Управление инцидентами безопасности в Microsoft Defender для облака
Рассмотрение и исследование оповещений системы безопасности может занять много времени даже у самых опытных аналитиков в сфере безопасности. Во многих случаях трудно понять, с чего начать.
Defender для облака использует аналитику для подключения данных между отдельными оповещениями системы безопасности. Используя эти подключения, Defender для облака может предоставить единое представление кампании атаки и связанные с ней оповещения, которые помогут понять, какие действия выполнили злоумышленники и какие затронуты ресурсы.
На этой странице представлен обзор инцидентов в Defender для облака.
Что такое инцидент?
Инцидент безопасности в Defender для облака — это совокупность всех оповещений для ресурса, сопоставимых с шаблонами цепочки нарушения безопасности. Инциденты отображаются на странице Оповещения системы безопасности. Выберите инцидент, чтобы просмотреть связанные оповещения и получить дополнительные сведения.
Управление инцидентами
На странице оповещений системы безопасности Defender для облака используйте кнопку "Добавить фильтр", чтобы отфильтровать по имени оповещения в инциденте безопасности оповещений, обнаруженном на нескольких ресурсах.
Теперь список отфильтрован, и в нем указаны только инциденты. Обратите внимание, что инциденты безопасности имеют значок, который отличается от оповещений системы безопасности.
Чтобы просмотреть сведения об инциденте, нужный инцидент в списке. Откроется боковая область с дополнительными сведениями об инциденте.
Чтобы просмотреть дополнительные сведения, выберите Просмотр полных сведений.
На левой панели страницы инцидента безопасности отображаются сведения высокого уровня об инциденте безопасности: заголовок, серьезность, состояние, время действия, описание и затронутый ресурс. Рядом с затронутым ресурсом можно увидеть соответствующие теги Azure. Используйте их, чтобы вывести организационный контекст ресурса при исследовании предупреждения.
Правая панель содержит вкладку предупреждения с оповещениями системы безопасности, которые были связаны в рамках этого инцидента.
Совет
Чтобы получить дополнительные сведения о конкретном оповещении, выберите его.
Чтобы перейти на вкладку Выполнить действие, выберите ее или нажмите кнопку в нижней части правой панели. Используйте эту вкладку, чтобы выполнить следующие действия:
- Устранение угрозы — здесь приведены действия по устранению проблемы, выполняемые вручную для этого инцидента системы безопасности
- Предотвращение атак в будущем — предоставляет рекомендации по обеспечению безопасности для уменьшения уязвимой зоны, повышения безопасности и предотвращения атак в будущем
- Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности
- Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации
Примечание.
Одно и то же оповещение может существовать как часть инцидента, а также отображаться в виде автономного оповещения.
Чтобы устранить угрозы в инциденте, выполните действия по исправлению, предоставленные вместе с каждым оповещением.
Следующие шаги
На этой странице описаны возможности инцидентов безопасности в Defender для облака. Больше узнать об этих возможностях можно на следующих страницах: