Reakce na upozornění Microsoft Defenderu pro Resource Manager

Když obdržíte upozornění z Programu Microsoft Defender for Resource Manager, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Defender for Resource Manager chrání všechny připojené prostředky, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité ověřit situaci kolem každé výstrahy.

Krok 1: Kontakt

1. Obraťte se na vlastníka prostředku a zjistěte, jestli bylo chování očekávané, nebo úmyslné.
2. Pokud je aktivita očekávaná, zavřete výstrahu.
3. Pokud je aktivita neočekávaná, zacházet se souvisejícími uživatelskými účty, předplatnými a virtuálními počítači jako s ohroženými a zmírnit je, jak je popsáno v následujícím kroku.

Krok 2: Zkoumání upozornění z Programu Microsoft Defender for Resource Manager

Výstrahy zabezpečení z Defenderu pro Resource Manager jsou založené na hrozbách zjištěných monitorováním operací Azure Resource Manageru. Defender for Cloud používá interní zdroje protokolů Azure Resource Manageru a také protokol aktivit Azure, protokol platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného.

Defender for Resource Manager poskytuje přehled o aktivitě pocházejících od poskytovatelů služeb třetích stran, kteří mají delegovaný přístup jako součást výstrah Resource Manageru. Například Azure Resource Manager operation from suspicious proxy IP address - delegated access.

Delegated accessodkazuje na přístup pomocí Služby Azure Lighthouse nebo s delegovanými oprávněními pro správu.

Výstrahy, které se zobrazují Delegated access , zahrnují také přizpůsobený popis a nápravný postup.

Přečtěte si další informace o protokolu aktivit Azure.

Zkoumání výstrah zabezpečení z Defenderu pro Resource Manager:

1. Otevřete protokol aktivit Azure.

   

2. Vyfiltrujte události tak, aby:

   • Předplatné uvedené v upozornění
   • Časový rámec zjištěné aktivity
   • Související uživatelský účet (pokud je relevantní)

3. Hledejte podezřelé aktivity.

Tip

Pokud získáte lepší a bohatší prostředí pro šetření, streamujte protokoly aktivit Azure do Služby Microsoft Sentinel, jak je popsáno v Připojení dat z protokolu aktivit Azure.

Krok 3: Okamžité zmírnění rizik

1. Náprava ohrožených uživatelských účtů:

   • Pokud jsou neznámé, odstraňte je, protože je mohl vytvořit objekt actor hrozby.
   • Pokud jsou obeznámení, změňte přihlašovací údaje pro ověření.
   • Použití protokolů aktivit Azure ke kontrole všech aktivit provedených uživatelem a identifikaci podezřelých aktivit

2. Náprava ohrožených předplatných:

   • Odebrání všech neznámých runbooků z ohroženého účtu Automation
   • Zkontrolujte oprávnění IAM pro předplatné a odeberte oprávnění pro libovolný neznámý uživatelský účet.
   • Zkontrolujte všechny prostředky Azure v předplatném a odstraňte všechny, které nejsou neznámé.
   • Kontrola a prošetření všech výstrah zabezpečení předplatného v programu Microsoft Defender for Cloud
   • Použití protokolů aktivit Azure ke kontrole všech aktivit provedených v předplatném a identifikaci podezřelých aktivit

3. Náprava ohrožených virtuálních počítačů

   • Změna hesel pro všechny uživatele
   • Spuštění úplné kontroly antimalwaru na počítači
   • Opětovné vytvoření image počítačů ze zdroje bez malwaru

Další kroky

Tato stránka vysvětlila proces reakce na výstrahu z Defenderu pro Resource Manager. Související informace najdete na následujících stránkách:

• Přehled Microsoft Defenderu pro Resource Manager
• Potlačení výstrah zabezpečení
• Průběžný export defenderu pro cloudová data