响应 Microsoft Defender for DNS 警报
重要
从 2023 年 8 月 1 日开始,拥有 Defender for DNS 订阅的客户可以继续使用该服务,但作为 Defender for Servers P2 的一部分,新订阅者将收到有关可疑 DNS 活动的警报。
收到有关 DNS 事务中发现的可疑和异常活动的安全警报时,建议按如下所述调查并响应警报。 即使你熟悉触发警报的应用程序或用户,也请基于每个警报验证相关情况,这一点非常重要。
- 请联系资源所有者,确定行为是预期的还是有意的。
- 如果活动是预期的,请关闭警报。
- 如果活动是意外发生的,请将资源处理为可能存在泄露风险并根据下一步中所述进行缓解。
- 将资源与网络隔离,以防止横向移动。
- 按照任何生成的修正建议,对资源运行完整的反恶意软件扫描。
- 查看资源上已安装且正在运行的软件,删除任何未知或不需要的包。
- 将计算机还原到已知的良好状态,根据需要重新安装操作系统,并从经过验证的无恶意软件源还原软件。
- 解决计算机的任何 Microsoft Defender for Cloud 建议,修正突出显示的安全问题以防止将来出现漏洞。
了解如何响应 DNS 警报后,请详细了解如何管理警报。
如需相关材料,请参阅以下文章:
- 将 Defender for Cloud 警报导出到集中式安全信息和事件管理 (SIEM) 系统,例如 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具。
- 将警报实时发送到 Log Analytics 或事件中心,以创建自动化过程来分析和响应安全警报。