Azure kaynaklarından gelen uyarılara yanıt verme
Key Vault uyarıları için Bulut için Defender yanıt verme
Key Vault için Defender'dan bir uyarı aldığınızda, aşağıda açıklandığı gibi uyarıyı araştırmanızı ve yanıtlamanızı öneririz. Key Vault için Defender uygulamaları ve kimlik bilgilerini korur, bu nedenle uyarıyı tetikleyen uygulama veya kullanıcı hakkında bilgi sahibi olsanız bile, her uyarıyı çevreleyen durumu doğrulamanız önemlidir.
Key Vault için Defender'dan gelen her uyarı aşağıdaki öğeleri içerir:
Nesne kimliği
Şüpheli kaynağın Kullanıcı Asıl Adı veya IP Adresi
İlgili Kişi
Trafiğin Azure kiracınızdan kaynaklanıp kaynaklandığını doğrulayın. Anahtar kasası güvenlik duvarı etkinleştirildiyse, büyük olasılıkla bu uyarıyı tetikleyen kullanıcıya veya uygulamaya erişim sağlamışsınızdır.
Trafiğin kaynağını doğrulayamazsanız 2. Adıma geçin. Hemen azaltma.
Kiracınızdaki trafiğin kaynağını belirleyebiliyorsanız, uygulamanın kullanıcı veya sahibine başvurun.
Anında risk azaltma
Kullanıcıyı veya uygulamayı tanımıyorsanız veya erişimin yetkilendirilmemesi gerektiğini düşünüyorsanız:
Trafik tanınmayan bir IP Adresinden geldiyse:
Azure Key Vault güvenlik duvarını Azure Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma bölümünde açıklandığı gibi etkinleştirin.
Güvenlik duvarını güvenilen kaynaklarla ve sanal ağlarla yapılandırın.
Uyarının kaynağı yetkisiz bir uygulama veya şüpheli kullanıcıysa:
Anahtar kasasının erişim ilkesi ayarlarını açın.
İlgili güvenlik sorumlusunu kaldırın veya güvenlik sorumlusunun gerçekleştirebileceği işlemleri kısıtlayın.
Uyarının kaynağı kiracınızda bir Microsoft Entra rolüne sahipse:
Yöneticinize başvurun.
Microsoft Entra izinlerini azaltmaya veya iptal etmeye gerek olup olmadığını belirleyin.
Etkiyi tanımlama
Etki azaltıldığında, anahtar kasanızda etkilenen gizli dizileri araştırın:
Azure Key Vault'unuzda "Güvenlik" sayfasını açın ve tetiklenen uyarıyı görüntüleyin.
Tetiklenen uyarıyı seçin. Erişilen gizli dizilerin listesini ve zaman damgasını gözden geçirin.
İsteğe bağlı olarak, anahtar kasası tanılama günlükleriniz etkinleştirildiyse, ilgili arayan IP'si, kullanıcı sorumlusu veya nesne kimliği için önceki işlemleri gözden geçirin.
İşlem yapın
Şüpheli kullanıcının veya uygulamanın eriştiği gizli diziler, anahtarlar ve sertifikalar listenizi derledikten sonra bu nesneleri hemen döndürmeniz gerekir.
Etkilenen gizli diziler devre dışı bırakılmalı veya anahtar kasanızdan silinmelidir.
Kimlik bilgileri belirli bir uygulama için kullanıldıysa:
Uygulamanın yöneticisine başvurun ve güvenliği ihlal edildiklerinden bu yana güvenliği aşılmış kimlik bilgilerinin kullanımları için ortamlarını denetlemesini isteyin.
Güvenliği aşılmış kimlik bilgileri kullanıldıysa, uygulama sahibi erişilen bilgileri tanımlamalı ve etkiyi azaltmalıdır.
DNS için Defender uyarılarını yanıtlama
DNS için Defender'dan bir uyarı aldığınızda, aşağıda açıklandığı gibi uyarıyı araştırmanızı ve yanıtlamanızı öneririz. DNS için Defender tüm bağlı kaynakları korur, bu nedenle uyarıyı tetikleyen uygulama veya kullanıcı hakkında bilgi sahibi olsanız bile, her uyarıyı çevreleyen durumu doğrulamanız önemlidir.
İlgili Kişi
Davranışın beklenen mi yoksa kasıtlı mı olduğunu belirlemek için kaynak sahibine başvurun.
Etkinlik bekleniyorsa uyarıyı kapatın.
Etkinlik beklenmeyen bir durumsa, kaynağı tehlikeye atılmış olarak değerlendirin ve sonraki adımda açıklandığı gibi azaltın.
Anında risk azaltma
Yanal hareketi önlemek için kaynağı ağdan yalıtın.
Sonuçta elde edilen düzeltme önerilerini izleyerek kaynakta tam bir kötü amaçlı yazılımdan koruma taraması çalıştırın.
Bilinmeyen veya istenmeyen paketleri kaldırarak kaynakta yüklü ve çalışan yazılımları gözden geçirin.
Makineyi bilinen iyi bir duruma geri çevirin, gerekirse işletim sistemini yeniden yükleyin ve yazılımı doğrulanmış kötü amaçlı yazılım içermeyen bir kaynaktan geri yükleyin.
Gelecekteki ihlalleri önlemek için vurgulanan güvenlik sorunlarını düzelterek makineye yönelik Bulut için Defender önerilerini çözün.
Resource Manager için Defender uyarılarını yanıtlama
Resource Manager için Defender'dan bir uyarı aldığınızda, aşağıda açıklandığı gibi uyarıyı araştırmanızı ve yanıtlamanızı öneririz. Resource Manager için Defender tüm bağlı kaynakları korur, dolayısıyla uyarıyı tetikleyen uygulama veya kullanıcı hakkında bilgi sahibi olsanız bile, her uyarıyı çevreleyen durumu doğrulamanız önemlidir.
İlgili Kişi
Davranışın beklenen mi yoksa kasıtlı mı olduğunu belirlemek için kaynak sahibine başvurun.
Etkinlik bekleniyorsa uyarıyı kapatın.
Etkinlik beklenmedikse, aşağıdaki adımda açıklandığı gibi ilgili kullanıcı hesaplarını, abonelikleri ve sanal makineleri tehlikeye atılmış olarak değerlendirin ve azaltın.
Anında risk azaltma
Güvenliği aşılmış kullanıcı hesaplarını düzeltme:
Tanıdık değilse, bir tehdit aktörü tarafından oluşturulmuş olabilecekleri için bunları silin
Tanıdıklarsa kimlik doğrulama kimlik bilgilerini değiştirin
Kullanıcı tarafından gerçekleştirilen tüm etkinlikleri gözden geçirmek ve şüpheli olan etkinlikleri belirlemek için Azure Etkinlik Günlükleri'ni kullanın
Güvenliği aşılmış abonelikleri düzeltme:
Bilinmeyen Runbook'ları güvenliği aşılmış otomasyon hesabından kaldırın
Abonelik için IAM izinlerini gözden geçirin ve tanımadığınız herhangi bir kullanıcı hesabı için izinleri kaldırın
Abonelikteki tüm Azure kaynaklarını gözden geçirin ve tanıdık olmayanları silin
Bulut için Defender'da abonelikle ilgili güvenlik uyarılarını gözden geçirme ve araştırma
Abonelikte gerçekleştirilen tüm etkinlikleri gözden geçirmek ve şüpheli olan etkinlikleri belirlemek için Azure Etkinlik Günlüklerini kullanma
Güvenliği aşılmış sanal makineleri düzeltme
Tüm kullanıcıların parolalarını değiştirme
Makinede tam bir kötü amaçlı yazılımdan koruma taraması çalıştırma
Makineleri kötü amaçlı yazılım içermeyen bir kaynaktan yeniden oluşturma