 你还可以将其他安全产品和服务中的警报集成到安全中心。 发出警报后,需采取快速行动进行调查和修正潜在安全问题。

在本教程中,您将学习如何执行以下操作:

  • 会审安全警报
  • 调查安全警报以确定根本原因
  • 响应安全警报并缓解该根本原因

如果没有 Azure 订阅,可在开始前创建一个试用帐户

先决条件

若要逐步执行本教程中介绍的功能,需要启用 Azure Defender。 可以免费试用 Azure Defender。 若要了解详细信息,请参阅定价页。 可通过快速入门内容“安全中心入门”了解如何升级。

会审安全警报

安全中心提供所有安全警报的统一视图。 安全警报根据检测到的活动的严重性进行排序。

从“安全警报”页中会审警报:

Azure 安全中心的安全警报列表

使用此页面查看环境中活动的安全警报,以确定要首先调查哪个警报。

会审安全警报时,根据警报严重性确定警报优先级,方法是先对优先级较高的警报进行寻址。 有关警报严重性的详细信息,请参阅如何对警报进行分类

调查安全警报

确定要首先调查的警报后:

  1. 选择所需的警报。

  2. 从“警报概述”页中,选择要首先调查的资源。

  3. 从左窗格开始调查,该窗格显示有关安全警报的基本信息。

    “警报详细信息”页的左窗格中突出显示了基本信息。

    此窗格显示:

    • 警报严重性、状态和活动时间
    • 解释检测到的精确活动的说明
    • 受影响的资源
    • 基于 MITRE ATT&CK 矩阵的活动的终止链意向
  4. 有关有助于调查可疑活动的更多详细信息,请查看“警报详细信息”选项卡。

  5. 查看完此页上的信息后,你可能有足够的时间来继续响应。 如果需要更多详细信息,请执行以下操作:

    • 联系资源所有者,以验证检测到的活动是否为误报。
    • 调查受攻击资源生成的原始日志

响应安全警报

调查警报并了解其范围后,可以从 Azure 安全中心内响应安全警报:

  1. 打开“执行操作”选项卡以查看建议的响应。

    安全警报“执行操作”选项卡。

  2. 查看“缓解威胁”部分,了解缓解该问题所需的手动调查步骤。

  3. 若要强化资源并防止将来出现此类攻击,请在“防止将来的攻击”部分中修正安全建议。

  4. 若要使用自动响应步骤触发逻辑应用,请使用“触发自动响应”部分。

  5. 如果检测到的活动不是恶意行为,则可以使用“禁止类似警报”部分来禁止以后显示此类警报。

  6. 如果已完成对警报的调查,并以适当的方式做出了响应,请将状态更改为“已解除”。

    设置警报状态

    这会从主警报列表中删除该警报。 可以使用“警报列表”页中的筛选器查看所有处于“已解除”状态的警报。

  7. 建议你向 Microsoft 提供有关警报的反馈:

    1. 将警报标记为“有用”或“无用” 。

    2. 选择原因并添加注释。

      向 Microsoft 提供有关警报用途的反馈。

    提示

    我们会查看你的反馈,以改进算法并提供更好的安全警报。

结束教程

本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续学习后续的快速入门和教程,请让自动预配和 Azure Defender 保持启用状态。

如果不打算继续,或想要禁用以下功能之一,请执行以下操作:

  1. 返回到“安全中心”主菜单,选择“定价和设置”。
  2. 选择相关订阅。
  3. 若要降级,请选择“Azure Defender”。
  4. 若要禁用自动预配功能,请打开“数据收集”页,并将“自动预配”设置为“关” 。
  5. 选择“保存”。

备注

禁用自动预配不会从已有 Log Analytics 代理的 Azure VM 中删除该代理。 禁用自动设置会限制对资源的安全监视。

后续步骤

本教程介绍了响应安全警报时需使用的安全中心功能。 如需查看相关材料,请参阅: