Управление оповещениями системы безопасности и реагирование на них

  • Статья

Defender для облака собирает, анализирует и объединяет данные журналов, поступающие от ресурсов Azure, гибридных и многооблачных ресурсов, сети и подключенных решений партнеров (например, брандмауэров и агентов конечных точек). Defender для облака использует данные журналов для обнаружения реальных угроз и сокращения количества ложноположительных результатов. Список приоритетных оповещений системы безопасности отображается в Defender для облака вместе со сведениями, необходимыми для быстрого изучения проблемы и принятия мер по устранению последствий атаки.

В этой статье объясняется, как просматривать оповещения Defender для облака, реагировать на них и защищать ресурсы.

При выполнении оповещений системы безопасности следует определять приоритеты оповещений на основе их серьезности, чтобы сначала устранять более высокие уровни серьезности. Узнайте больше о классификации оповещений.

Совет

Вы можете подключить Microsoft Defender для облака к решениям SIEM, включая Microsoft Sentinel, и использовать оповещения из выбранного средства. Узнайте больше, как передавать оповещения в решение SIEM, SOAR или ИТ-службы управления.

Управление оповещениями системы безопасности

  1. Войдите на портал Azure.

  2. Перейдите Microsoft Defender для облака>Оповещения системы безопасности.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (Необязательно) Отфильтруйте список оповещений с помощью любого из соответствующих фильтров. Вы можете добавить дополнительные фильтры с помощью параметра "Добавить фильтр ".

    Screenshot that shows you how to add filters to the alerts view.

    Список обновляется в соответствии с выбранными фильтрами. Например, вы можете обратиться к оповещениям системы безопасности, которые произошли за последние 24 часа, так как вы расследуете потенциальное нарушение системы.

Исследование оповещения системы безопасности

Каждое оповещение содержит сведения об оповещении, которое помогает вам в расследовании.

Чтобы изучить оповещение системы безопасности, выполните приведенные действия.

  1. Выберите оповещение. Откроется боковая область с описанием предупреждения и всеми затронутыми ресурсами.

    Screenshot of the high-level details view of a security alert.

  2. Просмотрите общие сведения о оповещении системы безопасности.

    • Серьезность, состояние и время действия оповещения
    • Описание, объясняющее точное обнаруженное действие
    • Затронутые ресурсы
    • Убить намерение цепочки действий в матрице MITRE ATT&CK (если применимо)

  3. Выберите элемент Просмотр полных сведений.

    На правой панели есть вкладка Сведения об оповещении, содержащая дополнительные сведения об оповещении для анализа проблемы: IP-адреса, файлы, процессы и многое другое.

    Screenshot that shows the full details page for an alert.

    Также на правой панели находится вкладка Принять меры. Используйте эту вкладку, чтобы предпринять дальнейшие действия в отношении оповещения системы безопасности. Такие действия, как:

    • Проверка контекста ресурса — отправляет вас в журналы действий ресурса, поддерживающие оповещение системы безопасности.
    • Устранение угрозы — здесь описаны действия по устранению проблемы, выполняемые вручную для этого оповещения системы безопасности.
    • Предотвращение будущих атак — рекомендации направленные на то, чтобы уменьшить число возможных направлений атак, повысить уровень безопасности и тем самым улучшить защиту от атак в будущем.
    • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности.
    • Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации

    Screenshot that shows the options available in the Take action tab.

Для получения дополнительных сведений обратитесь к владельцу ресурса, чтобы проверить, является ли обнаруженное действие ложным срабатыванием. Вы также можете исследовать необработанные журналы, созданные атакованным ресурсом.

Одновременное изменение состояния для нескольких оповещений системы безопасности

Список оповещений отображает флажки, которые позволяют одновременно работать с несколькими оповещениями. Например, для целей обучения вы можете отключить все информационные оповещения для определенного ресурса.

  1. Примените фильтр, чтобы отобрать те предупреждения, которые вы хотите обрабатывать вместе.

    В этом примере выбраны оповещения с серьезностью Informational для ресурса ASC-AKS-CLOUD-TALK .

    Screenshot that shows how to filter alerts to show related alerts.

  2. Используйте проверка boxes для выбора оповещений, которые нужно обработать.

    В этом примере выбраны все оповещения. Теперь доступна кнопка "Изменить состояние ".

    Screenshot of selecting all alerts to handle in bulk.

  3. Используйте действие Изменить состояние, чтобы задать требуемое состояние.

    Screenshot of the security alerts status tab.

Оповещения, отображаемые на текущей странице, изменили свое состояние на выбранное значение.

Реагирование на оповещения системы безопасности

После изучения оповещения системы безопасности вы можете ответить на оповещение из Microsoft Defender для облака.

Чтобы ответить на оповещение системы безопасности, выполните приведенные действия.

  1. Откройте вкладку Выполнить действие, чтобы просмотреть рекомендуемые варианты.

    Screenshot of the security alerts take action tab.

  2. Ознакомьтесь с разделом Устранение угрозы, где приведены выполняемые вручную действия для исследования, необходимые для устранения проблемы.

  3. Чтобы защитить ресурсы и исключить дальнейшие атаки такого рода, примените рекомендации по обеспечению безопасности из раздела Предотвращение будущих атак.

  4. Чтобы активировать приложение логики с автоматическими шагами ответа, используйте раздел "Триггер автоматического ответа " и выберите "Активировать приложение логики".

  5. Если обнаруженное действие не является вредоносным, вы можете отключить будущие оповещения этого типа с помощью раздела "Подавление аналогичных оповещений " и выбрать команду "Создать правило подавления".

  6. Выберите "Настройка параметров уведомлений электронной почты", чтобы просмотреть, кто получает сообщения электронной почты относительно оповещений системы безопасности в этой подписке. Чтобы настроить параметры электронной почты, обратитесь к владельцу подписки.

  7. Когда вы завершите расследование оповещения и ответили соответствующим образом, измените состояние на "Отклонено".

    Screenshot of the alert's status drop down menu

    Оповещение удаляется из основного списка оповещений. Для просмотра всех оповещений с состоянием Закрыто можно воспользоваться фильтром на странице списка оповещений.

  8. Мы рекомендуем оставить отзыв об оповещении корпорации Майкрософт:

    1. Отметьте оповещение как Полезное или Бесполезное.

    2. Выберите причину и добавьте комментарий.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    Совет

    Мы рассмотрим ваш отзыв, чтобы улучшить имеющиеся алгоритмы и повысить информативность оповещений системы безопасности.

Дополнительные сведения о различных типах оповещений см. в статье Оповещения системы безопасности — справочное руководство.

Общие сведения о том, как Defender для облака создает оповещения и реагирует на угрозы, см. в этой статье.

Просмотрите результаты проверки без агента

Результаты проверки на основе агента и без агента отображаются на странице оповещений системы безопасности.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

Примечание.

Исправление одного из этих оповещений не исправит другое оповещение до завершения следующей проверки.

См. также

В этом документе приведены сведения о просмотре оповещений системы безопасности. Материалы, относящиеся к теме, см. в следующих статьях: