Reageren op waarschuwingen van Azure-resources

  • 11 minuten

Reageren op Defender voor Cloud voor Key Vault-waarschuwingen

Wanneer u een waarschuwing van Defender voor Key Vault ontvangt, raden we u aan de waarschuwing te onderzoeken en erop te reageren, zoals hieronder wordt beschreven. Defender voor Key Vault beveiligt toepassingen en referenties, dus zelfs als u bekend bent met de toepassing of gebruiker die de waarschuwing heeft geactiveerd, is het belangrijk om de situatie rondom elke waarschuwing te controleren.

Elke waarschuwing van Defender voor Key Vault bevat de volgende elementen:

  • Object-id

  • User Principal Name of IP-adres van de verdachte resource

Contactpersoon

  • Controleer of het verkeer afkomstig is van uw Azure-tenant. Als de firewall van de sleutelkluis is ingeschakeld, hebt u waarschijnlijk toegang verleend tot de gebruiker of toepassing die deze waarschuwing heeft geactiveerd.

  • Als u de bron van het verkeer niet kunt controleren, gaat u verder met stap 2. Onmiddellijke beperking.

  • Als u de bron van het verkeer in uw tenant kunt identificeren, neemt u contact op met de gebruiker of eigenaar van de toepassing.

Onmiddellijke beperking

Als u de gebruiker of toepassing niet herkent of als u denkt dat de toegang niet is geautoriseerd:

  • Als het verkeer afkomstig is van een niet-herkend IP-adres:

    • Schakel de Azure Key Vault-firewall in zoals beschreven in Azure Key Vault-firewalls en virtuele netwerken configureren.

    • Configureer de firewall met vertrouwde resources en virtuele netwerken.

  • Als de bron van de waarschuwing een niet-geautoriseerde toepassing of verdachte gebruiker was:

    • Open de toegangsbeleidsinstellingen van de sleutelkluis.

    • Verwijder de bijbehorende beveiligingsprincipaal of beperk de bewerkingen die de beveiligingsprincipaal kan uitvoeren.

  • Als de bron van de waarschuwing een Microsoft Entra-rol heeft in uw tenant:

    • Neem contact op met uw beheerder.

    • Bepaal of microsoft Entra-machtigingen moeten worden beperkt of ingetrokken.

Impact identificeren

Wanneer de impact is beperkt, onderzoekt u de geheimen in uw sleutelkluis die zijn beïnvloed:

  1. Open de pagina Beveiliging in uw Azure Key Vault en bekijk de geactiveerde waarschuwing.

  2. Selecteer de specifieke waarschuwing die is geactiveerd. Bekijk de lijst met geheimen die zijn geopend en de tijdstempel.

  3. Als diagnostische logboeken voor key vault zijn ingeschakeld, controleert u eventueel de vorige bewerkingen voor het bijbehorende IP-adres, de gebruikersprincipaal of de object-id van de aanroeper.

Actie ondernemen

Wanneer u uw lijst met geheimen, sleutels en certificaten hebt gecompileerd waartoe de verdachte gebruiker of toepassing toegang heeft, moet u deze objecten onmiddellijk roteren.

  • Betrokken geheimen moeten worden uitgeschakeld of verwijderd uit uw sleutelkluis.

  • Als de referenties zijn gebruikt voor een specifieke toepassing:

    • Neem contact op met de beheerder van de toepassing en vraag hen om hun omgeving te controleren op elk gebruik van de aangetaste referenties omdat ze zijn gecompromitteerd.

    • Als de gecompromitteerde referenties zijn gebruikt, moet de eigenaar van de toepassing de informatie identificeren die is geopend en de impact beperken.

Reageren op Defender voor DNS-waarschuwingen

Wanneer u een waarschuwing van Defender voor DNS ontvangt, wordt u aangeraden de waarschuwing te onderzoeken en erop te reageren, zoals hieronder wordt beschreven. Defender voor DNS beveiligt alle verbonden resources, dus zelfs als u bekend bent met de toepassing of gebruiker die de waarschuwing heeft geactiveerd, is het belangrijk om de situatie rondom elke waarschuwing te controleren.

Contactpersoon

Neem contact op met de resource-eigenaar om te bepalen of het gedrag verwacht of opzettelijk is.

  • Als de activiteit wordt verwacht, sluit u de waarschuwing.

  • Als de activiteit onverwacht is, behandelt u de resource als mogelijk gecompromitteerd en beperkt u deze, zoals beschreven in de volgende stap.

Onmiddellijke beperking

Isoleer de resource van het netwerk om laterale verplaatsing te voorkomen.

  • Voer een volledige antimalwarescan uit op de resource, na eventueel resulterend hersteladvies.

  • Controleer geïnstalleerde en actieve software op de resource, verwijder onbekende of ongewenste pakketten.

  • Zet de machine terug naar een bekende goede status, installeer het besturingssysteem indien nodig opnieuw en herstel software van een geverifieerde bron zonder malware.

  • Los eventuele Defender voor Cloud aanbevelingen voor de machine op, waarbij gemarkeerde beveiligingsproblemen worden opgelost om toekomstige schendingen te voorkomen.

Reageren op Defender voor Resource Manager-waarschuwingen

Wanneer u een waarschuwing van Defender voor Resource Manager ontvangt, raden we u aan de waarschuwing te onderzoeken en erop te reageren, zoals hieronder wordt beschreven. Defender voor Resource Manager beveiligt alle verbonden resources, dus zelfs als u bekend bent met de toepassing of gebruiker die de waarschuwing heeft geactiveerd, is het belangrijk om de situatie rondom elke waarschuwing te controleren.

Contactpersoon

Neem contact op met de resource-eigenaar om te bepalen of het gedrag verwacht of opzettelijk is.

  • Als de activiteit wordt verwacht, sluit u de waarschuwing.

  • Als de activiteit onverwacht is, behandelt u de gerelateerde gebruikersaccounts, abonnementen en virtuele machines als aangetast en beperkt u deze, zoals beschreven in de volgende stap.

Onmiddellijke beperking

  • Herstel gecompromitteerde gebruikersaccounts:

    • Als ze niet bekend zijn, verwijdert u deze omdat ze mogelijk zijn gemaakt door een bedreigingsacteur

    • Als ze bekend zijn, wijzigt u de verificatiereferenties

    • Azure-activiteitenlogboeken gebruiken om alle activiteiten te bekijken die door de gebruiker worden uitgevoerd en om eventuele activiteiten te identificeren die verdacht zijn

  • Gecompromitteerde abonnementen herstellen:

    • Verwijder onbekende Runbooks uit het gecompromitteerde Automation-account

    • IAM-machtigingen voor het abonnement controleren en machtigingen verwijderen voor een onbekend gebruikersaccount

    • Bekijk alle Azure-resources in het abonnement en verwijder alle resources die onbekend zijn

    • Controleer en onderzoek eventuele beveiligingswaarschuwingen voor het abonnement in Defender voor Cloud

    • Azure-activiteitenlogboeken gebruiken om alle activiteiten te bekijken die in het abonnement worden uitgevoerd en om eventuele activiteiten te identificeren die verdacht zijn

  • De gecompromitteerde virtuele machines herstellen

    • De wachtwoorden voor alle gebruikers wijzigen

    • Een volledige antimalwarescan uitvoeren op de computer

    • Installatiekopie van de machines herstellen vanuit een bron zonder malware