你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
响应 Microsoft Defender for DNS 警报
重要
从 2023 年 8 月 1 日开始,拥有 Defender for DNS 订阅的客户可以继续使用该服务,但作为 Defender for Servers P2 的一部分,新订阅者将收到有关可疑 DNS 活动的警报。
收到有关 DNS 事务中发现的可疑和异常活动的安全警报时,建议按如下所述调查并响应警报。 即使你熟悉触发警报的应用程序或用户,也请基于每个警报验证相关情况,这一点非常重要。
步骤 1:联系
- 请联系资源所有者,确定行为是预期的还是有意的。
- 如果活动是预期的,请关闭警报。
- 如果活动是意外发生的,请将资源处理为可能存在泄露风险并根据下一步中所述进行缓解。
步骤 2:即时缓解措施
- 将资源与网络隔离,以防止横向移动。
- 按照任何生成的修正建议,对资源运行完整的反恶意软件扫描。
- 查看资源上已安装且正在运行的软件,删除任何未知或不需要的包。
- 将计算机还原到已知的良好状态,根据需要重新安装操作系统,并从经过验证的无恶意软件源还原软件。
- 解决计算机的任何 Microsoft Defender for Cloud 建议,修正突出显示的安全问题以防止将来出现漏洞。
后续步骤
了解如何响应 DNS 警报后,请详细了解如何管理警报。
如需相关材料,请参阅以下文章:
- 将 Defender for Cloud 警报导出到集中式安全信息和事件管理 (SIEM) 系统,例如 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具。
- 将警报实时发送到 Log Analytics 或事件中心,以创建自动化过程来分析和响应安全警报。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈