الاستجابة للتنبيهات من Microsoft Defender Resource Manager

عندما تتلقى تنبيهًا من Microsoft Defender for Resource Manager، نوصي بفحص التنبيه والاستجابة له كما هو موضح أدناه. يحمي Azure Defender على Resource Manager جميع الموارد المرتبطة، لذا حتى إذا كنت على دراية بالتطبيق أو المستخدم الذي شغّل التنبيه، فمن المهم التحقق من الموقف المحيط بكل تنبيه.

جهة اتصال

1. اتصل بمالك المورد لتحديد ما إذا كان السلوك متوقع أو متعمد.
2. إذا كان النشاط متوقعًا، فارفض التنبيه.
3. إذا كان النشاط غير متوقع، فتعامل مع حسابات المستخدمين ذات الصلة والاشتراكات والأجهزة الظاهرية على أنها مخترقة وقم بالتخفيف كما هو موضح في الخطوة التالية.

فحص التنبيهات من Microsoft Defender for Resource Manager

تستند تنبيهات الأمان من Defender for Resource Manager على المخاطر التي تم الكشف عنها بواسطة مراقبة عمليات Azure Resource Manager. يستخدم Defender for Cloud مصادر السجل الداخلية الخاصة بـ Azure Resource Manager بالإضافة إلى سجل نشاط Azure، وهو سجل نظام أساسي في Azure يوفر نظرة ثاقبة للأحداث على مستوى الاشتراك.

يوفر Defender for Resource Manager رؤية للنشاط الذي يأتي من موفري خدمات الجهات الخارجية الذين فوضوا الوصول كجزء من تنبيهات مدير الموارد. على سبيل المثال، Azure Resource Manager operation from suspicious proxy IP address - delegated access

Delegated access يشير إلى الوصول باستخدام Azure Lighthouse أو مع امتيازات الإدارة المفوضة.

تتضمن التنبيهات التي تظهر Delegated access أيضا وصفا مخصصا وخطوات معالجة.

تعرف على المزيد حول سجل نشاط Azure.

للتحقيق في التنبيهات الأمنية من Defender for Resource Manager:

1. فتح سجل أنشطة Azure.

   

2. تصفية الأحداث إلى:

   • الاشتراك المذكور في التنبيه
   • الإطار الزمني للنشاط المكتشف
   • حساب المستخدم ذي الصلة (إذا كان ذلك مناسبًا)

3. البحث عن أنشطة مشبوهة.

تلميح

للحصول على تجربة تحقيق أفضل وأغنى، قم ببث سجلات نشاط Azure إلى Microsoft Sentinel كما هو موضح في بيانات الاتصال من سجل نشاط Azure.

التخفيف فورا

1. تصحيح حسابات المستخدمين التي تم اختراقها:

   • إذا لم تكن مألوفة، فاحذفها كما قد يكون تم إنشاؤها من قبل جهة فاعلة في التهديد
   • إذا كانت مألوفة، فقم بتغيير بيانات اعتماد المصادقة الخاصة بهم
   • استخدام سجلات أنشطة Azure لمراجعة كافة الأنشطة التي يقوم بها المستخدم وتحديد المشبوه منها

2. تصحيح الاشتراكات المخترقة:

   • إزالة أي Runbooks غير مألوفة من حساب الأتمتة المخترق
   • مراجعة أذونات IAM للاشتراك وإزالة أذونات أي حساب مستخدم غير مألوف
   • مراجعة كافة موارد Azure في الاشتراك وحذف أي مورد غير مألوف
   • مراجعة أي تنبيهات أمان للاشتراك في Microsoft Defender for Cloud وفحصها
   • استخدام سجلات أنشطة Azure لمراجعة كافة الأنشطة التي تم تنفيذها في الاشتراك وتحديد المشبوه منها

3. تصحيح الأجهزة الظاهرية التي تم اختراقها

   • تغيير كلمات المرور لكافة المستخدمين
   • تشغيل مسح كامل لبرامج مكافحة البرامج الضارة الموجودة على الجهاز
   • إعادة تصوير الأجهزة من مصدر خال من البرامج الضارة

الخطوات التالية

شرحت هذه الصفحة عملية الاستجابة لتنبيه من Defender for Resource Manager. للحصول على معلومات ذات صلة، راجع الصفحات التالية:

• نظرة عامة على Microsoft Defender for Resource Manager
• منع التنبيهات الأمنية
• التصدير المستمر لبيانات Defender for Cloud