Reakce na upozornění z prostředků Azure

  • 11 min

Reakce na upozornění služby Defender for Cloud for Key Vault

Když obdržíte upozornění z Defenderu pro key Vault, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Defender for Key Vault chrání aplikace a přihlašovací údaje, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité ověřit situaci kolem každé výstrahy.

Každá výstraha ze služby Defender for Key Vault obsahuje následující prvky:

  • ID objektu

  • Hlavní název uživatele nebo IP adresa podezřelého prostředku

Kontakt

  • Ověřte, jestli provoz pochází z vašeho tenanta Azure. Pokud je povolená brána firewall trezoru klíčů, pravděpodobně jste zadali přístup k uživateli nebo aplikaci, která tuto výstrahu aktivovala.

  • Pokud nemůžete ověřit zdroj provozu, pokračujte krokem 2. Okamžité zmírnění rizik.

  • Pokud můžete identifikovat zdroj provozu ve vašem tenantovi, obraťte se na uživatele nebo vlastníka aplikace.

Okamžité zmírnění rizik

Pokud uživatele nebo aplikaci nerozpoznáte nebo pokud si myslíte, že přístup by neměl být autorizovaný:

  • Pokud provoz pochází z nerozpoznané IP adresy:

    • Povolte bránu firewall služby Azure Key Vault, jak je popsáno v tématu Konfigurace bran firewall služby Azure Key Vault a virtuálních sítí.

    • Nakonfigurujte bránu firewall s důvěryhodnými prostředky a virtuálními sítěmi.

  • Pokud zdrojem výstrahy byla neautorizovaná aplikace nebo podezřelý uživatel:

    • Otevřete nastavení zásad přístupu trezoru klíčů.

    • Odeberte odpovídající objekt zabezpečení nebo omezte operace, které může objekt zabezpečení provést.

  • Pokud zdroj upozornění má ve vašem tenantovi roli Microsoft Entra:

    • Obraťte se na správce.

    • Určete, jestli je potřeba omezit nebo odvolat oprávnění Microsoft Entra.

Identifikace dopadu

Po zmírnění dopadu prozkoumejte tajné kódy ve vašem trezoru klíčů, které byly ovlivněny:

  1. Otevřete stránku Zabezpečení ve službě Azure Key Vault a zobrazte aktivovanou výstrahu.

  2. Vyberte konkrétní výstrahu, která se aktivovala. Zkontrolujte seznam tajných kódů, ke kterým se přistupovalo, a časové razítko.

  3. Pokud máte povolené diagnostické protokoly trezoru klíčů, zkontrolujte předchozí operace odpovídající IP adresy volajícího, instanční objekt nebo ID objektu.

Provedení akce

Když zkompilujete seznam tajných kódů, klíčů a certifikátů, ke kterým získal podezřelý uživatel nebo aplikace přístup, měli byste tyto objekty okamžitě otočit.

  • Ovlivněné tajné kódy by se měly zakázat nebo odstranit z trezoru klíčů.

  • Pokud se přihlašovací údaje použily pro konkrétní aplikaci:

    • Obraťte se na správce aplikace a požádejte ho, aby auditoval své prostředí za použití ohrožených přihlašovacích údajů, protože byly ohroženy.

    • Pokud se použily ohrožené přihlašovací údaje, měl by vlastník aplikace identifikovat informace, ke kterým došlo, a zmírnit jeho dopad.

Reakce na výstrahy Defenderu pro DNS

Když obdržíte upozornění z Defenderu pro DNS, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Defender pro DNS chrání všechny připojené prostředky, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité ověřit situaci kolem každé výstrahy.

Kontakt

Obraťte se na vlastníka prostředku a zjistěte, jestli bylo chování očekávané, nebo úmyslné.

  • Pokud je aktivita očekávaná, zavřete výstrahu.

  • Pokud je aktivita neočekávaná, považovat prostředek za potenciálně ohrožený a zmírnit, jak je popsáno v dalším kroku.

Okamžité zmírnění rizik

Izolujte prostředek od sítě, aby se zabránilo laterálnímu pohybu.

  • Spusťte úplnou antimalwarovou kontrolu prostředku podle všech výsledných pokynů k nápravě.

  • Zkontrolujte nainstalovaný a spuštěný software v prostředku a odeberte všechny neznámé nebo nežádoucí balíčky.

  • Vraťte počítač do známého dobrého stavu, v případě potřeby přeinstalujte operační systém a obnovte software z ověřeného zdroje bez malwaru.

  • Vyřešte všechna doporučení defenderu pro cloud pro počítač a opravte zvýrazněné problémy se zabezpečením, abyste zabránili budoucím porušením zabezpečení.

Reakce na výstrahy Defenderu pro Resource Manager

Když obdržíte upozornění z Defenderu pro Resource Manager, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Defender for Resource Manager chrání všechny připojené prostředky, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité ověřit situaci kolem každé výstrahy.

Kontakt

Obraťte se na vlastníka prostředku a zjistěte, jestli bylo chování očekávané, nebo úmyslné.

  • Pokud je aktivita očekávaná, zavřete výstrahu.

  • Pokud je aktivita neočekávaná, zacházet se souvisejícími uživatelskými účty, předplatnými a virtuálními počítači jako s ohroženými a zmírnit je, jak je popsáno v následujícím kroku.

Okamžité zmírnění rizik

  • Náprava ohrožených uživatelských účtů:

    • Pokud jsou neznámé, odstraňte je, protože je mohl vytvořit objekt actor hrozby.

    • Pokud jsou obeznámení, změňte přihlašovací údaje pro ověření.

    • Použití protokolů aktivit Azure ke kontrole všech aktivit provedených uživatelem a identifikaci podezřelých aktivit

  • Náprava ohrožených předplatných:

    • Odebrání všech neznámých runbooků z ohroženého účtu Automation

    • Zkontrolujte oprávnění IAM pro předplatné a odeberte oprávnění pro libovolný neznámý uživatelský účet.

    • Zkontrolujte všechny prostředky Azure v předplatném a odstraňte všechny, které nejsou neznámé.

    • Kontrola a prošetření všech výstrah zabezpečení předplatného v programu Defender for Cloud

    • Použití protokolů aktivit Azure ke kontrole všech aktivit provedených v předplatném a identifikaci podezřelých aktivit

  • Náprava ohrožených virtuálních počítačů

    • Změna hesel pro všechny uživatele

    • Spuštění úplné kontroly antimalwaru na počítači

    • Opětovné vytvoření image počítačů ze zdroje bez malwaru