Grundlegendes zu Microsoft Defender für Resource Manager

  • 4 Minuten

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Es bietet eine Verwaltungsebene, mit der Sie Ressourcen in Ihrem Azure-Konto erstellen, aktualisieren und löschen können. Mithilfe von Verwaltungsfeatures wie Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.

Die Cloudverwaltungsebene ist ein wichtiger Dienst, der mit allen Ihren Cloudressourcen verbunden ist. Aufgrund dieser Integration ist es auch ein potenzielles Ziel für Angreifer. Daher empfehlen wir Sicherheitsteams, die Verwaltungsebene der Ressourcen genau zu überwachen.

Microsoft Defender für Ressourcen-Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Unabhängig davon, ob sie über das Azure-Portal, Azure REST-APIs, Azure CLI oder andere programmgesteuerte Azure-Clients Defender für Cloud ausgeführt werden, führt erweiterte Sicherheitsanalysen aus, um Bedrohungen zu erkennen und Sie über verdächtige Aktivitäten zu benachrichtigen.

Welche Vorteile bietet Microsoft Defender für Resource Manager?

Defender für Ressourcen-Manager schützt vor Problemen, einschließlich:

  • Verdächtige Ressourcenverwaltungsvorgänge, z. B. Vorgänge aus verdächtigen IP-Adressen, Deaktivieren von Antischadsoftware und verdächtigen Skripts, die in VM-Erweiterungen ausgeführt werden

  • Verwendung von Ausbeutungs-Toolkits wie Microburst oder PowerZure

  • Laterale Verschiebung von der Azure-Verwaltungsebene zur Azure-Ressourcendatenebene

Wie man Warnungen von Microsoft Defender für den Ressourcenmanager untersucht

Sicherheitswarnungen von Defender für Resource Manager basieren auf Bedrohungen, die bei der Überwachung von Azure Resource Manager-Vorgängen erkannt werden. Defender für Cloud verwendet interne Protokollquellen von Azure Resource Manager und Azure Activity Log, einer Plattformanmeldung in Azure, die Einblicke in Ereignisse auf Abonnementebene bietet.

So untersuchen Sie Sicherheitswarnungen von Defender für Resource Manager

  1. Öffnen Sie das Azure-Aktivitätsprotokoll.

  2. Filtern Sie die Ereignisse nach Folgendem:

    • In der Warnung erwähntes Abonnement

    • Zeitrahmen der erkannten Aktivität

    • Zugehöriges Benutzerkonto (sofern relevant)

  3. Suchen Sie nach verdächtigen Aktivitäten.