Szerkesztés

Biztonsági riasztások kezelése és megválaszolás

  • Használati útmutató

A Felhőhöz készült Microsoft Defender összegyűjti, elemzi és integrálja az Azure-, hibrid- és többfelhős erőforrásokból, a hálózatból és a csatlakoztatott partnermegoldásokból – például a tűzfaltól és végpontkezelőktől származó naplózási adatokat. Felhőhöz készült Defender a naplóadatok használatával észleli a valós fenyegetéseket, és csökkenti a hamis pozitív értékeket. A Felhőhöz készült Defenderben megtekinthető a rangsorolt biztonsági riasztások listája, ezenkívül a probléma gyors kivizsgálásához szükséges információk és a támadás elhárításához szükséges lépések.

Ez a bejegyzés bemutatja, hogyan tekintheti meg és dolgozhatja fel a Felhőhöz készült Defender riasztásait, és hogyan védheti meg az erőforrásait.

A biztonsági riasztások osztályozásakor a riasztások súlyossága alapján kell rangsorolni a riasztásokat, és először a magasabb súlyosságú riasztásokat kell kezelnie. További információ a riasztások besorolásáról.

Tipp.

Csatlakoztathat Felhőhöz készült Microsoft Defender SIEM-megoldásokhoz, például a Microsoft Sentinelhez, és felhasználhatja a választott eszköz riasztásait. További információ a riasztások SIEM-, SOAR- vagy IT Service Management-megoldásba való streameléséről.

Előfeltételek

Az előfeltételekről és követelményekről a támogatási mátrixok Felhőhöz készült Defender című témakörben olvashat.

Biztonsági riasztások kezelése

Tegye a következők egyikét:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.

    Képernyőkép a biztonsági riasztások oldaláról Felhőhöz készült Microsoft Defender áttekintő oldaláról.

  3. (Nem kötelező) Szűrje a riasztások listáját a megfelelő szűrők bármelyikével. A Szűrő hozzáadása lehetőséggel további szűrőket is hozzáadhat.

    Képernyőkép arról, hogyan vehet fel szűrőket a riasztások nézetbe.

    A lista a kiválasztott szűrőknek megfelelően frissül. Előfordulhat például, hogy az elmúlt 24 órában történt biztonsági riasztásokat szeretné kezelni, mert a rendszer esetleges megsértését vizsgálja.

Biztonsági riasztás vizsgálata

Minden riasztás a vizsgálat során segítséget nyújtó riasztással kapcsolatos információkat tartalmaz.

Biztonsági riasztás kivizsgálása:

  1. Válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.

    Képernyőkép egy biztonsági riasztás magas szintű részletes nézetéről.

  2. Tekintse át a biztonsági riasztással kapcsolatos magas szintű információkat.

    • Riasztás súlyossága, állapota és tevékenységideje
    • Az észlelt pontos tevékenységet leíró leírás
    • Érintett erőforrások
    • A MITRE ATT&CK mátrix tevékenységlánc-szándékának megölése (ha van)

  3. Válassza a Részletes információk megtekintése lehetőséget.

    A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.

    Képernyőkép a riasztások részletes lapjáról.

    A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:

    • Erőforrás-környezet vizsgálata – elküldi Az erőforrás tevékenységnaplóinak, amelyek támogatják a biztonsági riasztást
    • A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz
    • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez
    • Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként
    • Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

    Képernyőkép a Művelet végrehajtása lapon elérhető lehetőségekről.

    További részletekért forduljon az erőforrás tulajdonosához annak ellenőrzéséhez, hogy az észlelt tevékenység hamis pozitív-e. Emellett megvizsgálhatja a megtámadott erőforrás által létrehozott nyers naplókat is.

Egyszerre több biztonsági riasztás állapotának módosítása

A riasztások listája jelölőnégyzeteket tartalmaz, így egyszerre több riasztást is kezelhet. Osztályozási célokból például dönthet úgy, hogy egy adott erőforrás összes tájékoztató riasztását elveti.

  1. Szűrjön a tömegesen kezelni kívánt riasztások alapján.

    Ebben a példában az erőforrás ASC-AKS-CLOUD-TALK súlyosságú riasztásai Informational lesznek kiválasztva.

    Képernyőkép a riasztások szűréséről a kapcsolódó riasztások megjelenítéséhez.

  2. A jelölőnégyzetekkel jelölje ki a feldolgozandó riasztásokat.

    Ebben a példában az összes riasztás ki van jelölve. Az Állapot módosítása gomb már elérhető.

    Képernyőkép az összes, tömegesen kezelendő riasztás kiválasztásáról.

  3. A kívánt állapot beállításához használja az Állapot módosítása lehetőséget.

    Képernyőkép a biztonsági riasztások állapotlapról.

    Az aktuális lapon megjelenő riasztások állapota a kijelölt értékre módosult.

Válasz biztonsági riasztásra

A biztonsági riasztás vizsgálata után a riasztásra a Felhőhöz készült Microsoft Defender belülről válaszolhat.

Biztonsági riasztásra való reagálás:

  1. Nyissa meg a Művelet végrehajtása lapot az ajánlott válaszok megtekintéséhez.

    Képernyőkép a biztonsági riasztások Művelet lapról.

  2. A probléma megoldásához szükséges manuális vizsgálati lépésekért tekintse át a Fenyegetés elhárítása szakaszt.

  3. Az erőforrások megerősítéséhez és az ilyen jellegű jövőbeli támadások megelőzéséhez a jövőbeni támadások megelőzése szakaszban találja a biztonsági javaslatokat.

  4. Ha automatikus válaszlépésekkel szeretne logikai alkalmazást aktiválni, használja az Eseményindító automatikus válasz szakaszt, és válassza a Trigger logikai alkalmazás lehetőséget.

  5. Ha az észlelt tevékenység nem rosszindulatú, letilthatja az ilyen típusú jövőbeli riasztásokat a Hasonló riasztások letiltása szakaszban, és válassza a Letiltási szabály létrehozása lehetőséget.

  6. Válassza az E-mail-értesítések beállításainak konfigurálása lehetőséget, ha meg szeretné tekinteni, hogy ki kap e-mailt az előfizetés biztonsági riasztásaival kapcsolatban. Az e-mail-beállítások konfigurálásához lépjen kapcsolatba az előfizetés tulajdonosával.

  7. Amikor befejezi a riasztás vizsgálatát, és a megfelelő módon válaszolt, módosítsa az állapotot Elutasítva állapotra.

    Képernyőkép a riasztás állapot legördülő menüjéről.

    A rendszer eltávolítja a riasztást a fő riasztások listájából. A riasztások listaoldalának szűrőjével megtekintheti az összes elutasított állapotú riasztást .

  8. Javasoljuk, hogy küldjön visszajelzést a Riasztásról a Microsoftnak:

    1. A riasztás megjelölése hasznosként vagy nem hasznosként.
    2. Jelöljön ki egy okot, és adjon hozzá egy megjegyzést.

    Képernyőkép a Microsoftnak küldött visszajelzésről, amely lehetővé teszi a riasztások hasznosságának kiválasztását.

    Tipp.

    Az algoritmusok továbbfejlesztése és a jobb biztonsági riasztások biztosítása érdekében áttekintjük a visszajelzéseit.

    A riasztások különböző típusairól további információt a Biztonsági riasztások – referencia-útmutató című témakörben talál.

    A riasztások Felhőhöz készült Defender generálásának áttekintéséért lásd: Hogyan észleli és válaszol a Felhőhöz készült Microsoft Defender a fenyegetésekre.

    Az ügynök nélküli vizsgálat eredményeinek áttekintése

    Az ügynökalapú és az ügynök nélküli szkenner eredményei is megjelennek a Biztonsági riasztások lapon.

    Képernyőkép a biztonsági riasztások oldaláról, amely az ügynökalapú és az ügynök nélküli vizsgálat eredményeit is megjeleníti.

    Feljegyzés

    Ezen riasztások egyikének szervizelése a következő vizsgálat befejezéséig nem orvosolja a másik riasztást.

Kapcsolódó tartalom