Hantera och åtgärda säkerhetsaviseringar

  • Artikel

Microsoft Defender för molnet samlar in, analyserar och integrerar loggdata från Azure-resurser, hybridresurser och resurser för flera moln, nätverket och anslutna partnerlösningar – såsom brandväggar och slutpunktsagenter. Defender för molnet använder loggdata för att identifiera verkliga hot och minska falska positiva identifieringar. En lista över prioriterade säkerhetsvarningar visas i Defender för molnet tillsammans med den information som du behöver för att snabbt undersöka problemet, samt rekommendationer för hur du åtgärdar ett angrepp.

Den här artikeln visar hur du visar och bearbetar aviseringar för Defender för molnet och skyddar dina resurser.

När du sorterar säkerhetsaviseringar bör du prioritera aviseringar baserat på deras allvarlighetsgrad för aviseringar och först åtgärda aviseringar med högre allvarlighetsgrad. Läs mer om hur aviseringar klassificeras.

Dricks

Du kan ansluta Microsoft Defender för molnet till SIEM-lösningar, inklusive Microsoft Sentinel, och använda aviseringarna från valfritt verktyg. Läs mer om hur du strömmar aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.

Hantera säkerhetsaviseringar

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för molnet> Säkerhetsaviseringar.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (Valfritt) Filtrera aviseringslistan med något av de relevanta filtren. Du kan lägga till extra filter med alternativet Lägg till filter .

    Screenshot that shows you how to add filters to the alerts view.

    Listan uppdateras enligt de filter som valts. Du kanske till exempel vill hantera säkerhetsaviseringar som har inträffat under de senaste 24 timmarna eftersom du undersöker ett potentiellt intrång i systemet.

Undersök säkerhetsaviseringar

Varje avisering innehåller information om aviseringen som hjälper dig i din undersökning.

Så här undersöker du en säkerhetsavisering:

  1. Välj en avisering. En sidoruta öppnas och visar en beskrivning av aviseringen och alla berörda resurser.

    Screenshot of the high-level details view of a security alert.

  2. Granska den övergripande informationen om säkerhetsaviseringen.

    • Allvarlighetsgrad, status och aktivitetstid för aviseringar
    • Beskrivning som förklarar den exakta aktivitet som identifierades
    • Berörda resurser
    • Avsikten att avsluta kedjan för aktiviteten i MITRE ATT&CK-matrisen (om tillämpligt)

  3. Välj Visa fullständig information.

    Det högra fönstret innehåller fliken Aviseringsinformation som innehåller ytterligare information om aviseringen som hjälper dig att undersöka problemet: IP-adresser, filer, processer med mera.

    Screenshot that shows the full details page for an alert.

    I den högra rutan finns även fliken Vidta åtgärd . Använd den här fliken om du vill vidta ytterligare åtgärder när det gäller säkerhetsaviseringen. Åtgärder som:

    • Granska resurskontext – skickar dig till resursens aktivitetsloggar som stöder säkerhetsaviseringen
    • Åtgärda hotet – tillhandahåller manuella reparationssteg för den här säkerhetsaviseringen
    • Förhindra framtida attacker – ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och därmed förhindra framtida attacker
    • Utlösa automatiserat svar – ger möjlighet att utlösa en logikapp som ett svar på den här säkerhetsaviseringen
    • Ignorera liknande aviseringar – ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation

    Screenshot that shows the options available in the Take action tab.

Om du vill ha mer information kontaktar du resursägaren för att kontrollera om den identifierade aktiviteten är en falsk positiv identifiering. Du kan också undersöka de rådataloggar som genereras av den angripna resursen.

Ändra status för flera säkerhetsaviseringar samtidigt

Listan med aviseringar innehåller kryssrutor så att du kan hantera flera aviseringar samtidigt. Du kan till exempel välja att stänga alla informationsaviseringar för en viss resurs i trevande syften.

  1. Filtrera efter de aviseringar som du vill hantera i grupp.

    I det här exemplet väljs aviseringarna med allvarlighetsgraden Informational för resursen ASC-AKS-CLOUD-TALK .

    Screenshot that shows how to filter alerts to show related alerts.

  2. Använd kryssrutorna för att välja de aviseringar som ska bearbetas.

    I det här exemplet är alla aviseringar markerade. Knappen Ändra status är nu tillgänglig.

    Screenshot of selecting all alerts to handle in bulk.

  3. Använd alternativen Ändra status för att ange önskad status.

    Screenshot of the security alerts status tab.

Aviseringarna som visas på den aktuella sidan har statusen ändrad till det valda värdet.

Åtgärda säkerhetsaviseringar

När du har undersökt en säkerhetsavisering kan du svara på aviseringen inifrån Microsoft Defender för molnet.

Så här svarar du på en säkerhetsavisering:

  1. Öppna fliken Vidta åtgärd för att se de rekommenderade svaren.

    Screenshot of the security alerts take action tab.

  2. I avsnittet Åtgärda hot finns de manuella undersökningssteg som krävs för att åtgärda problemet.

  3. Om du vill förstärka dina resurser och förhindra framtida attacker av det här slaget kan du åtgärda säkerhetsrekommendationerna i avsnittet Förhindra framtida attacker .

  4. Om du vill utlösa en logikapp med automatiserade svarssteg använder du avsnittet Utlösa automatiserat svar och väljer Utlösa logikapp.

  5. Om den identifierade aktiviteten inte är skadlig kan du förhindra framtida aviseringar av den här typen med hjälp av avsnittet Ignorera liknande aviseringar och välja Skapa undertryckningsregel.

  6. Välj Konfigurera e-postaviseringsinställningar för att visa vem som tar emot e-postmeddelanden om säkerhetsaviseringar för den här prenumerationen. Kontakta prenumerationsägaren för att konfigurera e-postinställningarna.

  7. När du har slutfört undersökningen av aviseringen och svarat på lämpligt sätt ändrar du statusen till Avvisad.

    Screenshot of the alert's status drop down menu

    Aviseringen tas bort från huvudaviseringslistan. Du kan använda filtret från sidan med aviseringslistan för att visa alla aviseringar med statusen Avvisad .

  8. Vi rekommenderar att du ger feedback om aviseringen till Microsoft:

    1. Markera aviseringen som Användbar eller Inte användbar.

    2. Välj en orsak och lägg till en kommentar.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    Dricks

    Vi granskar din feedback för att förbättra våra algoritmer och ge bättre säkerhetsaviseringar.

Mer information om de olika typerna av aviseringar finns i Säkerhetsaviseringar – en referensguide.

En översikt över hur Defender för molnet genererar aviseringar finns i Hur Microsoft Defender för molnet identifierar och svarar på hot.

Granska resultatet av den agentlösa genomsökningen

Resultat för både den agentbaserade och agentlösa skannern visas på sidan Säkerhetsaviseringar.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

Kommentar

Om du åtgärdar en av dessa aviseringar åtgärdas inte den andra aviseringen förrän nästa genomsökning har slutförts.

Se även

I det här dokumentet har du lärt dig hur du visar säkerhetsaviseringar. Se följande sidor för relaterat material: