Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文提供特定于Azure的指南,用于检测和响应勒索软件攻击。
小窍门
本文重点介绍 Azure 专用的检测和响应。 有关全面指南,请参阅 保护组织免受勒索软件和敲诈勒索。
勒索软件事件通常具有安全团队可以识别的不同警告信号。 与其他恶意软件类型不同,勒索软件通常会出现高度明显的指标,在宣布事件之前需要极少的调查。 这些高置信度触发器与升级前需要广泛分析的更微妙的威胁形成鲜明对比。 当勒索软件袭击时,证据往往是明确的。
检测勒索软件攻击
Microsoft Defender for Cloud为Azure资源提供高质量的威胁检测和响应功能,也称为“扩展检测和响应”(XDR)。
确保在Azure环境中快速检测和修正Azure VM、SQL Server、Web 应用程序和标识上的常见攻击。
优先处理常用入口 - 勒索软件及其他威胁倾向于使用终端/电子邮件/身份验证 + 远程桌面协议 (RDP)
- Integrated XDR - 使用集成扩展检测和响应(XDR)工具(如 Microsoft Defender for Cloud),为 Azure 资源提供高质量的警报,并最大程度地减少响应期间的摩擦和手动步骤。
- Brute Force - 监控针对 Azure 资源的暴力破解尝试,例如密码喷射攻击。
监视攻击者关闭安全机制 - 通常是人工操作勒索软件(HumOR)攻击链的一部分
事件日志清除 - 尤其是 Azure 虚拟机上的安全事件日志和 PowerShell 操作日志
- 禁用安全工具/控制措施(与某些组关联)
不要忽略商品恶意软件 - 勒索软件攻击者经常从暗网市场购买进入目标组织的途径
将外部专家集成到 流程中,以补充专业知识,例如 Microsoft事件响应团队。
快速隔离 受损的 Azure VM,使用 Defender for Endpoint。
响应勒索软件攻击
事件声明
确认成功感染勒索软件后,分析人员应验证它是否表示新事件,或者它是否可能与现有事件相关。 查找指示类似事件的当前正在处理中的工单。 如果有,请用票证系统中的新信息更新当前事件票证。 如果这是一个新事件,则应在相关票证系统中声明事件,并将其上报给适当的团队或提供商,以限制并缓解事件。 请注意,管理勒索软件事件可能需要由多个 IT 和安全团队采取行动。 在可能的情况下,请确保将该票证清楚地标识为勒索软件事件以引导工作流。
限制/缓解
通常,应将各种服务器/终结点反恶意软件、电子邮件反恶意软件和网络保护解决方案配置为自动包含和缓解已知勒索软件。 但是,在某些情况下,特定的勒索软件变体可以绕过此类保护并成功感染目标系统。
Microsoft提供了大量资源来帮助更新 Top Azure 安全最佳做法上的事件响应过程。
推荐采取以下措施,以遏制或缓解涉及勒索软件的已声明事件,当反恶意软件系统所采取的自动措施未能成功时:
- 通过标准支持流程吸引反恶意软件供应商
- 将与恶意软件关联的哈希和其他信息手动添加到反恶意软件系统
- 应用反恶意软件供应商更新
- 限制受影响的系统,直到可以对其进行修正
- 禁用遭到入侵的帐户
- 执行根本原因分析
- 在受影响的系统上应用相关的补丁和配置更改
- 使用内部和外部控制措施阻止勒索软件通信
- 清除缓存内容
恢复之路
Microsoft事件响应团队可帮助保护你免受攻击。
对于勒索软件目标而言,率先了解并修复导致入侵的根本安全问题应是重中之重。
将外部专家(例如 Microsoft 事件响应)纳入流程中,以补充专业知识。 Microsoft事件响应与世界各地的客户互动,帮助保护和强化Azure环境免受攻击的侵害,以及在发生攻击时进行调查和修正。
客户可以直接在 Microsoft Defender 门户中与安全专家联系,以便及时准确地做出响应。 专家将提供客户所需的见解,以便客户更好地了解影响组织的复杂威胁(从警报查询、可能遭到入侵的设备、可疑网络连接的根本原因到与持续的高级持久威胁活动有关的其他威胁情报)。
Microsoft 已准备好帮助你的公司重返安全运营。
Microsoft 会执行数百次安全妥协恢复,并且有一套成熟可靠的方法。 它不仅让你更加安全,还为你提供考虑长期策略(而不是应对这种情况)的机会。
Microsoft 提供快速勒索软件恢复服务。 根据这一点,在标识服务恢复、修正和强化等所有领域都提供了帮助,以及监视部署,以帮助勒索软件攻击的目标在最短的时间范围内恢复正常业务。
我们的快速勒索软件恢复服务在服务的持续时间内被视为“机密”。 Microsoft事件响应团队专门提供的快速勒索软件恢复服务。 有关详细信息,您可以通过请求与 Microsoft 事件响应团队联系以讨论 Azure 安全。
后续步骤
有关所有Microsoft平台和服务的综合勒索软件保护指南,请参阅 保护组织免受勒索软件和敲诈勒索。
其他Azure勒索软件文章: