重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
重要
- 自 2023 年 8 月 1 日起,拥有 Defender for DNS 的现有订阅的客户可以继续使用该服务作为独立计划。
- 保护范围没有变化:Defender for DNS 继续保护连接到 Azure 的默认 DNS 解析程序的所有 Azure 资源。 此更改会影响 DNS 保护的计费和捆绑方式,而不是涵盖哪些资源。
收到有关 DNS 事务中标识的可疑和异常活动的安全警报时,建议调查并响应警报,如下所示。 即使你熟悉触发警报的应用程序或用户,请务必验证每个警报周围的情况。
联系资源所有者
根据警报,资源所有者可能是触发警报的用户、应用程序或服务。 资源所有者通常是负责生成警报的资源的人员或团队。
- 请联系资源所有者,确定行为是预期的还是有意的。
- 如果活动是预期的,请关闭警报。
- 如果活动是意外发生的,请将资源处理为可能存在泄露风险并根据下一步中所述进行缓解。
减轻警报
如果资源所有者确认活动意外,应尽快缓解警报,以防止进一步损坏。
- 将资源与网络隔离,以防止横向移动。
- 按照任何生成的修正建议,对资源运行完整的反恶意软件扫描。
- 查看资源上已安装且正在运行的软件,删除任何未知或不需要的包。
- 将计算机还原为已知良好状态,根据需要重新安装作系统,并从已验证的无恶意软件源还原软件。
- 解决针对计算机的任何 Microsoft Defender for Cloud 建议,修正突出显示的安全问题以防止将来出现漏洞。
相关内容
了解如何将 Defender for Cloud 警报导出 到集中式安全信息和事件管理(SIEM)系统,例如Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具。
了解如何 将警报实时发送到 Log Analytics 或事件中心,以创建自动化过程来分析和响应安全警报。