在 Azure 安全中心管理安全事件

會審和調(diào)查安全警報可能會非常耗時，即使對于技術(shù)高超的安全分析員也是如此。對于許多安全分析員而言，很難知道從何處著手。

安全中心使用分析以在不同安全警報之間連接信息。通過使用這些連接，安全中心可以提供包含攻擊活動及其相關(guān)警報的單一視圖，以幫助你了解攻擊者的操作和受影響的資源。

本文概述了安全中心內(nèi)的事件。

什么是安全事件？

在安全中心，安全事件是對資源的所有警報匯總，與網(wǎng)絡(luò)攻擊鏈模式保持一致。事件顯示在安全警報頁中。選擇事件以查看相關(guān)警報并獲取詳細(xì)信息。

管理安全事件

1.在安全中心的“警報”頁上，使用“篩選器”按鈕進行篩選。

若要查看事件的詳細(xì)信息，請從列表中選擇一個事件。此時會顯示一個側(cè)窗格，其中包含有關(guān)事件的更多詳細(xì)信息。

2.若要查看更多詳細(xì)信息，請選擇“查看完整詳細(xì)信息”。

“安全事件”頁的左窗格顯示有關(guān)安全事件的大致信息：標(biāo)題、嚴(yán)重性、狀態(tài)、活動時間、說明以及受影響的資源。在受影響的資源旁邊，可以看到相關(guān)的Azure標(biāo)記。在調(diào)查警報時，可以使用這些標(biāo)記來推斷資源的組織環(huán)境。

右窗格包含“警報”選項卡，其中包含與此事件相關(guān)聯(lián)的安全警報。

提示

有關(guān)特定警報的詳細(xì)信息，請選擇該警報。

若要切換到“執(zhí)行操作”選項卡，請選擇該選項卡或右窗格底部的按鈕。使用此選項卡執(zhí)行更多操作，例如：

·緩解威脅-為此安全事件提供手動修正步驟

·防范未來的攻擊-提供安全建議，幫助減少攻擊面、提高安全狀況和防范未來的攻擊

·觸發(fā)自動響應(yīng)-提供觸發(fā)邏輯應(yīng)用以響應(yīng)此安全事件的選項

·抑制類似的警報-如果警報與組織無關(guān)，則提供可抑制具有類似特征的未來警報的選項

備注

同一個警報可以作為事件的一部分存在，也可以作為獨立警報顯示。

3.若要修正事件中的威脅，請按照每個警報提供的修正步驟操作。