Répondre aux alertes à partir de ressources Azure

Effectué

Répondre à Defender pour le Cloud pour les alertes Key Vault

Quand vous recevez une alerte de Defender pour Key Vault, nous vous recommandons d’examiner et de répondre à l’alerte comme décrit ci-dessous. Defender pour Key Vault protège les applications et les informations d’identification. Ainsi, même si vous connaissez l’application ou l’utilisateur qui a déclenché l’alerte, il est important de vérifier le contexte de chaque alerte.

Chaque alerte de Azure Defender pour Key Vault comprend les éléments suivants :

  • ID de l'objet

  • Nom d’utilisateur principal ou adresse IP de la ressource suspecte

Contact

  • Vérifiez si le trafic provient de votre locataire Azure. Si le pare-feu du coffre de clés est activé, il est probable que vous ayez donné accès à l’utilisateur ou à l’application qui a déclenché cette alerte.

  • Si vous ne pouvez pas vérifier la source du trafic, passez à Étape 2. Atténuation immédiate.

  • Si vous pouvez identifier la source du trafic dans votre locataire, contactez l’utilisateur ou le propriétaire de l’application.

Atténuation immédiate

Si vous ne reconnaissez pas l’utilisateur ni l’application, ou si vous pensez que l’accès n’aurait pas dû être autorisé :

  • Si le trafic provient d’une adresse IP non reconnue :

    • Activez le pare-feu Azure Key Vault conformément aux indications de Configuration des pare-feu et réseaux virtuels Azure Key Vault.

    • Configurez le pare-feu avec des ressources et des réseaux virtuels approuvés.

  • Si la source de l’alerte était une application non autorisée ou un utilisateur suspect :

    • Ouvrez les paramètres de stratégie d’accès du coffre de clés.

    • Supprimez le principal de sécurité correspondant ou restreignez les opérations qu’il peut effectuer.

  • Si la source de l’alerte a un rôle Microsoft Entra dans votre locataire :

    • Contactez votre administrateur.

    • Déterminez s’il est nécessaire de réduire ou de révoquer des autorisations Microsoft Entra.

Identification de l’impact

Une fois l’impact atténué, examinez les secrets affectés dans votre coffre de clés :

  1. Ouvrez la page « Sécurité » de votre coffre de clés Azure Key Vault et consultez l’alerte déclenchée.

  2. Sélectionnez l’alerte précise qui a été déclenchée. Passez en revue la liste des secrets auxquels vous avez accédé et le timestamp.

  3. Éventuellement, si vous avez activé les journaux de diagnostic du coffre de clés, examinez les opérations précédentes pour l’adresse IP de l’appelant, l’utilisateur principal ou l’ID objet correspondant.

Effectuer une action

Une fois que vous avez compilé la liste des secrets, des clés et des certificats auxquels l’application ou l’utilisateur suspect a accédé, vous devez renouveler immédiatement ces objets.

  • Les secrets affectés doivent être désactivés ou supprimés de votre coffre de clés.

  • Si les informations d’identification ont été utilisées pour une application spécifique :

    • Contactez l’administrateur de l’application et demandez-lui d’auditer son environnement pour identifier toute utilisation des informations d’identification depuis qu’elles ont été compromises.

    • Si les informations d’identification compromises ont été utilisées, le propriétaire de l’application doit identifier les informations qui ont été consultées et atténuer l’impact.

Répondre à Defender pour les alertes DNS

Quand vous recevez une alerte de Defender pour DNS, nous vous recommandons d’examiner et de répondre à l’alerte comme décrit ci-dessous. Defender pour DNS protège toutes les ressources connectées. Ainsi, même si vous connaissez l’application ou l’utilisateur qui a déclenché l’alerte, il est important de vérifier le contexte de chaque alerte.

Contact

Contactez le propriétaire de la ressource pour déterminer si le comportement était attendu ou intentionnel.

  • Si l’activité est conforme à ce qui était prévu, ignorez l’alerte.

  • Si l’activité est inattendue, traitez la ressource comme potentiellement compromise et atténuez les risques comme décrit à l’étape suivante.

Atténuation immédiate

Isolez la ressource du réseau pour empêcher tout mouvement latéral.

  • Exécutez une analyse complète du logiciel anti-programme malveillant sur la ressource en suivant les conseils de correction qui en résultent.

  • Examinez les logiciels installés et en cours d’exécution sur la ressource en supprimant les packages inconnus ou indésirables.

  • Rétablissez l’état correct de l’ordinateur, en réinstallant le système d’exploitation si nécessaire, et en restaurant les logiciels à partir d’une source sans programme malveillant vérifiée.

  • Résolvez les recommandations de Defender pour le Cloud pour l’ordinateur, en corrigeant les problèmes de sécurité mis en évidence afin d’éviter les futures violations.

Répondre à Defender pour les alertes Resource Manager

Quand vous recevez une alerte de Defender pour Resource Manager, nous vous recommandons d’examiner et de répondre à l’alerte comme décrit ci-dessous. Defender pour Resource Manager protège toutes les ressources connectées. Ainsi, même si vous connaissez l’application ou l’utilisateur qui a déclenché l’alerte, il est important de vérifier le contexte de chaque alerte.

Contact

Contactez le propriétaire de la ressource pour déterminer si le comportement était attendu ou intentionnel.

  • Si l’activité est conforme à ce qui était prévu, ignorez l’alerte.

  • Si l’activité est inattendue, traitez les comptes d’utilisateurs, les abonnements et les machines virtuelles concernés comme étant compromis et atténuez les risques comme décrit à l’étape suivante.

Atténuation immédiate

  • Corrigez les comptes d’utilisateur compromis :

    • S’ils ne vous sont pas familiers, supprimez-les, car ils ont peut-être été créés par un intervenant représentant une menace.

    • S’ils vous sont familiers, modifiez leurs informations d’authentification.

    • Utilisez les journaux d’activité Azure pour passer en revue toutes les activités effectuées par l’utilisateur et identifier celles qui sont suspectes.

  • Corrigez les abonnements compromis :

    • Supprimez les runbooks inconnus du compte Automation compromis.

    • Révisez les autorisations IAM pour l’abonnement et supprimez les autorisations pour tout compte d’utilisateur inconnu.

    • Passez en revue toutes les ressources Azure de l’abonnement et supprimez celles qui ne vous sont pas familières.

    • Examiner et analyser les alertes de sécurité pour l’abonnement dans Defender pour le Cloud

    • Utilisez les journaux d’activité Azure pour passer en revue toutes les activités effectuées par l’abonnement et identifier celles qui sont suspectes.

  • Corrigez les machines virtuelles compromises :

    • Modifiez les mots de passe de tous les utilisateurs.

    • Exécutez une analyse complète du logiciel anti-programme malveillant sur l’ordinateur.

    • Réinitialisez les ordinateurs à partir d’une source exempte de programme malveillant.