Share via

Реагирование на оповещения Microsoft Defender для Resource Manager

  • Статья

Если вы получите оповещение от Microsoft Defender для Resource Manager, мы рекомендуем проанализировать его и отреагировать на это оповещение, как описано ниже. Defender для Resource Manager защищает приложения и учетные данные. Даже если вы знакомы с приложением или пользователем, активировавшим это оповещение, изучите причины возникновения каждого оповещения.

Шаг 1. Контакт

  1. Обратитесь к владельцу ресурса, чтобы определить, было ли это поведение ожидаемым или намеренным.
  2. Если действие ожидаемо, отклоните предупреждение.
  3. Если действие является непредвиденным, следует считать связанные учетные записи пользователей, подписки и виртуальные машины как скомпрометированные и устранить их, как описано на следующем шаге.

Шаг 2. Изучение оповещений из Microsoft Defender для Resource Manager

Оповещения системы безопасности от Defender для Resource Manager активируются при обнаружении угроз в процессе мониторинга операций Azure Resource Manager. В Defender для облака используются внутренние источники журналов Azure Resource Manager, а также журнал действий Azure (журнал платформы в Azure, который предоставляет сведения о событиях на уровне подписки).

Defender для Resource Manager обеспечивает видимость действий, поступающих от сторонних поставщиков услуг, которые имеют делегированный доступ в рамках оповещений resource manager. Например, Azure Resource Manager operation from suspicious proxy IP address - delegated access.

Delegated access ссылается на доступ с помощью Azure Lighthouse или с правами делегированного администрирования.

Оповещения, которые отображаются Delegated access также включают настраиваемые инструкции по описанию и исправлению.

Дополнительные сведения о журналах действий Azure.

Чтобы исследовать оповещения системы безопасности от Defender для Resource Manager, сделайте следующее:

  1. Откройте журнал действий Azure

    How to open Azure Activity log.

  2. Отфильтруйте события по доступным параметрам.

    • Подписке, упомянутой в предупреждении
    • Интервалу времени обнаружения действия
    • Связанной учетной записи пользователя (если есть)

  3. Найдите подозрительные действия.

Совет

Чтобы получить более широкие возможности исследования оповещений, передайте журналы действий Azure в Microsoft Sentinel, как описано в разделе Подключение данных из журнала действий Azure.

Шаг 3. Немедленное устранение рисков

  1. Исправление скомпрометированных учетных записей пользователей:

    • Если они незнакомы, удалите их, как они могли быть созданы субъектом угроз
    • Если они знакомы, измените учетные данные для проверки подлинности
    • Используйте журналы действий Azure для просмотра всех действий, выполняемых пользователем, и обнаружения подозрительных

  2. Исправление скомпрометированных подписок:

    • Удалите незнакомые модули Runbook из скомпрометированной учетной записи службы автоматизации
    • Проверьте разрешения IAM для подписки и удалите разрешения для любой неизвестной учетной записи пользователя.
    • Проверьте все ресурсы Azure в подписке и удалите все, которые не знакомы
    • Просмотрите и изучите все оповещения системы безопасности для подписки в Microsoft Defender для облака.
    • Используйте журналы действий Azure для просмотра всех действий, выполняемых в подписке, и обнаружения подозрительных

  3. Исправьте скомпрометированные виртуальные машины

    • Измените пароли для всех пользователей
    • Выполните полную проверку на наличие вредоносных программ на компьютере
    • Восстановите образ машин из источника, свободного от вредоносных программ

Следующие шаги

На этой странице описан процесс реагирования на оповещение от Defender для Resource Manager. Больше узнать об этих возможностях можно на следующих страницах: