重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
使用本文来调查并缓解 Microsoft Defender for 资源管理器 发出的安全警报。 它可帮助你核实可疑活动,并对受影响的账户、订阅和虚拟机立即采取遏制措施。
调查和响应警报
使用本文档中的指导,调查并响应来自 Microsoft Defender for 资源管理器 的警报。 Defender for 资源管理器 可保护所有连接的资源。 核实每条警报的相关情况,即使你熟悉触发该警报的应用程序或用户。
响应警报
请联系资源所有者,确定行为是预期的还是有意的。 如果活动是预期的,则关闭警报。 如果该活动不在预期内,请将相关用户账户、订阅和虚拟机视为已被入侵。 使用以下修正步骤调查和缓解威胁。
调查来自适用于资源管理器的 Microsoft Defender 的警报
适用于资源管理器的 Defender 的安全警报以通过监视 Azure 资源管理器操作检测到的威胁为基础。 Defender for Cloud使用内部日志源和Azure活动日志。 Azure活动日志是一个Azure平台日志,提供订阅级事件的见解。
Defender for 资源管理器 提供对非微软服务提供商的活动的可见性,这些提供商作为 资源管理器 警报的一部分委托访问权限。 例如 Azure 资源管理器 operation from suspicious proxy IP address - delegated access。
Delegated access是指通过 Azure Lighthouse 或委派管理权限授予的访问权限。 有关详细信息,请参阅 Azure Lighthouse 和 委派管理权限。
显示 Delegated access 的警报还包括自定义说明和修正步骤。
Azure活动日志提供用于调查的订阅级事件。 有关详细信息,请参阅 Azure 活动日志文档。
若要调查 Defender for 资源管理器 中的安全警报:
打开 Azure 活动日志。
将事件筛选为:
- 警报中提到的订阅
- 检测到的活动的时间范围
- 相关的用户帐户(如果有)
查找可疑活动。
提示
为了获得更丰富的调查体验,请将Azure活动日志流式传输到Microsoft Sentinel。 有关设置步骤,请参阅 连接 Azure 活动日志中的数据。
立即采取缓解措施
为遏制威胁并防止进一步损害,请立即执行以下步骤:
修正已泄露的用户帐户:
- 删除无法识别的帐户,因为威胁参与者可能已创建这些帐户。
- 对于识别的帐户,请更改其身份验证凭据。
- 查看Azure活动日志中的所有用户活动并识别可疑操作。
修复已遭入侵的订阅:
- 从任何已被入侵的自动化帐户中删除不熟悉的运行手册。
- 查看订阅的 IAM 权限,并删除不熟悉的用户帐户的权限。
- 查看订阅中的所有Azure资源,并删除任何不熟悉的资源。
- 在 Microsoft Defender for Cloud 中查看和调查订阅的安全警报。
- 使用Azure活动日志查看订阅中的所有活动并识别可疑操作。
修正受损的虚拟机:
- 更改所有用户的密码。
- 在每台计算机上运行完整的反恶意软件扫描。
- 从已验证的无恶意软件源重置计算机映像。