在 Azure 安全中心管理和響應(yīng)安全警報

本主題介紹了如何查看和處理安全中心的警報并保護你的資源。

觸發(fā)安全警報的高級檢測僅適用于Azure Defender。提供試用版。若要升級，請參閱啟用Azure Defender。

什么是安全警報？

安全中心會自動收集、分析以及整合Azure資源、網(wǎng)絡(luò)和所連合作伙伴解決方案（如，防火墻和終結(jié)點保護解決方案）的日志數(shù)據(jù)，檢測真正的威脅并減少誤報。安全中心顯示了一系列安全警報（按嚴重程度排序），并顯示了快速調(diào)查問題所需的信息以及修復(fù)攻擊的建議。

若要了解各種類型的警報，請參閱安全警報-參考指南。

有關(guān)安全中心如何生成警報的概述，請參閱Azure安全中心如何檢測和應(yīng)對威脅。

管理安全警報

1.從安全中心的概述頁上，選擇頁面頂部的“安全警報”磁貼，或選擇側(cè)欄中的鏈接。

此時將打開安全警報頁。

2.若要篩選警報列表，請選擇任何相關(guān)的篩選器。你還可以通過“添加篩選器”選項添加進一步的篩選器。

列表會根據(jù)你選擇的篩選選項進行更新。篩選功能可能非常有用。例如，假設(shè)正在調(diào)查系統(tǒng)中的潛在危害，需要處理過去24小時內(nèi)發(fā)生的安全警報。

響應(yīng)安全警報

1.從“安全警報”列表中，選擇一個警報。此時會打開一個側(cè)窗格，其中顯示了警報和所有受影響的資源的說明。

提示

在此側(cè)窗格處于打開狀態(tài)時，可以通過鍵盤上的向上和向下箭頭鍵快速查看警報列表。

2.有關(guān)詳細信息，請選擇“查看完整詳細信息”。

安全警報頁面的左窗格顯示有關(guān)安全警報的大致信息：標題、嚴重性、狀態(tài)、活動時間、可疑活動的說明以及受影響的資源。受影響的資源旁邊是與資源相關(guān)的Azure標記。在調(diào)查警報時，可以使用這些標記來推斷資源的組織環(huán)境。

右側(cè)窗格包含“警報詳細信息”選項卡，其中包含警報的更多詳細信息，用于幫助你調(diào)查問題：IP地址、文件、進程等。

右側(cè)窗格中還包含“執(zhí)行操作”選項卡。使用此選項卡可以對安全警報執(zhí)行其他操作。操作，例如：

·緩解威脅-為此安全警報提供手動修正步驟

·防范將來的攻擊-提供安全建議，幫助減少攻擊面，提高安全狀況，從而防范將來的攻擊

·觸發(fā)自動響應(yīng)-提供可觸發(fā)邏輯應(yīng)用的選項，作為對此安全警報的響應(yīng)

·抑制類似的警報-如果警報與組織無關(guān)，則提供可抑制具有類似特征的未來警報的選項