Merespons pemberitahuan dari sumber daya Azure
Merespons peringatan Defender untuk Cloud untuk Key Vault
Saat menerima peringatan dari Defender untuk Key Vault, sebaiknya Anda menyelidiki dan merespons peringatan seperti yang dijelaskan di bawah ini. Defender untuk Key Vault melindungi aplikasi dan kredensial, jadi meskipun Anda sudah terbiasa dengan aplikasi atau pengguna yang memicu peringatan, penting untuk memverifikasi situasi di sekitar setiap peringatan.
Setiap peringatan dari Defender untuk Key Vault mencakup elemen berikut:
ID Objek
Nama Prinsipal pengguna atau Alamat IP sumber daya yang mencurigakan
Kontak
Verifikasi apakah lalu lintas berasal dari dalam penyewa Azure Anda. Jika firewall brankas kunci diaktifkan, kemungkinan Anda telah memberikan akses ke pengguna atau aplikasi yang memicu peringatan ini.
Jika Anda tidak dapat memverifikasi sumber lalu lintas, lanjutkan ke Langkah 2. Mitigasi segera.
Jika Anda dapat mengidentifikasi sumber lalu lintas di penyewa Anda, hubungi pengguna atau pemilik aplikasi.
Mitigasi segera
Jika Anda tidak mengenali pengguna atau aplikasi, atau jika menurut Anda akses tersebut seharusnya tidak diotorisasi:
Jika lalu lintas berasal dari Alamat IP yang tidak dikenal:
Aktifkan firewall Azure Key Vault seperti yang dijelaskan dalam Mengonfigurasi firewall dan jaringan virtual Azure Key Vault.
Konfigurasikan firewall dengan sumber daya tepercaya dan jaringan virtual.
Jika sumber peringatan adalah aplikasi yang tidak sah atau pengguna yang mencurigakan:
Buka pengaturan kebijakan akses brankas kunci.
Hapus prinsip keamanan yang sesuai, atau batasi operasi yang dapat dilakukan oleh prinsip keamanan.
Jika sumber pemberitahuan memiliki peran Microsoft Entra di penyewa Anda:
Hubungi administrator Anda.
Tentukan apakah ada kebutuhan untuk mengurangi atau mencabut izin Microsoft Entra.
Mengidentifikasi dampak
Ketika dampaknya telah dikurangi, selidiki rahasia di brankas kunci Anda yang terpengaruh:
Buka halaman "Keamanan" di Azure Key Vault Anda dan lihat peringatan yang dipicu.
Pilih peringatan spesifik yang dipicu. Tinjau daftar rahasia yang diakses dan tanda waktu.
Secara opsional, jika Anda mengaktifkan log diagnostik key vault, tinjau operasi sebelumnya untuk IP pemanggil, prinsip pengguna, atau ID objek yang sesuai.
Mengambil tindakan
Saat Anda telah menyusun daftar rahasia, kunci, dan sertifikat yang diakses oleh pengguna atau aplikasi yang mencurigakan, Anda harus segera memutar objek tersebut kembali.
Rahasia yang terpengaruh harus dinonaktifkan atau dihapus dari brankas kunci Anda.
Jika kredensial digunakan untuk aplikasi tertentu:
Hubungi administrator aplikasi dan minta mereka untuk mengaudit lingkungan mereka untuk setiap penggunaan kredensial yang disusupi sejak mereka disusupi.
Jika kredensial yang disusupi digunakan, pemilik aplikasi harus mengidentifikasi informasi yang diakses dan mengurangi dampaknya.
Merespons Defender untuk peringatan DNS
Saat menerima peringatan dari Defender untuk DNS, sebaiknya Anda menyelidiki dan merespons peringatan seperti yang dijelaskan di bawah ini. Defender untuk DNS melindungi semua sumber daya yang terhubung, jadi meskipun Anda sudah terbiasa dengan aplikasi atau pengguna yang memicu peringatan, penting untuk memverifikasi situasi di sekitar setiap peringatan.
Kontak
Hubungi pemilik sumber daya untuk menentukan apakah perilaku tersebut diperkirakan atau disengaja.
Jika aktivitas diperkirakan, matikan pemberitahuan.
Jika aktivitas tidak terduga, perlakukan sumber daya sebagai sumber daya yang berpotensi disusupi dan dimitigasi seperti yang dijelaskan pada langkah berikutnya.
Mitigasi segera
Mengisolasi sumber daya dari jaringan untuk mencegah pergerakan lateral.
Jalankan pemindaian antimalware penuh pada sumber daya, mengikuti saran perbaikan yang dihasilkan.
Tinjau perangkat lunak yang terpasang dan berjalan pada sumber daya, menghapus paket yang tidak diketahui atau tidak diinginkan.
Kembalikan mesin ke kondisi baik yang diketahui, instal ulang sistem operasi jika perlu, dan pulihkan perangkat lunak dari sumber bebas malware yang terverifikasi.
Selesaikan rekomendasi Defender untuk Cloud apa pun untuk mesin, atasi masalah keamanan yang disorot untuk mencegah pelanggaran di masa mendatang.
Merespons peringatan Defender untuk Resource Manager
Saat menerima peringatan dari Defender untuk Resource Manager, sebaiknya Anda menyelidiki dan merespons peringatan seperti yang dijelaskan di bawah ini. Defender untuk Resource Manager melindungi semua sumber daya yang terhubung, jadi meskipun Anda sudah terbiasa dengan aplikasi atau pengguna yang memicu peringatan, penting untuk memverifikasi situasi di sekitar setiap peringatan.
Kontak
Hubungi pemilik sumber daya untuk menentukan apakah perilaku tersebut diperkirakan atau disengaja.
Jika aktivitas diperkirakan, matikan pemberitahuan.
Jika aktivitas tidak terduga, perlakukan akun pengguna, langganan, dan komputer virtual terkait sebagai disusupi dan dimitigasi seperti yang dijelaskan dalam langkah berikut.
Mitigasi segera
Remediasi akun pengguna yang disusupi:
Jika tidak dikenal, hapus karena mungkin dibuat oleh aktor ancaman
Jika familiar, ubah informasi masuk autentikasinya
Gunakan Log Aktivitas Azure untuk meninjau semua aktivitas yang dilakukan oleh pengguna dan mengidentifikasi aktivitas apa pun yang mencurigakan
Remediasi langganan yang disusupi:
Hapus Runbook yang tidak dikenal dari akun otomatisasi yang disusupi
Tinjau izin IAM untuk langganan dan hapus izin untuk akun pengguna yang tidak dikenal
Tinjau semua sumber daya Azure dalam langganan dan hapus semua yang tidak dikenal
Tinjau dan selidiki peringatan keamanan apa pun untuk langganan di Defender untuk Cloud
Gunakan Log Aktivitas Azure untuk meninjau semua aktivitas yang dilakukan dalam langganan dan mengidentifikasi aktivitas apa pun yang mencurigakan
Remediasi komputer virtual yang disusupi
Ubah kata sandi untuk semua pengguna
Jalankan pemindaian antimalware penuh pada komputer
Citrakan ulang komputer dari sumber bebas malware