管理和响应安全警报

有关先决条件和要求，请参阅适用于 Defender for Cloud 的支持矩阵。

执行以下步骤：

1. 登录 Azure 门户。

2. 导航到“Microsoft Defender for Cloud”>“安全警报”。

   

3. （可选）使用任何相关筛选器筛选警报列表。 可以使用“添加筛选器”选项添加额外的筛选器。

   

   列表会根据所选筛选器进行更新。 例如，由于你正在调查系统中可能存在的漏洞，你可能想要解决过去 24 小时内发生的安全警报。

每个警报都包含有关有助于进行调查的警报的信息。

若要调查安全警报，请执行以下操作：

1. 选择警报。 此时会打开一个侧窗格，其中显示了警报和所有受影响的资源的说明。

   

2. 查看有关安全警报的高级别信息。

   • 警报严重性、状态和活动时间
   • 解释检测到的精确活动的说明
   • 受影响的资源
   • 基于 MITRE ATT&CK 矩阵的活动的终止链意向（如果适用）

3. 选择“查看完整的详细信息”。

   右侧窗格包含“警报详细信息”选项卡，其中包含警报的更多详细信息，用于帮助你调查问题：IP 地址、文件、进程等。

   

   右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作，例如：

   • 检查资源上下文 - 将你转到支持安全警报的资源活动日志
   • 缓解威胁 - 为此安全警报提供手动修正步骤
   • 防范将来的攻击 - 提供安全建议，帮助减少攻击面，提高安全状况，从而防范将来的攻击
   • 触发自动响应 - 提供可触发逻辑应用的选项，作为对此安全警报的响应
   • 抑制类似的警报 - 如果警报与组织无关，则提供可抑制具有类似特征的未来警报的选项

   

   有关进一步详细信息，请联系资源所有者，以验证检测到的活动是否为误报。 还可以调查由被攻击资源生成的原始日志。

警报列表包含复选框，以便可以一次处理多个警报。 例如，出于会审目的，你可能会决定消除特定资源的所有信息性警报。

1. 根据要批量处理的警报进行筛选。

   在此示例中，已选择资源 ASC-AKS-CLOUD-TALK 的严重性为 Informational 的警报。

   

2. 请使用复选框选择要处理的警报。

   在此示例中，选择了所有警报。 更改状态”按钮现已可用。

   

3. 使用“更改状态”选项设置所需的状态。

   

   当前页中显示的警报已将其状态更改为所选值。

调查安全警报后，可以从 Microsoft Defender for Cloud 中响应警报。

要响应安全警报，请执行以下操作：

1. 打开“执行操作”选项卡以查看建议的响应。

   

2. 查看“缓解威胁”部分，了解缓解该问题所需的手动调查步骤。

3. 若要强化资源并防止将来出现此类攻击，请在“防止将来的攻击”部分中修正安全建议。

4. 要使用自动响应步骤触发逻辑应用，请使用“触发自动响应”部分，并选择“触发逻辑应用”。

5. 如果检测到的活动不是恶意行为，则可以使用“抑制类似警报”部分抑制将来显示此类警报，然后选择“创建抑制规则”。

6. 选择“配置电子邮件通知设置”，以查看接收有关此订阅上安全警报的电子邮件的人员。 请联系订阅所有者，以配置电子邮件设置。

7. 如果已完成对警报的调查，并以适当的方式做出了响应，请将状态更改为“已消除”。

   

   警报将会从主警报列表中移除。 可以使用“警报列表”页中的筛选器查看所有处于“已解除”状态的警报。

8. 建议你向 Microsoft 提供有关警报的反馈：

   1. 将警报标记为“有用”或“无用” 。
   2. 选择原因并添加注释。

   

   提示

   我们会查看你的反馈，以改进算法并提供更好的安全警报。

   若要了解各种类型的警报，请参阅安全警报 - 参考指南。

   有关 Defender for Cloud 如何生成警报的概述，请参阅 Microsoft Defender for Cloud 如何检测和响应威胁。

   查看无代理扫描的结果

   基于代理的扫描程序和无代理扫描程序的结果都显示在“安全警报”页上。

   

   注意

   在完成下一次扫描之前，修正其中一个警报不会修正另一个警报。