了解适用于资源管理器的 Microsoft Defender
Azure 资源管理器是 Azure 的部署和管理服务。 它提供了一个管理层,用于在 Azure 帐户中创建、更新和删除资源。 部署后,可以使用访问控制、锁和标记等管理功能来保护和组织资源。
云管理层是连接到所有云资源的关键服务。 由于此集成,它也是攻击者的潜在目标。 因此,建议安全运营团队密切监视资源管理层。
用于资源管理器的 Microsoft Defender:自动监视组织中的资源管理操作。 无论他们是通过 Azure 门户、Azure REST API、Azure CLI 还是通过其他 Azure 编程客户端执行,Defender for Cloud 都会运行高级安全分析来检测威胁,并就可疑活动向你发出警报。
适用于资源管理器的 Microsoft Defender 有哪些优点?
适用于资源管理器的 Defender 可防范以下问题:
可疑资源管理操作,例如来自可疑 IP 地址的操作、禁用在 VM 扩展中运行的反恶意软件和可疑脚本
使用 Microburst 或 PowerZure 等开发工具包
从 Azure 管理层横向移动到 Azure 资源数据平面
如何调查来自适用于资源管理器的 Microsoft Defender 的警报
适用于资源管理器的 Defender 的安全警报以通过监视 Azure 资源管理器操作检测到的威胁为基础。 Defender for Cloud 使用 Azure 资源管理器的内部日志源以及 Azure 活动日志(Azure 中登录的平台,提供对订阅级别事件的见解)。
调查适用于资源管理器的 Defender 的安全警报:
打开 Azure 活动日志。
将事件筛选为:
警报中提到的订阅
检测到的活动的时间范围
相关的用户帐户(如果有)
查找可疑活动。