Hantera säkerhetsincidenter i Microsoft Defender för molnet

  • Artikel

Att prioritera och undersöka säkerhetsaviseringar kan vara tidskrävande för även de mest skickliga säkerhetsanalytikerna. För många är det svårt att veta var man ska börja.

Defender för molnet använder analys för att ansluta informationen mellan olika säkerhetsaviseringar. Med hjälp av dessa anslutningar kan Defender för molnet tillhandahålla en enda vy över en attackkampanj och dess relaterade aviseringar som hjälper dig att förstå angriparens åtgärder och de berörda resurserna.

Den här sidan innehåller en översikt över incidenter i Defender för molnet.

Vad är en säkerhetsincident?

I Defender för molnet är en säkerhetsincident en aggregering av alla aviseringar för en resurs som överensstämmer med kill chain-mönster . Incidenter visas på sidan Säkerhetsaviseringar . Välj en incident för att visa relaterade aviseringar och få mer information.

Hantera säkerhetsincidenter

  1. På sidan Säkerhetsaviseringar i Defender för molnet använder du knappen Lägg till filter för att filtrera efter aviseringsnamn till aviseringsnamnet Säkerhetsincident som identifierats på flera resurser.

    Hitta incidenterna på sidan säkerhetsaviseringar i Microsoft Defender för molnet.

    Listan filtreras nu för att endast visa incidenter. Observera att säkerhetsincidenter har en annan ikon än säkerhetsaviseringar.

    Lista över incidenter på sidan säkerhetsaviseringar i Microsoft Defender för molnet.

  2. Om du vill visa information om en incident väljer du en i listan. En sidoruta visas med mer information om incidenten.

    Sidofönster som visar information om incidenten.

  3. Om du vill visa mer information väljer du Visa fullständig information.

    Svara på säkerhetsincidenter i Microsoft Defender för molnet.

    Den vänstra rutan på sidan säkerhetsincident visar information på hög nivå om säkerhetsincidenten: rubrik, allvarlighetsgrad, status, aktivitetstid, beskrivning och den berörda resursen. Bredvid den berörda resursen kan du se relevanta Azure-taggar. Använd dessa taggar för att härleda resursens organisationskontext när du undersöker aviseringen.

    Den högra rutan innehåller fliken Aviseringar med säkerhetsaviseringar som korrelerades som en del av den här incidenten.

    Tips

    Om du vill ha mer information om en viss avisering väljer du den.

    Incidentens åtgärdsflik.

    Om du vill växla till fliken Vidta åtgärd väljer du fliken eller knappen längst ned i den högra rutan. Använd den här fliken om du vill vidta ytterligare åtgärder, till exempel:

    • Åtgärda hotet – innehåller manuella reparationssteg för den här säkerhetsincidenten
    • Förhindra framtida attacker – ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och förhindra framtida attacker
    • Utlösa automatiserat svar – ger möjlighet att utlösa en logikapp som svar på den här säkerhetsincidenten
    • Ignorera liknande aviseringar – ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation

    Anteckning

    Samma avisering kan finnas som en del av en incident och vara synlig som en fristående avisering.

  4. Följ reparationsstegen för varje avisering för att åtgärda hoten i incidenten.

Nästa steg

På den här sidan förklaras funktionerna för säkerhetsincidenter i Defender för molnet. Relaterad information finns på följande sidor: