Reakce na upozornění Microsoft Defenderu pro Resource Manager
Když obdržíte upozornění z Programu Microsoft Defender for Resource Manager, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Defender for Resource Manager chrání všechny připojené prostředky, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité ověřit situaci kolem každé výstrahy.
Krok 1: Kontakt
- Obraťte se na vlastníka prostředku a zjistěte, jestli bylo chování očekávané, nebo úmyslné.
- Pokud je aktivita očekávaná, zavřete výstrahu.
- Pokud je aktivita neočekávaná, zacházet se souvisejícími uživatelskými účty, předplatnými a virtuálními počítači jako s ohroženými a zmírnit je, jak je popsáno v následujícím kroku.
Krok 2: Zkoumání upozornění z Programu Microsoft Defender for Resource Manager
Výstrahy zabezpečení z Defenderu pro Resource Manager jsou založené na hrozbách zjištěných monitorováním operací Azure Resource Manageru. Defender for Cloud používá interní zdroje protokolů Azure Resource Manageru a také protokol aktivit Azure, protokol platformy v Azure, který poskytuje přehled o událostech na úrovni předplatného.
Defender for Resource Manager poskytuje přehled o aktivitě pocházejících od poskytovatelů služeb třetích stran, kteří mají delegovaný přístup jako součást výstrah Resource Manageru. Například Azure Resource Manager operation from suspicious proxy IP address - delegated access
.
Delegated access
odkazuje na přístup pomocí Služby Azure Lighthouse nebo s delegovanými oprávněními pro správu.
Výstrahy, které se zobrazují Delegated access
, zahrnují také přizpůsobený popis a nápravný postup.
Přečtěte si další informace o protokolu aktivit Azure.
Zkoumání výstrah zabezpečení z Defenderu pro Resource Manager:
Otevřete protokol aktivit Azure.
Vyfiltrujte události tak, aby:
- Předplatné uvedené v upozornění
- Časový rámec zjištěné aktivity
- Související uživatelský účet (pokud je relevantní)
Hledejte podezřelé aktivity.
Tip
Pokud získáte lepší a bohatší prostředí pro šetření, streamujte protokoly aktivit Azure do Služby Microsoft Sentinel, jak je popsáno v Připojení dat z protokolu aktivit Azure.
Krok 3: Okamžité zmírnění rizik
Náprava ohrožených uživatelských účtů:
- Pokud jsou neznámé, odstraňte je, protože je mohl vytvořit objekt actor hrozby.
- Pokud jsou obeznámení, změňte přihlašovací údaje pro ověření.
- Použití protokolů aktivit Azure ke kontrole všech aktivit provedených uživatelem a identifikaci podezřelých aktivit
Náprava ohrožených předplatných:
- Odebrání všech neznámých runbooků z ohroženého účtu Automation
- Zkontrolujte oprávnění IAM pro předplatné a odeberte oprávnění pro libovolný neznámý uživatelský účet.
- Zkontrolujte všechny prostředky Azure v předplatném a odstraňte všechny, které nejsou neznámé.
- Kontrola a prošetření všech výstrah zabezpečení předplatného v programu Microsoft Defender for Cloud
- Použití protokolů aktivit Azure ke kontrole všech aktivit provedených v předplatném a identifikaci podezřelých aktivit
Náprava ohrožených virtuálních počítačů
- Změna hesel pro všechny uživatele
- Spuštění úplné kontroly antimalwaru na počítači
- Opětovné vytvoření image počítačů ze zdroje bez malwaru
Další kroky
Tato stránka vysvětlila proces reakce na výstrahu z Defenderu pro Resource Manager. Související informace najdete na následujících stránkách: