raport analizy zagrożeń Microsoft Defender dla Chmury

raporty analizy zagrożeń Microsoft Defender dla Chmury mogą pomóc w dowiedzieć się więcej o zagrożeniu, które wyzwoliło alert zabezpieczeń.

Czym jest raport analizy zagrożeń?

Defender dla Chmury ochrona przed zagrożeniami działa przez monitorowanie informacji o zabezpieczeniach z zasobów platformy Azure, sieci i połączonych rozwiązań partnerskich. Analizuje ona te informacje, często zestawiając informacje z wielu źródeł, aby zidentyfikować zagrożenia. Aby uzyskać więcej informacji, zobacz Jak Microsoft Defender dla Chmury wykrywa zagrożenia i reaguje na nie.

Gdy Defender dla Chmury zidentyfikuje zagrożenie, wyzwala alert zabezpieczeń zawierający szczegółowe informacje dotyczące zdarzenia, w tym sugestie dotyczące korygowania. Aby pomóc zespołom reagowania na zdarzenia zbadać i skorygować zagrożenia, Defender dla Chmury udostępnia raporty analizy zagrożeń zawierające informacje o wykrytych zagrożeniach. Raport zawiera informacje, takie jak:

• tożsamość lub powiązania osoby atakującej (jeśli takie informacje są dostępne);
• cele osoby atakującej;
• bieżące i wcześniejsze kampanie ataków (jeśli takie informacje są dostępne);
• Taktyka, narzędzia i procedury osoby atakującej
• skojarzone wskaźniki naruszenia (IoC), np. adresy URL i skróty plików;
• wiktymologia, czyli informacje dotyczące branży i obszaru geograficznego, które mogą być pomocne w ustaleniu, czy zasoby na platformie Azure są zagrożone;
• informacje dotyczące ograniczania i usuwania zagrożeń.

Uwaga

Ilość informacji w poszczególnych raportach będzie różna. Poziom szczegółowości zależy od aktywności i powszechności złośliwego oprogramowania.

Defender dla Chmury ma trzy typy raportów zagrożeń, które mogą się różnić w zależności od ataku. Dostępne raporty:

• Raport grupy działań: zawiera szczegółowe informacje na temat osób atakujących, ich celów i taktyki.
• Raport kampanii: koncentruje się na szczegółach określonych kampanii ataków.
• Raport z podsumowaniem zagrożenia: obejmuje wszystkie elementy z poprzednich dwóch raportów.

Ten typ informacji jest przydatny podczas procesu reagowania na zdarzenia. Na przykład w przypadku trwającego dochodzenia w celu zrozumienia źródła ataku, motywacji osoby atakującej i czynności, które należy zrobić, aby rozwiązać ten problem w przyszłości.

Jak uzyskać dostęp do raportu analizy zagrożeń?

1. W menu Defender dla Chmury otwórz stronę Alerty zabezpieczeń.

2. Wybierz alert.

   Zostanie otwarta strona szczegółów alertów z bardziej szczegółowymi informacjami na temat alertu. Na przykład na stronie szczegółów alertu wykryto wskaźniki oprogramowania wymuszającego okup:

   

3. Wybierz link do raportu, a plik PDF zostanie otwarty w domyślnej przeglądarce.

   

   Opcjonalnie możesz pobrać raport PDF.

   Napiwek

   Ilość informacji dostępnych dla każdego alertu zabezpieczeń zależy od typu alertu.

Następne kroki

Na tej stronie wyjaśniono, jak otwierać raporty analizy zagrożeń podczas badania alertów zabezpieczeń. Aby uzyskać powiązane informacje, zobacz następujące strony:

• Zarządzanie alertami zabezpieczeń i reagowanie na nie w Microsoft Defender dla Chmury. Informacje na temat sposobu zarządzania alertami zabezpieczeń i reagowania na nie.
• Obsługa zdarzeń zabezpieczeń w Microsoft Defender dla Chmury