通过

响应适用于资源管理器的 Microsoft Defender 警报

  • 项目

当收到来自适用于资源管理器的 Microsoft Defender 的警报时,建议按如下所述调查和响应警报。 适用于资源管理器的 Defender 为所有连接的资源提供保护,因此即使你熟悉触发警报的应用程序或用户,也请务必基于每个警报验证相关情况。

联系人

  1. 请联系资源所有者,确定行为是预期的还是有意的。
  2. 如果活动是预期的,请关闭警报。
  3. 如果活动是意外发生的,请将相关的用户帐户、订阅和虚拟机视为处于已泄露状态,并根据下一步中所述进行缓解。

调查来自适用于资源管理器的 Microsoft Defender 的警报

适用于资源管理器的 Defender 的安全警报以通过监视 Azure 资源管理器操作检测到的威胁为基础。 Defender for Cloud 使用 Azure 资源管理器的内部日志源以及 Azure 活动日志(Azure 中的平台日志,提供对订阅级别事件的见解)。

使用适用于资源管理器的 Defender,可以了解第三方服务提供商的活动,这些服务提供商已将访问权限作为资源管理器警报的一部分进行了委派。 例如 Azure Resource Manager operation from suspicious proxy IP address - delegated access

Delegated access 是指使用 Azure Lighthouse委派管理权限进行访问。

显示 Delegated access 的警报还包括自定义说明和修正步骤。

详细了解 Azure 活动日志

调查适用于资源管理器的 Defender 的安全警报:

  1. 打开 Azure 活动日志。

    如何打开 Azure 活动日志。

  2. 将事件筛选为:

    • 警报中提到的订阅
    • 检测到的活动的时间范围
    • 相关的用户帐户(如果有)

  3. 查找可疑活动。

提示

为了获得更好且更丰富的调查体验,请按照从 Azure 活动日志连接数据中所述,将 Azure 活动日志流式传输到 Microsoft Sentinel。

立即缓解

  1. 修正已泄露的用户帐户:

    • 如果不熟悉它们,请将其删除,因为它们可能是由威胁参与者创建的
    • 如果熟悉这些用户帐户,请更改其身份验证凭据
    • 使用 Azure 活动日志查看该用户执行的所有活动,并识别任何可疑活动

  2. 修正已泄露的订阅:

    • 从已泄露的自动化帐户中删除所有不熟悉的 Runbook
    • 查看订阅的 IAM 权限,并删除任何不熟悉的用户帐户的权限
    • 查看订阅中的所有 Azure 资源并删除所有不熟悉的资源
    • 在 Microsoft Defender for Cloud 中查看并调查订阅的任何安全警报
    • 使用 Azure 活动日志查看在订阅中执行的所有活动,并识别任何可疑活动

  3. 修正被入侵的虚拟机

    • 更改所有用户的密码
    • 在计算机上运行全面的反恶意软件扫描
    • 从无恶意软件源对计算机重置映像

后续步骤

此页介绍了对来自适用于资源管理器的 Defender 的警报进行响应的过程。 如需相关信息,请参阅以下页面: