Microsoft Defender for Resource Manager について
Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 お使いの Azure アカウント内のリソースを作成、更新、および削除できる管理レイヤーを提供します。 アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースを保護および整理します。
このクラウド管理レイヤーは、すべてのクラウド リソースに接続される非常に重要なサービスです。 このように統合されているので、攻撃者の標的になるリスクもはらんでいます。 したがって、セキュリティ運用チームでリソース管理レイヤーを厳しく監視することをお勧めします。
Microsoft Defender for Resource Manager では、組織内のリソース管理操作を自動的に監視します。 Azure portal、Azure REST API、Azure CLI、その他の Azure プログラム クライアントのいずれを介して実行した場合でも、Defender for Cloud によって高度なセキュリティ分析を実行して脅威を検出し、疑わしいアクティビティの警告を受け取ることができます。
Microsoft Defender for Resource Manager の利点
Defender for Resource Manager は、次の問題から保護します。
不審なリソース管理操作: 不審な IP アドレスからの操作、マルウェア対策ソフトの無効化、VM の拡張機能で実行される不審なスクリプトなど
悪用ツールキット: Microburst、PowerZure など
侵入拡大: Azure 管理レイヤーから Azure リソースのデータ プレーンへの侵入
Microsoft Defender for Resource Manager からのアラートを調査する方法
Defender for Resource Manager からのセキュリティ アラートは、Azure Resource Manager 操作を監視することで検出された脅威に基づいています。 Defender for Cloud では、Azure Resource Manager の内部ログ ソースと、Azure のアクティビティ ログが使用されます。これは Azure のプラットフォーム サインインであり、サブスクリプションレベルのイベントについての分析情報が得られます。
Defender for Resource Manager からのセキュリティ アラートを調査するには、次のことを行います。
Azure のアクティビティ ログを開きます。
イベントに次のフィルターを適用します。
アラート内で言及されているサブスクリプション
検出されたアクティビティの期間
関連するユーザー アカウント (該当する場合)
不審なアクティビティを探します。