在 Azure 安全中心管理安全事件

會(huì)審和調(diào)查安全警報(bào)可能會(huì)非常耗時(shí)，即使對(duì)于技術(shù)高超的安全分析員也是如此。對(duì)于許多安全分析員而言，很難知道從何處著手。

安全中心使用分析以在不同安全警報(bào)之間連接信息。通過使用這些連接，安全中心可以提供包含攻擊活動(dòng)及其相關(guān)警報(bào)的單一視圖，以幫助你了解攻擊者的操作和受影響的資源。

本文概述了安全中心內(nèi)的事件。

什么是安全事件？

在安全中心，安全事件是對(duì)資源的所有警報(bào)匯總，與網(wǎng)絡(luò)攻擊鏈模式保持一致。事件顯示在安全警報(bào)頁(yè)中。選擇事件以查看相關(guān)警報(bào)并獲取詳細(xì)信息。

管理安全事件

1.在安全中心的“警報(bào)”頁(yè)上，使用“篩選器”按鈕進(jìn)行篩選。

若要查看事件的詳細(xì)信息，請(qǐng)從列表中選擇一個(gè)事件。此時(shí)會(huì)顯示一個(gè)側(cè)窗格，其中包含有關(guān)事件的更多詳細(xì)信息。

2.若要查看更多詳細(xì)信息，請(qǐng)選擇“查看完整詳細(xì)信息”。

“安全事件”頁(yè)的左窗格顯示有關(guān)安全事件的大致信息：標(biāo)題、嚴(yán)重性、狀態(tài)、活動(dòng)時(shí)間、說明以及受影響的資源。在受影響的資源旁邊，可以看到相關(guān)的Azure標(biāo)記。在調(diào)查警報(bào)時(shí)，可以使用這些標(biāo)記來推斷資源的組織環(huán)境。

右窗格包含“警報(bào)”選項(xiàng)卡，其中包含與此事件相關(guān)聯(lián)的安全警報(bào)。

提示

有關(guān)特定警報(bào)的詳細(xì)信息，請(qǐng)選擇該警報(bào)。

若要切換到“執(zhí)行操作”選項(xiàng)卡，請(qǐng)選擇該選項(xiàng)卡或右窗格底部的按鈕。使用此選項(xiàng)卡執(zhí)行更多操作，例如：

·緩解威脅-為此安全事件提供手動(dòng)修正步驟

·防范未來的攻擊-提供安全建議，幫助減少攻擊面、提高安全狀況和防范未來的攻擊

·觸發(fā)自動(dòng)響應(yīng)-提供觸發(fā)邏輯應(yīng)用以響應(yīng)此安全事件的選項(xiàng)

·抑制類似的警報(bào)-如果警報(bào)與組織無關(guān)，則提供可抑制具有類似特征的未來警報(bào)的選項(xiàng)

備注

同一個(gè)警報(bào)可以作為事件的一部分存在，也可以作為獨(dú)立警報(bào)顯示。

3.若要修正事件中的威脅，請(qǐng)按照每個(gè)警報(bào)提供的修正步驟操作。