Hantera säkerhets incidenter i Azure Security CenterManage security incidents in Azure Security Center

Sorterar och undersöker säkerhets aviseringar kan ta lång tid för även de mest erfarna säkerhetsanalytikerna.Triaging and investigating security alerts can be time consuming for even the most skilled security analysts. För många är det svårt att veta var du ska börja.For many, it's hard to know where to begin.

Security Center använder analyser för att ansluta informationen mellan olika säkerhets aviseringar.Security Center uses analytics to connect the information between distinct security alerts. Med dessa anslutningar kan Security Center tillhandahålla en enda vy över en angrepps kampanj och dess relaterade aviseringar för att hjälpa dig att förstå angriparens åtgärder och de resurser som påverkas.Using these connections, Security Center can provide a single view of an attack campaign and its related alerts to help you understand the attacker's actions and the affected resources.

Den här sidan innehåller en översikt över incidenter i Security Center.This page provides an overview of incidents in Security Center.

Vad är en säkerhetsincident?What is a security incident?

I Security Center är en säkerhetsincident en sammanställning av alla aviseringar för en resurs som överensstämmer med särskilda händelsekedjemönster.In Security Center, a security incident is an aggregation of all alerts for a resource that align with kill chain patterns. Incidenter visas på sidan säkerhets aviseringar .Incidents appear in the Security alerts page. Välj en incident om du vill visa relaterade aviseringar och få mer information.Select an incident to view the related alerts and get more information.

Hantera säkerhetsincidenterManaging security incidents

  1. På sidan aviseringar för Security Center använder du knappen Lägg till filter för att filtrera efter aviserings namn till aviserings namn säkerhets incidenten har identifierats på flera resurser.On Security Center's alerts page, use the Add filter button to filter by alert name to the alert name Security incident detected on multiple resources.

    Hitta incidenter på sidan aviseringar i Azure Security Center

    Listan är nu filtrerad så att endast incidenter visas.The list is now filtered to show only incidents. Observera att säkerhets incidenter har en annan ikon för säkerhets aviseringar.Notice that security incidents have a different icon to security alerts.

    Lista över incidenter på sidan aviseringar i Azure Security Center

  2. Om du vill visa information om en incident väljer du en i listan.To view details of an incident, select one from the list. En sido ruta visas med mer information om incidenten.A side pane appears with more details about the incident.

    I sidofönstret visas information om incidenten

  3. Om du vill visa mer information väljer du Visa fullständig information.To view more details, select View full details.

    Svara på säkerhets incidenter i Azure Security CenterRespond to security incidents in Azure Security Center

    Den vänstra rutan på sidan säkerhets incident visar information på hög nivå om säkerhets incidenten: rubrik, allvarlighets grad, status, aktivitets tid, beskrivning och den berörda resursen.The left pane of the security incident page shows high-level information about the security incident: title, severity, status, activity time, description, and the affected resource. Bredvid resursen som påverkas kan du se relevanta Azure-taggar.Next to the affected resource you can see the relevant Azure tags. Använd de här taggarna för att härleda organisationens organisatoriska kontext vid utredning av aviseringen.Use these tags to infer the organizational context of the resource when investigating the alert.

    Den högra rutan innehåller fliken aviseringar med de säkerhets aviseringar som korrelerats som en del av den här incidenten.The right pane includes the Alerts tab with the security alerts that were correlated as part of this incident.

    Tips

    Om du vill ha mer information om en speciell avisering väljer du den.For more information about a specific alert, select it.

    Fliken vidta åtgärd i incidentenIncident's take action tab

    Om du vill växla till fliken vidta åtgärd väljer du fliken eller knappen längst ned i den högra rutan.To switch to the Take action tab, select the tab or the button on the bottom of the right pane. Använd den här fliken för att vidta ytterligare åtgärder, till exempel:Use this tab to take further actions such as:

    • Minimera hotet – ger manuella reparations steg för den här säkerhets incidentenMitigate the threat - provides manual remediation steps for this security incident
    • Förhindra framtida attacker – ger säkerhets rekommendationer för att minska attack ytan, öka säkerheten position och förhindra framtida attackerPrevent future attacks - provides security recommendations to help reduce the attack surface, increase security posture, and prevent future attacks
    • Utlös automatiserat svar – ger möjlighet att utlösa en Logic app som ett svar på denna säkerhets incidentTrigger automated response - provides the option to trigger a Logic App as a response to this security incident
    • Ignorera liknande aviseringar – ger möjlighet att ignorera framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisationSuppress similar alerts - provides the option to suppress future alerts with similar characteristics if the alert isn’t relevant for your organization

    Anteckning

    Samma avisering kan finnas som en del av en incident, och visas som en fristående avisering.The same alert can exist as part of an incident, as well as to be visible as a standalone alert.

  4. Om du vill åtgärda hoten i incidenten följer du de åtgärds steg som medföljer varje avisering.To remediate the threats in the incident, follow the remediation steps provided with each alert.

Nästa stegNext steps

Den här sidan förklaras säkerhets incident funktionerna i Security Center.This page explained the security incident capabilities of Security Center. Relaterad information finns på följande sidor:For related information, see the following pages: