在 Azure 資訊安全中心中管理安全性事件

分類和調查安全性警示可能相當耗時,甚至是最具技能的安全性分析師。 對許多人而言,很難知道要從哪裡著手。

資訊安全中心會使用 分析 來連接不同 安全性警示之間的資訊。 使用這些連線,資訊安全中心可以提供攻擊活動的單一觀點,以及其相關警示,協助您瞭解攻擊者的動作和受影響的資源。

本頁提供安全性中心內事件的總覽。

什麼是安全性事件?

在資訊安全中心內,安全性事件是符合攻擊鏈模式之資源的所有警示彙總。 事件會出現在 [ 安全性警示 ] 頁面中。 選取事件以查看相關警示,並取得詳細資訊。

管理安全性事件

  1. 在資訊安全中心的 [警示] 頁面上,使用 [ 新增篩選 ] 按鈕,依警示名稱篩選 在多個資源上 偵測到的警示名稱安全性事件。

    在 Azure 資訊安全中心中的 [警示] 頁面上尋找事件

    現在清單會篩選為只顯示事件。 請注意,安全性事件的安全性警示有不同的圖示。

    Azure 資訊安全中心中 [警示] 頁面上的事件清單

  2. 若要查看事件的詳細資料,請從清單中選取一個。 側邊窗格隨即出現,並提供更多有關事件的詳細資料。

    顯示事件詳細資料的側邊窗格

  3. 若要查看更多詳細資料,請選取 [ 視圖完整詳細資料]。

    回應 Azure 資訊安全中心中的安全性事件

    [安全性事件] 頁面的左窗格會顯示有關安全性事件的高階資訊: [標題]、[嚴重性]、[狀態]、[啟用時間]、[描述] 和 [受影響的資源]。 在受影響的資源旁,您可以看到相關的 Azure 標記。 調查警示時,請使用這些標記來推斷資源的組織內容。

    右窗格包含 [ 警示 ] 索引標籤,其中包含在此事件中相互關聯的安全性警示。

    提示

    如需特定警示的詳細資訊,請加以選取。

    事件的 [採取動作] 索引標籤

    若要切換到 [ 執行動作 ] 索引標籤,請選取右窗格底部的索引標籤或按鈕。 使用此索引標籤可採取進一步的動作,例如:

    • 減輕威脅 -為此安全性事件提供手動補救步驟
    • 預防未來的攻擊 -提供安全性建議,以協助降低攻擊面、提高安全性狀態,以及防止未來的攻擊
    • 觸發程式自動回應 -提供可觸發邏輯應用程式以回應此安全性事件的選項
    • 隱藏類似警示 -提供選項,以在警示與您的組織不相關時隱藏未來具有類似特性的警示

    注意

    相同的警示可以作為事件的一部分存在,也可以顯示為獨立警示。

  4. 若要修復事件中的威脅,請遵循每個警示所提供的補救步驟。

下一步

本頁面說明了安全性中心的安全性事件功能。 如需相關資訊,請參閱下列頁面: