XÂY DỰNG VÀ QUẢN LÝ CÁC BÁO CÁO BẢO MẬT TRONG MICROSOFT DEFENDER FOR CLOUD

Báo cáo bảo mật thông minh trong Microsoft Defender for Cloud

Tính năng bảo vệ khỏi mối đe dọa của Microsoft Defender for Cloud hoạt động bằng cách giám sát thông tin bảo mật từ tài nguyên Azure, mạng và các giải pháp đối tác được kết nối của bạn. Nó phân tích thông tin này, thường là thông tin tương quan từ nhiều nguồn, để xác định các mối đe dọa.

Khi Defender for Cloud xác định một mối đe dọa, nó sẽ kích hoạt cảnh báo bảo mật chứa thông tin chi tiết về sự kiện, bao gồm các đề xuất khắc phục. Để giúp các nhóm ứng phó sự cố điều tra và khắc phục các mối đe dọa, Defender for Cloud cung cấp các báo cáo tình báo về mối đe dọa có chứa thông tin về các mối đe dọa đã phát hiện. Báo cáo bao gồm các thông tin như:

• Danh tính hoặc liên kết của kẻ tấn công (nếu có thông tin này)
• Mục tiêu của kẻ tấn công
• Các chiến dịch tấn công hiện tại và lịch sử (nếu có thông tin này)
• Chiến thuật, công cụ và thủ tục của kẻ tấn công
• Các chỉ số thỏa hiệp (IoC) được liên kết, chẳng hạn như URL và file băm.
• Victimology, là mức độ phổ biến của ngành và địa lý để hỗ trợ bạn xác định xem tài nguyên Azure của bạn có gặp rủi ro hay không
• Thông tin giảm thiểu và khắc phục

Microsoft Defender for Cloud có 3 loại báo cáo bảo mật, có thể thay đổi tùy theo cuộc tấn công. Bao gồm:

• Báo cáo nhóm hoạt động : cung cấp thông tin chi tiết về những kẻ tấn công, mục tiêu và chiến thuật của chúng.
• Báo cáo Chiến dịch : tập trung vào chi tiết của các chiến dịch tấn công cụ thể.
• Báo cáo Tóm tắt Mối đe dọa : bao gồm tất cả các mục trong hai báo cáo trước đó.

Cách truy cập vào các báo cáo bảo mật thông minh trong Defender for Cloud

1. Từ thanh menu của Defender for Cloud, mở trang Security alerts.
2. Lựa chọn một báo cáo bảo mật
   Trang chi tiết cảnh báo sẽ mở ra với nhiều chi tiết hơn về cảnh báo. Dưới đây là trang chi tiết cảnh báo phát hiện chỉ báo Ransomware.
   

Quản lý các cảnh báo bảo mật trong Defender for Cloud

1. Từ trang tổng quan của Defender cho Cloud, chọn vào mục Security alerts.
   
   Bạn sẽ thấy trang báo cáo bảo mật như dưới:
   
2. Để lọc danh sách cảnh báo, hãy chọn bất kỳ bộ lọc nào có liên quan. Bạn có thể tùy chọn thêm các bộ lọc khác bằng tùy chọn Thêm bộ lọc .
   
   Danh sách cập nhật theo các tùy chọn lọc mà bạn đã chọn. Ví dụ: bạn có thể muốn giải quyết các cảnh báo bảo mật đã xảy ra trong 24 giờ qua vì bạn đang điều tra một vi phạm tiềm ẩn trong hệ thống.

Phản hồi  các cảnh báo bảo mật

1. Từ danh sách Cảnh báo bảo mật , chọn một cảnh báo. Một ngăn bên mở ra và hiển thị mô tả về cảnh báo và tất cả các tài nguyên bị ảnh hưởng.
   
2. Để biết thêm thông tin, hãy chọn Xem chi tiết đầy đủ .
   Ngăn bên trái của trang cảnh báo bảo mật hiển thị thông tin cấp cao liên quan đến cảnh báo bảo mật: tiêu đề, mức độ nghiêm trọng, trạng thái, thời gian hoạt động, mô tả hoạt động đáng ngờ và tài nguyên bị ảnh hưởng. Các thẻ Azure cho tài nguyên bị ảnh hưởng giúp bạn hiểu bối cảnh tổ chức của tài nguyên.
   Ngăn bên phải bao gồm tab Chi tiết cảnh báo chứa các chi tiết khác về cảnh báo để giúp bạn điều tra sự cố: địa chỉ IP, tệp, quy trình…
   
   Cũng trong ngăn bên phải là tab Thực hiện hành động . Sử dụng tab này để thực hiện thêm các hành động liên quan đến cảnh báo bảo mật. Các hành động như:
   • Kiểm tra bối cảnh tài nguyên – đưa bạn đến nhật ký hoạt động của tài nguyên hỗ trợ cảnh báo bảo mật
   • Giảm thiểu mối đe dọa – cung cấp các bước khắc phục thủ công cho cảnh báo bảo mật này
   • Ngăn chặn các cuộc tấn công trong tương lai – cung cấp các đề xuất bảo mật để giúp giảm bề mặt tấn công, tăng cường bảo mật và do đó ngăn chặn các cuộc tấn công trong tương lai
   • Kích hoạt phản hồi tự động – cung cấp tùy chọn kích hoạt ứng dụng logic dưới dạng phản hồi cho cảnh báo bảo mật này
   • Chặn các cảnh báo tương tự – cung cấp tùy chọn chặn các cảnh báo trong tương lai có các đặc điểm tương tự nếu cảnh báo không phù hợp với tổ chức của bạn