Válasz az Azure-erőforrásokból érkező riasztásokra
Válasz a Key Vault-riasztások Felhőhöz készült Defender
Amikor riasztást kap a Key Vaulthoz készült Defendertől, javasoljuk, hogy vizsgálja meg és válaszoljon a riasztásra az alábbiak szerint. A Key Vaulthoz készült Defender védi az alkalmazásokat és a hitelesítő adatokat, így még ha ismeri is a riasztást aktiváló alkalmazást vagy felhasználót, fontos ellenőrizni az összes riasztást körülvevő helyzetet.
A Key Vaulthoz készült Defender minden riasztása a következő elemeket tartalmazza:
Objektumazonosító
A gyanús erőforrás egyszerű felhasználóneve vagy IP-címe
Kapcsolat
Ellenőrizze, hogy a forgalom az Azure-bérlőn belülről származik-e. Ha a key vault tűzfala engedélyezve van, valószínű, hogy hozzáférést adott a riasztást kiváltó felhasználóhoz vagy alkalmazáshoz.
Ha nem tudja ellenőrizni a forgalom forrását, folytassa a 2. lépésben. Azonnali kockázatcsökkentés.
Ha azonosítani tudja a bérlőben lévő forgalom forrását, forduljon az alkalmazás felhasználójához vagy tulajdonosához.
Immediate mitigation
Ha nem ismeri fel a felhasználót vagy az alkalmazást, vagy úgy gondolja, hogy a hozzáférést nem kellett volna engedélyezni:
Ha a forgalom ismeretlen IP-címről származik:
Engedélyezze az Azure Key Vault tűzfalat az Azure Key Vault tűzfalainak és virtuális hálózatainak konfigurálása című cikkben leírtak szerint.
Konfigurálja a tűzfalat megbízható erőforrásokkal és virtuális hálózatokkal.
Ha a riasztás forrása jogosulatlan alkalmazás vagy gyanús felhasználó volt:
Nyissa meg a kulcstartó hozzáférési szabályzatának beállításait.
Távolítsa el a megfelelő biztonsági tagot, vagy korlátozza a rendszerbiztonsági tag által végrehajtható műveleteket.
Ha a riasztás forrása Microsoft Entra szerepkörrel rendelkezik a bérlőjében:
Lépjen kapcsolatba a rendszergazdával.
Határozza meg, hogy szükség van-e a Microsoft Entra-engedélyek csökkentésére vagy visszavonására.
Hatás azonosítása
Ha a hatás mérséklődött, vizsgálja meg az érintett kulcstartó titkos kulcsait:
Nyissa meg az Azure Key Vault "Biztonság" oldalát, és tekintse meg az aktivált riasztást.
Válassza ki az aktivált riasztást. Tekintse át a hozzáfért titkos kódok listáját és az időbélyeget.
Ha engedélyezve van a Key Vault diagnosztikai naplója, tekintse át az előző műveleteket a megfelelő hívó IP-címével, felhasználónevével vagy objektumazonosítójával.
Végrehajtandó lépések
Amikor összeállította a gyanús felhasználó vagy alkalmazás által elért titkos kulcsok, kulcsok és tanúsítványok listáját, azonnal el kell forgatnia ezeket az objektumokat.
Az érintett titkos kulcsokat le kell tiltani vagy törölni kell a kulcstartóból.
Ha a hitelesítő adatokat egy adott alkalmazáshoz használták:
Lépjen kapcsolatba az alkalmazás rendszergazdájával, és kérje meg őket, hogy a feltört hitelesítő adatok bármilyen felhasználása esetén naplózzák a környezetüket a feltört hitelesítő adatok feltörése óta.
Ha a feltört hitelesítő adatokat használták, az alkalmazás tulajdonosának azonosítania kell a hozzáfért információkat, és csökkentenie kell a hatást.
Válasz a Defenderre a DNS-riasztásokhoz
Amikor riasztást kap a Defendertől a DNS-hez, javasoljuk, hogy vizsgálja meg és válaszoljon a riasztásra az alábbiak szerint. A DNS-hez készült Defender minden csatlakoztatott erőforrást véd, így még ha ismeri is a riasztást aktiváló alkalmazást vagy felhasználót, fontos ellenőrizni az összes riasztást körülvevő helyzetet.
Kapcsolat
Lépjen kapcsolatba az erőforrás tulajdonosával, és állapítsa meg, hogy a viselkedés várt vagy szándékos volt-e.
Ha a tevékenység várható, zárja be a riasztást.
Ha a tevékenység váratlan, kezelje az erőforrást potenciálisan sérültként, és mérsékelje a következő lépésben leírtak szerint.
Immediate mitigation
Az oldalirányú mozgás megakadályozása érdekében elkülönítheti az erőforrást a hálózattól.
Futtasson egy teljes kártevőirtó-vizsgálatot az erőforráson az eredményként kapott szervizelési tanácsok alapján.
Tekintse át a telepített és az erőforráson futó szoftvereket, és távolítsa el az ismeretlen vagy nemkívánatos csomagokat.
Állítsa vissza a gépet egy ismert jó állapotba, szükség esetén telepítse újra az operációs rendszert, és állítsa vissza a szoftvert egy ellenőrzött kártevőmentes forrásból.
Oldja meg a gépre vonatkozó Felhőhöz készült Defender javaslatokat, és elhárítsa a kiemelt biztonsági problémákat a jövőbeli incidensek megelőzése érdekében.
Válasz a Defender for Resource Manager riasztásaira
Amikor riasztást kap a Defender for Resource Managertől, javasoljuk, hogy vizsgálja meg és válaszoljon a riasztásra az alábbiak szerint. A Defender for Resource Manager minden csatlakoztatott erőforrást véd, így még ha ismeri is a riasztást aktiváló alkalmazást vagy felhasználót, fontos ellenőrizni az összes riasztást körülvevő helyzetet.
Kapcsolat
Lépjen kapcsolatba az erőforrás tulajdonosával, és állapítsa meg, hogy a viselkedés várt vagy szándékos volt-e.
Ha a tevékenység várható, zárja be a riasztást.
Ha a tevékenység váratlan, a kapcsolódó felhasználói fiókokat, előfizetéseket és virtuális gépeket az alábbi lépésben leírtak szerint sérültnek és enyhítettnek kell tekinteni.
Immediate mitigation
Sérült felhasználói fiókok szervizelése:
Ha nem ismertek, törölje őket, mert lehetséges, hogy egy fenyegetéselektor hozta létre őket.
Ha ismerősek, módosítsa hitelesítési hitelesítő adataikat
Az Azure-tevékenységnaplókkal áttekintheti a felhasználó által végzett összes tevékenységet, és azonosíthatja a gyanús tevékenységeket
Sérült előfizetések szervizelése:
Ismeretlen runbookok eltávolítása a feltört automation-fiókból
Tekintse át az előfizetés IAM-engedélyeit, és távolítsa el az ismeretlen felhasználói fiókok engedélyeit
Tekintse át az előfizetés összes Azure-erőforrását, és törölje az ismeretlen erőforrásokat
Tekintse át és vizsgálja meg az előfizetésre vonatkozó biztonsági riasztásokat a Felhőhöz készült Defender
Az Azure-tevékenységnaplókkal áttekintheti az előfizetésben végzett összes tevékenységet, és azonosíthatja a gyanús tevékenységeket
A sérült virtuális gépek szervizelése
Az összes felhasználó jelszavának módosítása
Teljes kártevőirtó-vizsgálat futtatása a gépen
A gépek újraimálása kártevőmentes forrásból