你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 威胁情报报告
Microsoft Defender for Cloud 威胁情报报告可以帮助你了解有关触发安全警报的威胁的详细信息。
什么是威胁智能报告?
Defender for Cloud 威胁防护通过监视来自 Azure 资源、网络和连接的合作伙伴解决方案的安全信息来工作。 分析该信息(通常需将多个来源的信息关联起来)即可确定威胁。 有关详细信息,请参阅 Microsoft Defender for Cloud 如何检测和响应威胁。
当 Defender for Cloud 识别到威胁时,它将触发安全警报,其中包含有关事件的详细信息,包括修正建议。 为了帮助事件响应团队调查和修正威胁,Defender for Cloud 提供包含有关检测到的威胁的信息的威胁情报报告。 该报告包含如下所示的信息:
- 攻击者的身份或关联项(如果此信息可用)
- 攻击者的目标
- 当前和历史攻击活动(如果此信息可用)
- 攻击者的策略、工具和过程
- 相关危害指标 (IoC),例如 URL 和文件哈希
- 受害者研究,即研究行业和地理普遍性,帮助确定 Azure 资源有无风险
- 缓解计划和修复信息
注意
任何特定报表中的信息量都将有所不同;详细信息的级别基于恶意软件的活动和普遍性。
Defender for Cloud 有三种类型的威胁报告,可因攻击而异。 可用报告有:
- 活动组报告:深入分析攻击者、其目标和策略。
- 活动报告:重点提供特定攻击活动的详细信息。
- 威胁摘要报告:包含前两个报告中的所有项目。
此类信息在事件响应过程中很有用。 例如,在进行调查以了解攻击源、攻击者的动机以及将来如何缓解此问题时,就可以使用此类信息。
如何访问威胁智能报告?
在 Defender for Cloud 的菜单中,打开“安全警报”页。
选择警报。
此时将打开警报详细信息页面,其中包含有关警报的更多详细信息。
选择指向报告的链接,随机将在默认浏览器中打开 PDF。
还可以选择性下载 PDF 报告。
提示
每个安全警报的可用信息量因警报类型而异。
后续步骤
本页说明了如何在调查安全警报时打开威胁情报报告。 如需相关信息,请参阅以下页面: