Управление оповещениями системы безопасности и реагирование на них

Defender для облака собирает, анализирует и объединяет данные журналов, поступающие от ресурсов Azure, гибридных и многооблачных ресурсов, сети и подключенных решений партнеров (например, брандмауэров и агентов конечных точек). Defender для облака использует данные журналов для обнаружения реальных угроз и сокращения количества ложноположительных результатов. Список приоритетных оповещений системы безопасности отображается в Defender для облака вместе со сведениями, необходимыми для быстрого изучения проблемы и принятия мер по устранению последствий атаки.

В этой статье объясняется, как просматривать оповещения Defender для облака, реагировать на них и защищать ресурсы.

При выполнении оповещений системы безопасности следует определять приоритеты оповещений на основе их серьезности, чтобы сначала устранять более высокие уровни серьезности. Узнайте больше о классификации оповещений.

Совет

Вы можете подключить Microsoft Defender для облака к решениям SIEM, включая Microsoft Sentinel, и использовать оповещения из выбранного средства. Узнайте больше, как передавать оповещения в решение SIEM, SOAR или ИТ-службы управления.

Необходимые компоненты

Предварительные требования и требования см. в матрицах поддержки для Defender для облака.

Управление оповещениями системы безопасности

Выполните следующие действия:

  1. Войдите на портал Azure.

  2. Перейдите Microsoft Defender для облака>Оповещения системы безопасности.

    Снимок экрана: страница оповещений системы безопасности на странице обзора Microsoft Defender для облака.

  3. (Необязательно) Отфильтруйте список оповещений с помощью любого из соответствующих фильтров. Вы можете добавить дополнительные фильтры с помощью параметра "Добавить фильтр ".

    Снимок экрана: добавление фильтров в представление оповещений.

    Список обновляется в соответствии с выбранными фильтрами. Например, вы можете обратиться к оповещениям системы безопасности, которые произошли за последние 24 часа, так как вы расследуете потенциальное нарушение системы.

Изучение оповещения системы безопасности

Каждое оповещение содержит сведения об оповещении, которое помогает вам в расследовании.

Чтобы изучить оповещение системы безопасности, выполните приведенные действия.

  1. Выберите оповещение. Откроется боковая область с описанием предупреждения и всеми затронутыми ресурсами.

    Снимок экрана: представление подробных сведений о оповещении системы безопасности.

  2. Просмотрите общие сведения о оповещении системы безопасности.

    • Серьезность, состояние и время действия оповещения
    • Описание, объясняющее точное обнаруженное действие
    • Затронутые ресурсы
    • Убить намерение цепочки действий в матрице MITRE ATT&CK (если применимо)
  3. Выберите элемент Просмотр полных сведений.

    На правой панели есть вкладка Сведения об оповещении, содержащая дополнительные сведения об оповещении для анализа проблемы: IP-адреса, файлы, процессы и многое другое.

    Снимок экрана: страница полных сведений для оповещения.

    Также на правой панели находится вкладка Принять меры. Используйте эту вкладку, чтобы предпринять дальнейшие действия в отношении оповещения системы безопасности. Такие действия, как:

    • Проверка контекста ресурса — отправляет вас в журналы действий ресурса, поддерживающие оповещение системы безопасности.
    • Устранение угрозы — здесь описаны действия по устранению проблемы, выполняемые вручную для этого оповещения системы безопасности.
    • Предотвращение будущих атак — рекомендации направленные на то, чтобы уменьшить число возможных направлений атак, повысить уровень безопасности и тем самым улучшить защиту от атак в будущем.
    • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности.
    • Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации

    Снимок экрана: параметры, доступные на вкладке

    Для получения дополнительных сведений обратитесь к владельцу ресурса, чтобы проверить, является ли обнаруженное действие ложным срабатыванием. Вы также можете исследовать необработанные журналы, созданные атакованным ресурсом.

Изменение состояния нескольких оповещений системы безопасности одновременно

Список оповещений отображает флажки, которые позволяют одновременно работать с несколькими оповещениями. Например, для целей обучения вы можете отключить все информационные оповещения для определенного ресурса.

  1. Примените фильтр, чтобы отобрать те предупреждения, которые вы хотите обрабатывать вместе.

    В этом примере выбраны оповещения с серьезностью Informational для ресурса ASC-AKS-CLOUD-TALK .

    Снимок экрана: фильтрация оповещений для отображения связанных оповещений.

  2. Установите флажки для выбора оповещений для обработки.

    В этом примере выбраны все оповещения. Теперь доступна кнопка "Изменить состояние ".

    Снимок экрана: выбор всех оповещений для их массовой обработки.

  3. Используйте действие Изменить состояние, чтобы задать требуемое состояние.

    Снимок экрана: вкладка состояния оповещений системы безопасности.

    Оповещения, отображаемые на текущей странице, изменили свое состояние на выбранное значение.

Реагирование на оповещение системы безопасности

После изучения оповещения системы безопасности вы можете ответить на оповещение из Microsoft Defender для облака.

Чтобы ответить на оповещение системы безопасности, выполните приведенные действия.

  1. Откройте вкладку Выполнить действие, чтобы просмотреть рекомендуемые варианты.

    Снимок экрана: вкладка действий с оповещениями системы безопасности.

  2. Ознакомьтесь с разделом Устранение угрозы, где приведены выполняемые вручную действия для исследования, необходимые для устранения проблемы.

  3. Чтобы защитить ресурсы и исключить дальнейшие атаки такого рода, примените рекомендации по обеспечению безопасности из раздела Предотвращение будущих атак.

  4. Чтобы активировать приложение логики с автоматическими шагами ответа, используйте раздел "Триггер автоматического ответа " и выберите "Активировать приложение логики".

  5. Если обнаруженное действие не является вредоносным, вы можете отключить будущие оповещения этого типа с помощью раздела "Подавление аналогичных оповещений " и выбрать команду "Создать правило подавления".

  6. Выберите "Настройка параметров уведомлений электронной почты", чтобы просмотреть, кто получает сообщения электронной почты относительно оповещений системы безопасности в этой подписке. Чтобы настроить параметры электронной почты, обратитесь к владельцу подписки.

  7. Когда вы завершите расследование оповещения и ответили соответствующим образом, измените состояние на "Отклонено".

    Снимок экрана: раскрывающееся меню состояния оповещения.

    Оповещение удаляется из основного списка оповещений. Для просмотра всех оповещений с состоянием Закрыто можно воспользоваться фильтром на странице списка оповещений.

  8. Мы рекомендуем оставить отзыв об оповещении корпорации Майкрософт:

    1. Отметьте оповещение как Полезное или Бесполезное.
    2. Выберите причину и добавьте комментарий.

    Снимок экрана: предоставление отзывов в окне Майкрософт, позволяющее выбрать полезность оповещения.

    Совет

    Мы рассмотрим ваш отзыв, чтобы улучшить имеющиеся алгоритмы и повысить информативность оповещений системы безопасности.

    Дополнительные сведения о различных типах оповещений см. в статье Оповещения системы безопасности — справочное руководство.

    Общие сведения о том, как Defender для облака создает оповещения и реагирует на угрозы, см. в этой статье.

    Просмотрите результаты проверки без агента

    Результаты проверки на основе агента и без агента отображаются на странице оповещений системы безопасности.

    Снимок экрана: страница оповещений системы безопасности, на котором показаны результаты проверки на основе агента и без агента.

    Примечание.

    Исправление одного из этих оповещений не исправит другое оповещение до завершения следующей проверки.