Reagieren auf Warnungen von Azure-Ressourcen

  • 11 Minuten

Reagieren auf Warnungen von Defender für Key Vault

Wenn Sie eine Warnung von Defender für Key Vault erhalten, empfehlen wir Ihnen, die Warnung wie unten beschrieben zu untersuchen und zu behandeln. Mit Defender für Key Vault werden Anwendungen und Anmeldeinformationen geschützt. Daher ist es wichtig, die Situation bei jeder Warnung auch dann genau zu überprüfen, wenn Sie mit den Anwendungen oder Benutzern vertraut sind, von denen die Warnung ausgelöst wurde.

Jede Warnung von Defender für Key Vault enthält die folgenden Elemente:

  • ObjectID

  • Benutzerprinzipalname oder IP-Adresse der verdächtigen Ressource

Contact

  • Überprüfen Sie, ob der Datenverkehr aus Ihrem Azure-Mandanten stammt. Wenn die Key Vault-Firewall aktiviert ist, haben Sie wahrscheinlich dem Benutzer oder der Anwendung, der bzw. die diese Warnung ausgelöst hat, den Zugriff gewährt.

  • Wenn Sie die Quelle des Datenverkehrs nicht überprüfen können, fahren Sie fort mit Schritt 2: Sofortige Risikominderung. Sofortige Risikominderung.

  • Wenn Sie die Quelle des Datenverkehrs in Ihrem Mandanten ermitteln können, wenden Sie sich an den Benutzer oder den Besitzer der Anwendung.

Sofortige Risikominderung

Wenn Sie den Benutzer oder die Anwendung nicht erkannt haben oder wenn Sie der Ansicht sind, dass der Zugriff nicht autorisiert werden sollte:

  • Wenn der Datenverkehr von einer unbekannten IP-Adresse stammt:

    • Aktivieren Sie die Azure Key Vault-Firewall, wie unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken beschrieben.

    • Konfigurieren Sie die Firewall mit vertrauenswürdigen Ressourcen und virtuellen Netzwerken.

  • Wenn die Quelle der Warnung eine nicht autorisierte Anwendung oder ein verdächtiger Benutzer war:

    • Öffnen Sie die Einstellungen für die Zugriffsrichtlinien des Schlüsseltresors.

    • Entfernen Sie den zugehörigen Sicherheitsprinzipal, oder schränken Sie die Vorgänge ein, die der Sicherheitsprinzipal ausführen darf.

  • Wenn die Quelle der Warnung eine Microsoft Entra-Rolle in Ihrem Mandanten hat:

    • Wenden Sie sich an den Administrator.

    • Bestimmen Sie, ob Microsoft Entra-Berechtigungen reduziert oder widerrufen werden müssen.

Ermitteln der Auswirkungen

Nachdem die Auswirkungen behoben wurden, untersuchen Sie die betroffenen Geheimnisse in Ihrem Schlüsseltresor:

  1. Öffnen Sie die Seite „Sicherheit“ für Ihre Azure Key Vault-Instanz, und zeigen Sie die ausgelöste Warnung an.

  2. Wählen Sie die genaue ausgelöste Warnung aus. Überprüfen Sie die Liste der Geheimnisse, auf die zugegriffen wurde, und den Zeitstempel.

  3. Wenn Sie Key Vault-Diagnoseprotokolle aktiviert haben, überprüfen Sie optional die vorherigen Vorgänge für die entsprechende IP-Adresse, den Benutzerprinzipal oder die Objekt-ID des Aufrufers.

Ausführen einer Aktion

Wenn Sie Ihre Liste der Geheimnisse, Schlüssel und Zertifikate zusammengestellt haben, auf die der verdächtige Benutzer oder die verdächtige Anwendung zugegriffen hat, sollten Sie diese Objekte sofort rotieren.

  • Betroffene Geheimnisse sollten deaktiviert oder aus Ihrem Schlüsseltresor gelöscht werden.

  • Wenn die Anmeldeinformationen für eine bestimmte Anwendung verwendet wurden:

    • Wenden Sie sich an den Administrator der Anwendung, und bitten Sie ihn, die Umgebung auf die Verwendung der kompromittierten Anmeldeinformationen seit der Kompromittierung zu überprüfen.

    • Wenn die kompromittierten Anmeldeinformationen verwendet wurden, sollte der Besitzer der Anwendung ermitteln, auf welche Informationen zugegriffen wurde, und die Auswirkungen minimieren.

Reagieren auf Warnungen von Defender für DNS

Wenn Sie eine Warnung von Defender für DNS erhalten, empfehlen wir Ihnen, die Warnung wie unten beschrieben zu untersuchen und zu behandeln. Mit Defender für DNS werden alle verbundenen Ressourcen geschützt. Daher ist es wichtig, die Situation bei jeder Warnung auch dann genau zu überprüfen, wenn Sie mit den Anwendungen oder Benutzern vertraut sind, von denen die Warnung ausgelöst wurde.

Contact

Wenden Sie sich an den Ressourcenbesitzer, um zu bestimmen, ob das Verhalten erwartet oder beabsichtigt war.

  • Wenn die Aktivität erwartet wird, schließen Sie die Warnung.

  • Wenn die Aktivität unerwartet ist, behandeln Sie die Ressource als potenziell kompromittiert und mindern Sie das Risiko, wie im nächsten Schritt beschrieben.

Sofortige Risikominderung

Isolieren Sie die Ressource vom Netzwerk, um Lateral Movement zu verhindern.

  • Führen Sie eine vollständige Antischadsoftwareüberprüfung für die Ressource aus, und befolgen Sie dabei alle resultierenden Korrekturanweisungen.

  • Überprüfen Sie die installierte und laufende Software auf der Ressource, und entfernen Sie alle unbekannten oder unerwünschten Pakete.

  • Setzen Sie den Computer auf einen bekannten fehlerfreien Zustand zurück, installieren Sie bei Bedarf das Betriebssystem neu, und stellen Sie die Software über eine verifizierte Quelle ohne Schadsoftware wieder her.

  • Führen Sie die Schritte aller Defender für Cloud-Empfehlungen für den Computer aus, und beheben Sie die aufgeführten Sicherheitsprobleme, um zukünftige Sicherheitsverletzungen zu verhindern.

Reagieren auf Warnungen von Defender für Resource Manager

Wenn Sie eine Warnung von Defender für Resource Manager erhalten, empfehlen wir Ihnen, die Warnung wie unten beschrieben zu untersuchen und zu behandeln. Mit Defender für Resource Manager werden alle verbundenen Ressourcen geschützt. Daher ist es wichtig, die Situation bei jeder Warnung auch dann genau zu überprüfen, wenn Sie mit den Anwendungen oder Benutzern vertraut sind, von denen die Warnung ausgelöst wurde.

Contact

Wenden Sie sich an den Ressourcenbesitzer, um zu bestimmen, ob das Verhalten erwartet oder beabsichtigt war.

  • Wenn die Aktivität erwartet wird, schließen Sie die Warnung.

  • Wenn die Aktivität unerwartet ist, behandeln Sie die betroffenen Benutzerkonten, Abonnements und virtuellen Computer als kompromittiert und mindern Sie das Risiko, wie im nächsten Schritt beschrieben.

Sofortige Risikominderung

  • Risikominderung für kompromittierte Benutzerkonten:

    • Wenn sie nicht bekannt sind, löschen Sie sie, da sie möglicherweise von einem Angreifer erstellt wurden.

    • Wenn sie bekannt sind, ändern Sie ihre Anmeldeinformationen für die Authentifizierung.

    • Verwenden Sie Azure-Aktivitätsprotokolle, um alle von dem Benutzer ausgeführten Aktivitäten zu überprüfen und dabei alle verdächtigen Aktionen zu identifizieren.

  • Risikominderung für kompromittierte Abonnements:

    • Entfernen Sie alle unbekannten Runbooks aus dem kompromittierten Automation-Konto.

    • Überprüfen Sie die IAM-Berechtigungen für das Abonnement, und entfernen Sie Berechtigungen für alle unbekannten Benutzerkonten.

    • Überprüfen Sie alle Azure-Ressourcen im Abonnement, und löschen Sie alle unbekannten.

    • Ansehen und Untersuchen aller Sicherheitswarnungen für das Abonnement in Defender für Cloud

    • Verwenden Sie Azure-Aktivitätsprotokolle, um alle in dem Abonnement ausgeführten Aktivitäten zu überprüfen und dabei alle verdächtigen Aktionen zu identifizieren.

  • Korrigieren Sie die kompromittierten virtuellen Computer.

    • Ändern Sie die Kennwörter für alle Benutzer.

    • Führen Sie eine vollständige Antischadsoftwareüberprüfung auf dem Computer aus.

    • Führen Sie ein Reimaging der Computer aus einer schadsoftwarefreien Quelle durch.