Создание отчетов по аналитике угроз
Рассмотрение и исследование оповещений системы безопасности может занять много времени даже у самых опытных аналитиков в сфере безопасности. Во многих случаях трудно понять, с чего начать.
Defender для облака использует аналитику для подключения информации между различными оповещениями системы безопасности. Используя эти подключения, Defender для облака может предоставить единое представление кампании атаки и связанные с ней оповещения, которые помогут понять, какие действия выполнили злоумышленники и какие затронуты ресурсы.
Инциденты отображаются на странице оповещений системы безопасности. Выберите инцидент, чтобы просмотреть связанные оповещения и получить дополнительные сведения.
На странице обзора Defender для облака выберите плитку "Оповещения системы безопасности". Перечислены инциденты и оповещения. Обратите внимание, что инциденты безопасности имеют значок, который отличается от оповещений системы безопасности.
Чтобы просмотреть сведения, выберите инцидент. На странице инцидентов безопасности отображаются дополнительные сведения.
На левой панели страницы инцидента безопасности отображаются сведения высокого уровня об инциденте безопасности: заголовок, серьезность, состояние, время действия, описание и затронутый ресурс. Рядом с затронутым ресурсом вы увидите соответствующие теги Azure. Используйте их, чтобы вывести организационный контекст ресурса при исследовании предупреждения.
В правой области есть вкладка "Оповещения" с оповещениями системы безопасности, которые были сопоставлены в рамках этого инцидента.
Чтобы перейти на вкладку "Действие", выберите вкладку или кнопку в нижней части правой панели. Используйте эту вкладку, чтобы выполнить следующие действия:
Устранение угрозы: предоставляет инструкции для ручного устранения этого инцидента безопасности.
Предотвращение будущих атак — предоставляет рекомендации по обеспечению безопасности, помогающие уменьшить область атак, повысить уровень безопасности и предотвратить будущие атаки.
Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности.
Подавление аналогичных оповещений — предоставляет возможность подавления будущих оповещений с аналогичными характеристиками, если оповещение не относится к вашей организации.
Чтобы устранить угрозы в инциденте, выполните действия по исправлению, предоставленные вместе с каждым оповещением.
Создание отчетов по аналитике угроз
Defender для защиты от угроз в облаке работает путем мониторинга сведений о безопасности из ресурсов Azure, сети и подключенных партнерских решений. Он анализирует эти сведения, часто сопоставляя информацию из нескольких источников для выявления угроз.
Когда Defender для облака идентифицирует угрозу, он активирует оповещение системы безопасности, содержащее подробные сведения о событии, включая предложения по исправлению. Defender для облака предоставляет отчеты об аналитике угроз, содержащие сведения об обнаруженных угрозах, помогающие командам реагирования на инциденты исследовать и устранять угрозы. Отчет включает следующую информацию:
Личность или связи злоумышленника (если эта информация доступна)
Цели злоумышленников
Текущие и исторические кампании атак (если эта информация доступна)
Тактика, инструменты и процедуры злоумышленников
Связанные индикаторы компрометации (IoC), такие как URL-адреса и хэши файлов
Виктимология, рассматривающая отраслевые и географические факторы, поможет вам определить, находятся ли ресурсы Azure под угрозой.
Сведения об устранении и исправлении
Defender для облака имеет три типа отчетов об угрозах, которые могут отличаться в зависимости от атаки. Доступны следующие отчеты:
Отчет группы действий: предоставляет подробные сведения о злоумышленниках, их целях и тактике.
Отчет о кампании: внимания уделяется подробным сведениям о конкретных кампаниях атак.
Сводный отчет об угрозах: охватывает все элементы в предыдущих двух отчетах.
Этот тип информации полезен во время процесса реагирования на инциденты, где ведется расследование, чтобы понять источник атаки, мотивы злоумышленника и что делать, чтобы устранить эту проблему в будущем.
Доступ к отчету аналитики угроз
Чтобы создать отчет, выполните следующие действия.
На боковой панели Defender для облака откройте страницу оповещений системы безопасности.
Выберите оповещение. Откроется страница сведений об оповещениях с дополнительными сведениями об оповещении. Ниже приведена страница сведений об оповещении индикаторов программ-вымогателей.
Выберите ссылку на отчет, а PDF-файл откроется в браузере по умолчанию.