Создание отчетов по аналитике угроз

  • 6 мин

Рассмотрение и исследование оповещений системы безопасности может занять много времени даже у самых опытных аналитиков в сфере безопасности. Во многих случаях трудно понять, с чего начать.

Defender для облака использует аналитику для подключения данных между отдельными оповещениями системы безопасности. Используя эти подключения, Defender для облака может предоставить единое представление кампании атаки и связанные с ней оповещения, которые помогут понять, какие действия выполнили злоумышленники и какие затронуты ресурсы.

Инциденты отображаются на странице оповещения системы безопасности. Выберите инцидент, чтобы просмотреть связанные оповещения и получить дополнительные сведения.

На странице обзора Defender для облака выберите плитку "Оповещения системы безопасности". Будут перечислены инциденты и оповещения. Обратите внимание, что инциденты безопасности имеют значок, который отличается от оповещений системы безопасности.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Чтобы просмотреть сведения, выберите инцидент. На странице инцидента безопасности Security incident отображаются дополнительные сведения.

Screenshot of Defender for Cloud Security Alert Incident details.

На левой панели страницы инцидента безопасности отображаются сведения высокого уровня об инциденте безопасности: заголовок, серьезность, состояние, время действия, описание и затронутый ресурс. Рядом с затронутым ресурсом можно просмотреть соответствующие теги Azure. Используйте их, чтобы вывести организационный контекст ресурса при исследовании предупреждения.

Правая панель содержит вкладку предупреждения с оповещениями системы безопасности, которые были связаны в рамках этого инцидента.

Чтобы перейти на вкладку "Действие" (Take action), выберите эту вкладку или кнопку в нижней части правой панели. Используйте эту вкладку, чтобы выполнить следующие действия:

  • Устранение угрозы — здесь приведены действия по устранению проблемы, выполняемые вручную для этого инцидента системы безопасности

  • Предотвращение атак в будущем — предоставляет рекомендации по обеспечению безопасности для уменьшения уязвимой зоны, повышения безопасности и предотвращения атак в будущем

  • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности

  • Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации

Чтобы устранить угрозы в инциденте, выполните действия по исправлению, предоставленные вместе с каждым оповещением.

Создание отчетов по аналитике угроз

Функция обнаружения угроз в Defender для облака осуществляет мониторинг сведений о безопасности из ваших ресурсов Azure, сети и подключенных партнерских решений. Она анализирует эту информацию, часто сравнивая сведения из разных источников и определяя угрозы.

Когда Defender для облака выявляет угрозу, он активирует оповещение системы безопасности, которое содержит подробные сведения о конкретном событии, включая рекомендации по исправлению. Defender для облака предоставляет отчеты по анализу угроз, содержащие сведения об обнаруженных угрозах, которые помогают группам реагирования на инциденты исследовать и устранять угрозы. Отчет содержит следующие сведения:

  • удостоверение злоумышленника или имеющиеся связи (если такая информация доступна);

  • цели злоумышленника;

  • текущие и исторические кампании атак (если такая информация доступна);

  • тактики злоумышленника, применяемые инструменты и процедуры;

  • связанные признаки компрометации, такие как URL-адреса и хэши файлов;

  • сведения о ресурсах или пользователях, подвергшихся атаке, включая данные об отрасли и регионе, которые помогают определить, если ли риск для ваших ресурсов Azure;

  • сведения по устранению и исправлению.

В Defender для облака три типа отчетов об угрозах, которые могут различаться в зависимости от атаки. а именно:

  • Отчет о группе действий, в котором предоставлен подробный анализ злоумышленников, их целей и примененных тактик.

  • Отчет о кампании, сосредоточенный на определенных кампаниях атак.

  • сводный отчет об угрозах, который включает в себя все элементы двух предыдущих отчетов.

Эти сведения полезны в процессе реагирования на инцидент, когда ведется исследование, чтобы понять источник атаки, мотивацию злоумышленника и то, как избежать этой проблемы в дальнейшем.

Получение доступа к отчету об анализе угроз

Чтобы создать отчет, выполните следующие действия.

На боковой панели Defender для облака откройте страницу "Оповещения системы безопасности".

Выберите оповещение. Откроется страница сведений о предупреждениях с дополнительными сведениями о предупреждении. Ниже приведена страница со сведениями об оповещении для обнаруженных индикаторов программ-шантажистов.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Выберите ссылку на отчет, и PDF-файл откроется в вашем браузере по умолчанию.