Respuesta a alertas desde recursos de Azure
Respuesta a las alertas de Defender for Cloud para Key Vault
Cuando reciba una alerta de Defender para Key Vault, se recomienda investigarla y responder a ella como se describe a continuación. Defender para Key Vault protege las aplicaciones y las credenciales, por lo que, incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante comprobar la situación en que se genera cada alerta.
Cada alerta de Defender para Key Vault incluye los siguientes elementos:
Id. de objeto
Nombre principal de usuario o dirección IP del recurso sospechoso
Contacto
Compruebe si el tráfico se originó en el inquilino de Azure. Si el firewall del almacén de claves está habilitado, es probable que haya proporcionado acceso al usuario o a la aplicación que desencadenó esta alerta.
Si no puede comprobar el origen del tráfico, continúe con el Paso 2. Mitigación inmediata.
Si puede identificar el origen del tráfico en el inquilino, póngase en contacto con el usuario o el propietario de la aplicación.
Mitigación inmediata
Si no reconoce el usuario o la aplicación, o si cree que el acceso no debe haberse autorizado:
Si el tráfico procedía de una dirección IP no reconocida:
Habilite el firewall de Azure Key Vault como se describe en Configuración de firewalls y redes virtuales de Azure Key Vault.
Configure el firewall con recursos de confianza y redes virtuales.
Si el origen de la alerta era una aplicación no autorizada o un usuario sospechoso:
Abra la configuración de la directiva de acceso del almacén de claves.
Quite la entidad de seguridad correspondiente o restrinja las operaciones que la entidad de seguridad puede realizar.
Si el origen de la alerta tiene un rol de Microsoft Entra en el inquilino:
Póngase en contacto con el administrador.
Determine si es necesario reducir o revocar los permisos de Microsoft Entra.
Identificación del impacto
Cuando se haya mitigado el impacto, investigue los secretos del almacén de claves que se vieron afectados:
Abra la página "Seguridad" en Azure Key Vault y vea la alerta desencadenada.
Seleccione la alerta específica que se desencadenó. Revise la lista de los secretos a los que se accedió y la marca de tiempo.
Opcionalmente, si tiene habilitados los registros de diagnóstico del almacén de claves, revise las operaciones anteriores para la dirección IP del autor de la llamada correspondiente, la entidad de seguridad de usuario o el identificador de objeto.
Realizar acción
Una vez que haya compilado la lista de los secretos, las claves y los certificados a los que ha accedido el usuario o la aplicación sospechosos, debe girar esos objetos inmediatamente.
Los secretos afectados deben deshabilitarse o eliminarse del almacén de claves.
Si las credenciales se usaron para una aplicación específica:
Póngase en contacto con el administrador de la aplicación y pídale que realice una auditoría de su entorno para los usos de las credenciales en peligro, ya que se vulneraron.
Si se usaron credenciales en peligro, el propietario de la aplicación debe identificar la información a la que se obtuvo acceso y mitigar el impacto.
Respuesta a las alertas de Defender para DNS
Cuando reciba una alerta de Defender para DNS, se recomienda investigarla y responder a ella como se describe a continuación. Defender para DNS protege todos los recursos conectados, por lo que, incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante comprobar la situación en la que se genera cada alerta.
Contacto
Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era intencionado.
Si la actividad se espera, descarte la alerta.
Si la actividad es inesperada, trate el recurso como si potencialmente corriera peligro y mitíguelo como se describe en el paso siguiente.
Mitigación inmediata
Aísle el recurso de la red para evitar el movimiento lateral.
Ejecute un examen de antimalware completo en el recurso, siguiendo cualquier consejo de corrección resultante.
Revise el software instalado y en ejecución en el recurso y quite los paquetes que no conozca o que no desee.
Revierta la máquina a un estado correcto conocido, vuelva a instalar el sistema operativo si es necesario y restaure el software desde un origen libre de malware verificado.
Resuelva las recomendaciones de Defender for Cloud para la máquina y corrija los problemas de seguridad resaltados para evitar futuras infracciones.
Respuesta a las alertas de Defender para Resource Manager
Cuando reciba una alerta de Defender para Resource Manager, se recomienda investigarla y responder a ella como se describe a continuación. Defender para Resource Manager protege todos los recursos conectados, por lo que, incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante comprobar la situación de cada alerta.
Contacto
Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era intencionado.
Si se espera la actividad, descarte la alerta.
Si no se espera la actividad, trate las cuentas de usuario, suscripciones y máquinas virtuales relacionadas como elementos en peligro y mitíguelo tal como se describe en el siguiente paso.
Mitigación inmediata
Corrija las cuentas de usuario que están en peligro:
Si no está familiarizado con ellas, elimínelas, ya que es posible que las haya creado un actor de amenaza
Si está familiarizado, cambie sus credenciales de autenticación
Use registros de actividad de Azure para revisar todas las actividades realizadas por el usuario e identifique las que sean sospechosas
Corrija las suscripciones que están en peligro:
Quite los runbooks con los que no esté familiarizado de la cuenta de Automation en peligro
Revise los permisos de IAM de la suscripción y quite los permisos para las cuentas de usuario que resulten familiares
Revise todos los recursos de Azure en la suscripción y elimine los que no estén familiarizados
Revisión e investigación de las alertas de seguridad de la suscripción en Defender for Cloud
Use registros de actividad de Azure para revisar todas las actividades realizadas en la suscripción e identifique las que sean sospechosas
Corrija las máquinas virtuales que están en peligro
Cambie las contraseñas de todos los usuarios
Ejecute un examen antimalware en la máquina
Restablezca la imagen inicial de las máquinas desde un origen sin malware