确认、包含和保护泄露的基本步骤

适当的角色：管理员代理 |安全联系人

本文可帮助你采取措施来确认、包含和保护泄露。

1. 确认：
   • 查看已泄露的 Azure 订阅，并检查支出异常。 有关详细信息，请参阅 Microsoft 成本管理。
   • 对有风险的用户和 Azure Monitor 活动日志进行彻底调查，以确认泄露并立即包含风险。 请务必注意，调查期间错过的任何持久性方法都可能导致攻击者继续访问，这可能导致潜在的重新编译。 因此，必须仔细调查，以防止将来发生任何攻击。
2. 包含：
   • 如果你确定客户遭到入侵，并且存在未完成欺诈行为，则可以尝试与客户合作，或采取单方面措施取消订阅。 可以立即 取消确认包含泄露的 Azure 订阅 。 然后，采取所需的步骤来快速识别和逐出威胁参与者。 有关详细信息，请参阅 如何快速修正已泄露的标识。
3. 安全：
   • 包含滥用行为时，应执行保护租户的工作。 遵循云解决方案提供商和客户租户的最佳做法准则。 有关详细信息，请参阅 有关如何解决安全警报的说明。
4. 改进：
   • 花些时间调查并了解入侵的发生方式。 这样做可能会发现可以修正的整体安全状况中的弱点。

有关详细信息，请参阅 支持。