Essentiële stappen om een inbreuk te bevestigen, te bevatten en te beveiligen

Juiste rollen: Beheer agent | Contactpersoon voor beveiliging

Dit artikel helpt u bij het uitvoeren van acties om een inbreuk te bevestigen, te bevatten en te beveiligen.

1. Bevestig:
   • Controleer de Azure-abonnementen die zijn aangetast en controleer op de bestedingsafwijkingen. Zie Microsoft Cost Management voor meer informatie.
   • Voer grondig onderzoek uit naar de riskante gebruikers en activiteitenlogboeken van Azure Monitor om het compromis te bevestigen en de blootstelling onmiddellijk te bevatten. Het is belangrijk te weten dat eventuele persistentiemethoden die tijdens het onderzoek zijn gemist, kunnen leiden tot voortdurende toegang door de aanvaller, wat kan leiden tot een mogelijke hercompromise. Daarom is het essentieel om zorgvuldig te zijn in uw onderzoek om toekomstige aanvallen te voorkomen.
2. Bevat:
   • Als u vaststelt dat een klant is gecompromitteerd en er sprake is van fraude, kunt u proberen samen te werken met de klant of eenzijdige actie ondernemen om het abonnement te annuleren. U kunt beginnen door de Azure-abonnementen die zijn bevestigd, onmiddellijk te annuleren om het compromis te bevatten. Voer vervolgens de vereiste stappen uit om de bedreigingsacteur snel te identificeren en te verwijderen. Zie voor meer informatie hoe u de gecompromitteerde identiteiten snel kunt herstellen.
3. Veilig:
   • Wanneer het misbruik is opgenomen, moet u het werk doen om de tenant te beveiligen. Volg de aanbevolen richtlijnen voor cloudoplossingsproviders en tenants van klanten. Zie de instructies voor het oplossen van beveiligingswaarschuwingen voor meer informatie.
4. Verbeteren:
   • Neem even de tijd om te onderzoeken en te begrijpen hoe het compromis heeft plaatsgevonden. Als u dit doet, kunnen zwakke punten in uw algehele beveiligingspostuur worden ontdekt die kunnen worden hersteld.

Zie de ondersteuning voor meer informatie.