你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:会审、调查和响应安全警报
Microsoft Defender for Cloud 使用高级分析和威胁情报来持续分析混合云工作负载,在云资源中出现潜在恶意活动时发出警报。 你还可以将其他安全产品和服务中的警报集成到 Defender for Cloud。 发出警报后,需采取快速行动进行调查和修正潜在安全问题。
在本教程中,您将学习如何执行以下操作:
- 会审安全警报
- 调查安全警报以确定根本原因
- 响应安全警报并缓解该根本原因
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
先决条件
若要逐步执行本教程中介绍的功能,必须启用 Defender for Cloud 的增强的安全性功能。 可以免费试用。 若要了解详细信息,请参阅定价页。 可通过快速入门内容 Defender for Cloud 入门了解如何升级。
会审安全警报
Defender for Cloud 提供所有安全警报的统一视图。 安全警报根据检测到的活动的严重性进行排序。
从“安全警报”页中会审警报:
使用此页面查看环境中活动的安全警报,以确定要首先调查哪个警报。
会审安全警报时,根据警报严重性确定警报优先级,方法是先对优先级较高的警报进行寻址。 有关警报严重性的详细信息,请参阅如何对警报进行分类?
提示
可以将 Microsoft Defender for Cloud 连接到包括 Microsoft Sentinel 在内的大多数流行的 SIEM 解决方案,并从你选择的工具中使用警报。 有关详细信息,请参阅将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案。
调查安全警报
确定要首先调查的警报后:
选择所需的警报。
从“警报概述”页中,选择要首先调查的资源。
从左窗格开始调查,该窗格显示有关安全警报的基本信息。
此窗格显示:
- 警报严重性、状态和活动时间
- 解释检测到的精确活动的说明
- 受影响的资源
- 基于 MITRE ATT&CK 矩阵的活动的终止链意向
有关有助于调查可疑活动的更多详细信息,请查看“警报详细信息”选项卡。
查看完此页上的信息后,你可能有足够的时间来继续响应。 如果需要更多详细信息,请执行以下操作:
- 联系资源所有者,以验证检测到的活动是否为误报。
- 调查受攻击资源生成的原始日志
响应安全警报
调查安全警报并了解其范围后,可以从 Microsoft Defender for Cloud 中响应警报:
打开“执行操作”选项卡以查看建议的响应。
查看“缓解威胁”部分,了解缓解该问题所需的手动调查步骤。
若要强化资源并防止将来出现此类攻击,请在“防止将来的攻击”部分中修正安全建议。
若要使用自动响应步骤触发逻辑应用,请使用“触发自动响应”部分。
如果检测到的活动不是恶意行为,则可以使用“禁止类似警报”部分来禁止以后显示此类警报。
如果已完成对警报的调查,并以适当的方式做出了响应,请将状态更改为“已解除”。
这会从主警报列表中删除该警报。 可以使用“警报列表”页中的筛选器查看所有处于“已解除”状态的警报。
建议你向 Microsoft 提供有关警报的反馈:
将警报标记为“有用”或“无用” 。
选择原因并添加注释。
提示
我们会查看你的反馈,以改进算法并提供更好的安全警报。
结束教程
本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续学习后续的快速入门和教程,请让自动预配和 Defender for Cloud 的增强的安全性功能保持启用状态。
如果不打算继续,或想要禁用以下功能之一,请执行以下操作:
在 Defender for Cloud 的菜单中,打开“环境设置”。
选择相关订阅。
选择“Defender 计划”并选择“关闭增强的安全性” 。
选择“保存”。
注意
禁用增强的安全性功能后(无论是禁用单个计划还是一次禁用所有计划),数据收集可能会在短时间内继续。
在 Defender for Cloud 的菜单中,打开“环境设置”。
选择相关订阅。
选择“自动预配”。
禁用相关的扩展。
注意
禁用自动预配不会从已有 Log Analytics 代理的 Azure VM 中删除该代理。 禁用自动设置会限制对资源的安全监视。
后续步骤
本教程介绍了响应安全警报时需使用的 Defender for Cloud 功能。 如需查看相关材料,请参阅: