适用于资源管理器的 Azure Defender 简介

Azure 资源管理器是 Azure 的部署和管理服务。 它提供了一个管理层,用于在 Azure 帐户中创建、更新和删除资源。 部署后,可以使用访问控制、锁和标记等管理功能来保护和组织资源。

云管理层是连接到所有云资源的关键服务。 因此,它也是攻击者的潜在目标。 因此,建议安全运营团队密切监视资源管理层。

无论操作是通过 Azure 门户、Azure REST API、Azure CLI 还是其他 Azure 编程客户端执行的,适用于资源管理器的 Azure Defender 都会自动监视组织中的资源管理操作。 Azure Defender 运行高级安全分析来检测威胁并向你发出有关可疑活动的警报。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 适用于资源管理器的 Azure Defender 按安全中心定价中所示的定价计费
云: Azure 中国

适用于资源管理器的 Azure Defender 有哪些优点?

适用于资源管理器的 Azure Defender 可以防止出现以下问题:

  • 可疑资源管理操作,例如来自恶意 IP 地址的操作、禁用在 VM 扩展中运行的反恶意软件和可疑脚本
  • 使用开发工具包,例如 Microburst 或PowerZure
  • 从 Azure 管理层到 Azure 资源数据平面的横向移动

Azure 资源管理器概述示意图。

如何调查来自适用于资源管理器的 Azure Defender 的警报

来自适用于资源管理器的 Azure Defender 的安全警报基于通过监视 Azure 资源管理器操作检测到的威胁。 Azure Defender 使用 Azure 资源管理器的内部日志源以及 Azure 活动日志(Azure 中的平台日志,提供对订阅级别事件的见解)。

详细了解 Azure 活动日志

调查来自适用于资源管理器的 Azure Defender 的安全警报:

  1. 打开 Azure 活动日志。

    如何打开 Azure 活动日志。

  2. 将事件筛选为:

    • 警报中提到的订阅
    • 检测到的活动的时间范围
    • 相关的用户帐户(如果有)
  3. 查找可疑活动。

后续步骤

本文介绍了适用于资源管理器的 Azure Defender。

如需相关材料,请参阅以下文章:

  • 安全警报可能是由安全中心生成的,也可能是由安全中心从其他安全产品接收的。 若要将所有这些警报导出到任何第三方 SIEM 或任何其他外部工具,请按照将警报导出到 SIEM 中的说明操作。