Создание отчетов по аналитике угроз

Завершено

Рассмотрение и исследование оповещений системы безопасности может занять много времени даже у самых опытных аналитиков в сфере безопасности. Во многих случаях трудно понять, с чего начать.

Defender для облака использует аналитику для подключения информации между различными оповещениями системы безопасности. Используя эти подключения, Defender для облака может предоставить единое представление кампании атаки и связанные с ней оповещения, которые помогут понять, какие действия выполнили злоумышленники и какие затронуты ресурсы.

Инциденты отображаются на странице оповещений системы безопасности. Выберите инцидент, чтобы просмотреть связанные оповещения и получить дополнительные сведения.

На странице обзора Defender для облака выберите плитку "Оповещения системы безопасности". Перечислены инциденты и оповещения. Обратите внимание, что инциденты безопасности имеют значок, который отличается от оповещений системы безопасности.

Снимок экрана с Defender для инцидентов в облаке на странице оповещений.

Чтобы просмотреть сведения, выберите инцидент. На странице инцидентов безопасности отображаются дополнительные сведения.

Снимок экрана: сведения об инциденте оповещения Defender для cloud Security.

На левой панели страницы инцидента безопасности отображаются сведения высокого уровня об инциденте безопасности: заголовок, серьезность, состояние, время действия, описание и затронутый ресурс. Рядом с затронутым ресурсом вы увидите соответствующие теги Azure. Используйте их, чтобы вывести организационный контекст ресурса при исследовании предупреждения.

В правой области есть вкладка "Оповещения" с оповещениями системы безопасности, которые были сопоставлены в рамках этого инцидента.

Чтобы перейти на вкладку "Действие", выберите вкладку или кнопку в нижней части правой панели. Используйте эту вкладку, чтобы выполнить следующие действия:

  • Устранение угрозы: предоставляет инструкции для ручного устранения этого инцидента безопасности.

  • Предотвращение будущих атак — предоставляет рекомендации по обеспечению безопасности, помогающие уменьшить область атак, повысить уровень безопасности и предотвратить будущие атаки.

  • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности.

  • Подавление аналогичных оповещений — предоставляет возможность подавления будущих оповещений с аналогичными характеристиками, если оповещение не относится к вашей организации.

Чтобы устранить угрозы в инциденте, выполните действия по исправлению, предоставленные вместе с каждым оповещением.

Создание отчетов по аналитике угроз

Defender для защиты от угроз в облаке работает путем мониторинга сведений о безопасности из ресурсов Azure, сети и подключенных партнерских решений. Он анализирует эти сведения, часто сопоставляя информацию из нескольких источников для выявления угроз.

Когда Defender для облака идентифицирует угрозу, он активирует оповещение системы безопасности, содержащее подробные сведения о событии, включая предложения по исправлению. Defender для облака предоставляет отчеты об аналитике угроз, содержащие сведения об обнаруженных угрозах, помогающие командам реагирования на инциденты исследовать и устранять угрозы. Отчет включает следующую информацию:

  • Личность или связи злоумышленника (если эта информация доступна)

  • Цели злоумышленников

  • Текущие и исторические кампании атак (если эта информация доступна)

  • Тактика, инструменты и процедуры злоумышленников

  • Связанные индикаторы компрометации (IoC), такие как URL-адреса и хэши файлов

  • Виктимология, рассматривающая отраслевые и географические факторы, поможет вам определить, находятся ли ресурсы Azure под угрозой.

  • Сведения об устранении и исправлении

Defender для облака имеет три типа отчетов об угрозах, которые могут отличаться в зависимости от атаки. Доступны следующие отчеты:

  • Отчет группы действий: предоставляет подробные сведения о злоумышленниках, их целях и тактике.

  • Отчет о кампании: внимания уделяется подробным сведениям о конкретных кампаниях атак.

  • Сводный отчет об угрозах: охватывает все элементы в предыдущих двух отчетах.

Этот тип информации полезен во время процесса реагирования на инциденты, где ведется расследование, чтобы понять источник атаки, мотивы злоумышленника и что делать, чтобы устранить эту проблему в будущем.

Доступ к отчету аналитики угроз

Чтобы создать отчет, выполните следующие действия.

На боковой панели Defender для облака откройте страницу оповещений системы безопасности.

Выберите оповещение. Откроется страница сведений об оповещениях с дополнительными сведениями об оповещении. Ниже приведена страница сведений об оповещении индикаторов программ-вымогателей.

Снимок экрана: индикаторы программного обеспечения Defender для облачных программ-шантажистов обнаружили ссылку на отчет Intel об угрозах.

Выберите ссылку на отчет, а PDF-файл откроется в браузере по умолчанию.