Bedreigingsinformatierapporten genereren

  • 6 minuten

Het kan tijdrovend zijn voor zelfs de meest ervaren beveiligingsanalisten om beveiligingswaarschuwingen te trireren en te onderzoeken. Voor velen is het moeilijk om te weten waar te beginnen.

Defender voor Cloud gebruikmaakt van analyses om de informatie te verbinden tussen afzonderlijke beveiligingswaarschuwingen. Met behulp van deze verbindingen kan Defender voor Cloud één weergave bieden van een aanvalscampagne en de bijbehorende waarschuwingen, zodat u inzicht krijgt in de acties van de aanvaller en de betrokken resources.

Incidenten worden weergegeven op de pagina Beveiligingswaarschuwingen. Selecteer een incident om de gerelateerde waarschuwingen weer te geven en meer informatie te krijgen.

Selecteer op de Defender voor Cloud overzichtspagina de tegel Beveiligingswaarschuwingen. De incidenten en waarschuwingen worden vermeld. U ziet dat beveiligingsincidenten een ander pictogram hebben dan beveiligingswaarschuwingen.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Als u details wilt weergeven, selecteert u een incident. Op de pagina Beveiligingsincident ziet u meer informatie.

Screenshot of Defender for Cloud Security Alert Incident details.

In het linkerdeelvenster van de pagina beveiligingsincidenten ziet u informatie op hoog niveau over het beveiligingsincident: titel, ernst, status, activiteitstijd, beschrijving en de betreffende resource. Naast de betreffende resource ziet u de relevante Azure-tags. Gebruik deze tags om de organisatiecontext van de resource af te stellen bij het onderzoeken van de waarschuwing.

Het rechterdeelvenster bevat het tabblad Waarschuwingen met de beveiligingswaarschuwingen die zijn gecorreleerd als onderdeel van dit incident.

Als u wilt overschakelen naar het tabblad Actie ondernemen, selecteert u het tabblad of de knop onder aan het rechterdeelvenster. Gebruik dit tabblad om verdere acties uit te voeren, zoals:

  • De bedreiging beperken: biedt handmatige herstelstappen voor dit beveiligingsincident

  • Toekomstige aanvallen voorkomen: biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen

  • Geautomatiseerd antwoord activeren: biedt de optie om een logische app te activeren als reactie op dit beveiligingsincident

  • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

Volg de herstelstappen voor elke waarschuwing om de bedreigingen in het incident op te lossen.

Bedreigingsinformatierapporten genereren

Defender voor Cloud bedreigingsbeveiliging werkt door beveiligingsgegevens van uw Azure-resources, het netwerk en verbonden partneroplossingen te bewaken. Deze informatie wordt door Security Center geanalyseerd, waarbij vaak informatie uit meerdere bronnen wordt samengebracht om bedreigingen te analyseren.

Wanneer Defender voor Cloud een bedreiging identificeert, wordt er een beveiligingswaarschuwing geactiveerd met gedetailleerde informatie over de gebeurtenis, inclusief suggesties voor herstel. Defender voor Cloud biedt bedreigingsinformatierapporten met informatie over gedetecteerde bedreigingen, zodat incidentresponsteams bedreigingen kunnen onderzoeken en oplossen. Het rapport bevat informatie zoals:

  • De identiteit of associaties van de aanvaller (indien beschikbaar)

  • De doelstellingen van de aanvaller

  • Huidige en eerdere aanvalscampagnes (indien beschikbaar)

  • Tactieken, hulpprogramma's en procedures van aanvallers

  • Gekoppelde indicators of compromise (IoC) zoals URL's en bestands-hashes

  • Victimologie, de prevalentie qua branche en geografische locatie, om u te helpen bepalen of uw Azure-resources risico lopen

  • Informatie over risicobeperking en herstel

Defender voor Cloud heeft drie typen bedreigingsrapporten, die kunnen variëren afhankelijk van de aanval. De beschikbare rapporten zijn:

  • Activiteitengroeprapport: biedt uitgebreide informatie over aanvallers, hun doelstellingen en tactieken.

  • Campagnerapport: gericht op details van een specifieke aanvalscampagne.

  • Bedreigingsoverzichtsrapport: dekt alle onderwerpen in de voorgaande twee rapporten.

Dit type informatie is nuttig tijdens het incidentresponsproces, waarbij er een doorlopend onderzoek is om inzicht te hebben in de bron van de aanval, de motivaties van de aanvaller en wat u moet doen om dit probleem in de toekomst te verhelpen.

Toegang krijgen tot het bedreigingsinformatierapport

Het rapport genereren:

Open in de zijbalk van Defender voor Cloud de pagina Beveiligingswaarschuwingen.

Selecteer een waarschuwing. De pagina met details van waarschuwingen wordt geopend met meer informatie over de waarschuwing. Hieronder ziet u de pagina met gedetecteerde waarschuwingsgegevens voor ransomware-indicatoren.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Selecteer de koppeling naar het rapport en er wordt een PDF-bestand geopend in uw standaardbrowser.