Información sobre Microsoft Defender para Resource Manager
Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Se usan las características de administración, como el control de acceso, la auditoría y las etiquetas, para proteger y organizar los recursos después de la implementación.
La capa de administración de la nube es un servicio crucial conectado a todos los recursos en la nube. Debido a esta integración, también es un objetivo potencial para los atacantes. Por lo tanto, se recomienda que los equipos de operaciones de seguridad supervisen estrechamente la capa de administración de recursos.
Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos en su organización. Independientemente de si ocurren a través de Azure Portal, las API REST de Azure, la CLI de Azure u otros clientes de programación de Azure, Defender for Cloud ejecuta análisis de seguridad avanzados para detectar amenazas y alertas sobre actividades sospechosas.
¿Cuáles son las ventajas de Microsoft Defender para Resource Manager?
Defender para Resource Manager sirve de protección para problemas como:
Operaciones de administración de recursos sospechosas, como las operaciones desde direcciones IP sospechosas, la deshabilitación de antimalware y scripts sospechosos que se ejecutan en las extensiones de máquina virtual
Uso de kits de herramientas de explotación como Microburst o PowerZure
Movimiento lateral del nivel de administración de Azure al plano de datos de los recursos de Azure
Investigación de alertas de Microsoft Defender para Resource Manager
Las alertas de seguridad de Defender para Resource Manager se basan en las amenazas detectadas mediante la supervisión de las operaciones de Azure Resource Manager. Azure Defender usa orígenes de registros internos de Azure Resource Manager y el registro de actividad de Azure, un inicio de sesión de plataforma en Azure que proporciona información detallada sobre los eventos de nivel de suscripción.
Para investigar las alertas de seguridad de Defender para Resource Manager:
Abra el registro de actividad de Azure.
Filtre los eventos para:
La suscripción mencionada en la alerta
El período de tiempo de la actividad detectada
La cuenta de usuario relacionada (si procede)
Busque actividades sospechosas.