Grundlegendes zu Microsoft Defender für Resource Manager

  • 4 Minuten

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, die das Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Konto ermöglicht. Mithilfe von Verwaltungsfeatures wie Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.

Die Cloudverwaltungsebene ist ein wichtiger Dienst, der mit allen Ihren Cloudressourcen verbunden ist. Durch diese Integration ist es auch ein potenzielles Ziel für Angreifer. Daher sollte die Ressourcenverwaltungsebene sehr genau von Sicherheitsteams überwacht werden.

Microsoft Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Unabhängig davon, ob sie über das Azure-Portal, Azure REST APIs, Azure CLI oder andere programmatische Azure-Clients durchgeführt werden, führt Defender für die Cloud fortschrittliche Sicherheitsanalysen durch, um Bedrohungen zu erkennen und Sie über verdächtige Aktivitäten zu informieren.

Welche Vorteile bietet Microsoft Defender für Resource Manager?

Defender für Resource Manager schützt z. B. vor folgenden Problemen:

  • Verdächtige Ressourcenverwaltungsvorgänge, beispielsweise Vorgänge von verdächtigen IP-Adressen, Deaktivierung von Antischadsoftware oder die Ausführung verdächtiger Skripts in VM-Erweiterungen

  • Verwendung von Exploit-Toolkits wie Microburst oder PowerZure

  • Lateral Movement von der Azure-Verwaltungsebene zur Azure-Ressourcendatenebene

Untersuchen von Warnungen von Microsoft Defender für Resource Manager

Sicherheitswarnungen von Defender für Resource Manager basieren auf Bedrohungen, die bei der Überwachung von Azure Resource Manager-Vorgängen erkannt werden. Defender für Cloud nutzt interne Protokollquellen von Azure Resource Manager sowie das Azure-Aktivitätsprotokoll. Hierbei handelt es sich um eine Plattform in Azure, die Einblicke in Ereignisse auf Abonnementebene bietet.

So untersuchen Sie Sicherheitswarnungen von Defender für Resource Manager

  1. Öffnen Sie das Azure-Aktivitätsprotokoll.

  2. Filtern Sie die Ereignisse nach Folgendem:

    • In der Warnung erwähntes Abonnement

    • Zeitrahmen der erkannten Aktivität

    • Zugehöriges Benutzerkonto (sofern relevant)

  3. Suchen Sie nach verdächtigen Aktivitäten.