Självstudier: Reagera på säkerhetsincidenterTutorial: Respond to security incidents

Security Center analyserar kontinuerligt dina hybridmolnarbetsbelastningar med avancerad analys och hotinformation för att varna dig om skadlig aktivitet.Security Center continuously analyzes your hybrid cloud workloads using advanced analytics and threat intelligence to alert you to malicious activity. Dessutom kan du integrera varningar från andra säkerhetsprodukter och -tjänster i Security Center och skapa anpassade varningar utifrån dina egna indikatorer eller intelligenskällor.In addition, you can integrate alerts from other security products and services into Security Center, and create custom alerts based on your own indicators or intelligence sources. När en varning har genererats krävs snabba åtgärder för att undersöka och åtgärda.Once an alert is generated, swift action is needed to investigate and remediate. I den här självstudien får du lära dig hur man:In this tutorial, you will learn how to:

  • Prioritera säkerhetsvarningarTriage security alerts
  • Undersök ytterligare för att fastställa rotorsaken och omfånget för en säkerhetsincidentInvestigate further to determine the root cause and scope of a security incident
  • Sök säkerhetsdata för enklare undersökningSearch security data to aid in investigation

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.If you don’t have an Azure subscription, create a free account before you begin.

Nödvändiga komponenterPrerequisites

För att gå igenom funktionerna i den här självstudien måste du ha standardnivån i Security Center.To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Du kan prova Security Center Standard utan kostnad.You can try Security Center Standard at no cost. Mer information finns på prissidan.To learn more, see the pricing page. Snabbstarten för att registrera Azure-prenumerationen till Security Center Standard vägleder dig genom uppgraderingen till Standard.The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

Prioritera säkerhetsvarningarTriage security alerts

Security Center tillhandahåller en enhetlig vy över alla säkerhetsvarningar.Security Center provides a unified view of all security alerts. Säkerhetsvarningar rankas beroende på allvarlighetsgrad och när det är möjligt kombineras relaterade varningar till en säkerhetsincident.Security alerts are ranked based on the severity and when possible related alerts are combined into a security incident. När du sorterar varningar och hot ska du:When triaging alerts and incidents, you should:

  • Avvisa aviseringar för vilka ingen ytterligare åtgärd krävs, till exempel om aviseringen är ett falsklarmDismiss alerts for which no additional action is required, for example if the alert is a false positive
  • Vidta åtgärder för kända attacker, till exempel blockering av nätverkstrafik från en skadlig IP-adressAct to remediate known attacks, for example blocking network traffic from a malicious IP address
  • Fastställa aviseringar som kräver ytterligare undersökningDetermine alerts that require further investigation
  1. På Security Center-huvudmenyn under IDENTIFIERING väljer du Säkerhetsvarningar:On the Security Center main menu under DETECTION, select Security alerts:

    Säkerhetsaviseringar

  2. I listan över varningar klickar du på en säkerhetsincident för att läsa mer om incidenten. En säkerhetsincident är en samling varningar.In the list of alerts, click on a security incident, which is a collection of alerts, to learn more about this incident. Säkerhetsincident har identifierats öppnas.Security incident detected opens.

    Säkerhetsincident

  3. På den här skärmen ser du en beskrivning av säkerhetsincidenten överst och listan med varningar som ingår i incidenten.On this screen you have the security incident description on top, and the list of alerts that are part of this incident. Klicka på den varning du vill titta närmare på för att visa mer information.Click on the alert that you want to investigate further to obtain more information.

    Säkerhetsincident

    Typen av varning kan variera. Läs Förstå säkerhetsaviseringar i Azure Security Center för mer information om typen av varning och potentiella åtgärder.The type of alert can vary, read Understanding security alerts in Azure Security Center for more details about the type of alert, and potential remediation steps. För varningar som kan avfärdas säkert kan du högerklicka på varningen och välja alternativet Stäng:For alerts that can be safely dismissed, you can right click on the alert and select the option Dismiss:

    Varning

  4. Om rotorsaken och omfånget för den skadliga aktiviteten är okänd fortsätter du till nästa steg för att undersöka närmare.If the root cause and scope of the malicious activity is unknown, proceed to the next step to investigate further.

Undersöka en varning eller ett hotInvestigate an alert or incident

  1. På sidan Säkerhetsvarning klickar du på knappen Starta undersökning (om du redan har börjat ändras namnet till Fortsätt undersökningen).On the Security alert page, click Start investigation button (if you already started, the name changes to Continue investigation).

    Undersökning

    Undersökningskartan är en grafisk representation av de entiteter som är anslutna till säkerhetsvarningen eller incidenten.The investigation map is a graphical representation of the entities that are connected to this security alert or incident. Om du klickar på en entitet på kartan visas information om den entiteten, som nya entiteter, och kartan expanderar.By clicking on an entity in the map, the information about that entity will show new entities, and the map expands. Egenskaperna för entiteten som är vald på kartan är markerade i rutan på höger sida.The entity that is selected in the map has its properties highlighted in the pane on the right side of the page. Informationen som är tillgänglig på varje flik varierar beroende på vald entitet.The information available on each tab will vary according to the selected entity. Under undersökningsprocessen bör du granska all relevant information för att bättre förstå angriparens tillvägagångssätt.During the investigation process, review all relevant information to better understand the attacker’s movement.

  2. Om du behöver mer bevis eller om du ytterligare måste undersöka entiteter som hittades vid undersökningen fortsätter du till nästa steg.If you need more evidence, or must further investigate entities that were found during the investigation, proceed to the next step.

Söka efter data för undersökningSearch data for investigation

Du kan använda sökfunktioner i Security Center för att hitta mer bevis för upptäckta system och mer information om entiteterna som är en del av undersökningen.You can use search capabilities in Security Center to find more evidence of compromised systems, and more details about the entities that are part of the investigation.

Om du vill göra en sökning öppnar du instrumentpanelen för Security Center, klickar på Sök i det vänstra navigeringsfönstret, väljer arbetsytan som innehåller entiteterna du vill söka, skriver sökfrågan och klickar på sökknappen.To perform a search open the Security Center dashboard, click Search in the left navigation pane, select the workspace that contains the entities that you want to search, type the search query, and click the search button.

Rensa resurserClean up resources

De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten.Other quickstarts and tutorials in this collection build upon this quickstart. Om du tänker fortsätta med att arbeta med efterföljande snabbstarter och självstudier ska du fortsätta att köra Standard-nivån och ha automatisk etablering aktiverad.If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. Om du inte tänker fortsätta eller vill återgå till den kostnadsfria nivån:If you do not plan to continue or wish to return to the Free tier:

  1. Återgå till huvudmenyn i Security Center och välj Säkerhetsprincip.Return to the Security Center main menu and select Security Policy.
  2. Välj den prenumeration eller princip du vill ska återgå till den kostnadsfria nivån.Select the subscription or policy that you want to return to Free. Säkerhetsprincip öppnas.Security policy opens.
  3. Under PRINCIPKOMPONENTER väljer du Prisnivå.Under POLICY COMPONENTS, select Pricing tier.
  4. Välj Kostnadsfri om du vill byta prenumeration från Standard-nivån till den kostnadsfria nivån.Select Free to change subscription from Standard tier to Free tier.
  5. Välj Spara.Select Save.

Om du vill avaktivera automatisk etablering:If you wish to disable automatic provisioning:

  1. Återgå till huvudmenyn i Security Center och välj Säkerhetsprincip.Return to the Security Center main menu and select Security policy.
  2. Välj den prenumeration du vill avaktivera automatisk etablering för.Select the subscription that you wish to disable automatic provisioning.
  3. Under Säkerhetsprincip – Datainsamling väljer du Av under Registrering för att inaktivera automatisk etablering.Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. Välj Spara.Select Save.

Anteckning

Inaktivering av automatisk etablering tar inte bort Microsoft Monitoring Agent från virtuella Azure-datorer där agenten har etablerats.Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. Inaktivering av automatisk etablering begränsar säkerhetsövervakningen för dina resurser.Disabling automatic provisioning limits security monitoring for your resources.

Nästa stegNext steps

I den här självstudien har du lärt dig om vilka funktioner i Security Center som ska användas när du åtgärdar en säkerhetsincident, som:In this tutorial, you learned about Security Center features to be used when responding to a security incident, such as:

  • Säkerhetsincident som är en sammansättning av relaterade varningar för en resursSecurity incident which is an aggregation of related alerts for a resource
  • Undersökningskartan är en grafisk representation av de entiteter som är anslutna till en säkerhetsvarning eller incidentenInvestigation map which is a graphical representation of the entities connected to a security alert or incident
  • Sökfunktioner för att hitta fler bevis på upptäckta systemSearch capabilities to find more evidence of compromised systems

Om du vill läsa mer om undersökningsfunktionerna i Security Center går du till:To learn more about Security Center's investigation feature see: