Reagowanie na alerty z zasobów platformy Azure

  • 11 min

Reagowanie na Defender dla Chmury alertów usługi Key Vault

Po otrzymaniu alertu z usługi Defender for Key Vault zalecamy zbadanie alertu i reagowanie na nie zgodnie z poniższym opisem. Usługa Defender for Key Vault chroni aplikacje i poświadczenia, więc nawet jeśli znasz aplikację lub użytkownika, który wyzwolił alert, ważne jest zweryfikowanie sytuacji związanej z każdym alertem.

Każdy alert z usługi Defender for Key Vault zawiera następujące elementy:

  • Identyfikator obiektu

  • Główna nazwa użytkownika lub adres IP podejrzanego zasobu

Kontakt biznesowy

  • Sprawdź, czy ruch pochodzi z dzierżawy platformy Azure. Jeśli zapora magazynu kluczy jest włączona, prawdopodobnie udzielono ci dostępu do użytkownika lub aplikacji, która wyzwoliła ten alert.

  • Jeśli nie możesz zweryfikować źródła ruchu, przejdź do kroku 2. Natychmiastowe środki zaradcze.

  • Jeśli możesz zidentyfikować źródło ruchu w dzierżawie, skontaktuj się z użytkownikiem lub właścicielem aplikacji.

Natychmiastowe ograniczanie ryzyka

Jeśli nie rozpoznajesz użytkownika lub aplikacji lub uważasz, że dostęp nie powinien być autoryzowany:

  • Jeśli ruch pochodzi z nierozpoznanego adresu IP:

    • Włącz zaporę usługi Azure Key Vault zgodnie z opisem w temacie Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault.

    • Skonfiguruj zaporę z zaufanymi zasobami i sieciami wirtualnymi.

  • Jeśli źródłem alertu była nieautoryzowana aplikacja lub podejrzany użytkownik:

    • Otwórz ustawienia zasad dostępu magazynu kluczy.

    • Usuń odpowiednie podmioty zabezpieczeń lub ogranicz operacje, które może wykonać podmiot zabezpieczeń.

  • Jeśli źródło alertu ma rolę Microsoft Entra w dzierżawie:

    • Skontaktuj się z administratorem.

    • Ustal, czy istnieje potrzeba zmniejszenia lub odwołania uprawnień firmy Microsoft Entra.

Identyfikowanie wpływu

Gdy wpływ został skorygowany, zbadaj wpisy tajne w magazynie kluczy, których dotyczy problem:

  1. Otwórz stronę "Zabezpieczenia" w usłudze Azure Key Vault i wyświetl wyzwolony alert.

  2. Wybierz określony alert, który został wyzwolony. Przejrzyj listę wpisów tajnych, do których uzyskiwano dostęp, oraz znacznik czasu.

  3. Opcjonalnie, jeśli masz włączone dzienniki diagnostyczne magazynu kluczy, przejrzyj poprzednie operacje dla odpowiedniego adresu IP obiektu wywołującego, jednostki użytkownika lub identyfikatora obiektu.

Wykonywanie akcji

Po skompilowaniu listy wpisów tajnych, kluczy i certyfikatów, do których uzyskuje dostęp podejrzany użytkownik lub aplikacja, należy natychmiast obrócić te obiekty.

  • Wpisy tajne, których dotyczy problem, powinny być wyłączone lub usunięte z magazynu kluczy.

  • Jeśli poświadczenia zostały użyte dla określonej aplikacji:

    • Skontaktuj się z administratorem aplikacji i poproś go o przeprowadzenie inspekcji środowiska pod kątem wszelkich zastosowań poświadczeń, których bezpieczeństwo zostało naruszone.

    • Jeśli zostały użyte naruszone poświadczenia, właściciel aplikacji powinien zidentyfikować informacje, do których uzyskiwano dostęp, i ograniczyć wpływ.

Odpowiadanie na alerty usługi Defender for DNS

Po otrzymaniu alertu z usługi Defender for DNS zalecamy zbadanie alertu i reagowanie na nie zgodnie z poniższym opisem. Usługa Defender for DNS chroni wszystkie połączone zasoby, więc nawet jeśli znasz aplikację lub użytkownika, który wyzwolił alert, ważne jest zweryfikowanie sytuacji związanej z każdym alertem.

Kontakt biznesowy

Skontaktuj się z właścicielem zasobu, aby ustalić, czy zachowanie było oczekiwane, czy zamierzone.

  • Jeśli działanie jest oczekiwane, odrzuć alert.

  • Jeśli działanie jest nieoczekiwane, traktuj zasób jako potencjalnie naruszony i zniweluj go zgodnie z opisem w następnym kroku.

Natychmiastowe ograniczanie ryzyka

Izoluj zasób z sieci, aby zapobiec ruchowi bocznemu.

  • Uruchom pełne skanowanie w poszukiwaniu oprogramowania chroniącego przed złośliwym kodem w zasobie, postępując zgodnie z wszelkimi wynikami poradami korygacyjnymi.

  • Przejrzyj zainstalowane i uruchomione oprogramowanie w zasobie, usuwając wszystkie nieznane lub niechciane pakiety.

  • Przywróć komputer do znanego dobrego stanu, w razie potrzeby ponownie zainstaluj system operacyjny i przywróć oprogramowanie ze zweryfikowanego źródła bez złośliwego oprogramowania.

  • Rozwiąż wszelkie zalecenia Defender dla Chmury dotyczące maszyny, korygując wyróżnione problemy z zabezpieczeniami, aby zapobiec przyszłym naruszeniom.

Reagowanie na alerty usługi Defender for Resource Manager

Po otrzymaniu alertu z usługi Defender for Resource Manager zalecamy zbadanie alertu i reagowanie na nie zgodnie z poniższym opisem. Usługa Defender for Resource Manager chroni wszystkie połączone zasoby, więc nawet jeśli znasz aplikację lub użytkownika, który wyzwolił alert, ważne jest zweryfikowanie sytuacji związanej z każdym alertem.

Kontakt biznesowy

Skontaktuj się z właścicielem zasobu, aby ustalić, czy zachowanie było oczekiwane, czy zamierzone.

  • Jeśli działanie jest oczekiwane, odrzuć alert.

  • Jeśli działanie jest nieoczekiwane, traktuj powiązane konta użytkowników, subskrypcje i maszyny wirtualne jako naruszone i zniweluj je zgodnie z opisem w poniższym kroku.

Natychmiastowe ograniczanie ryzyka

  • Koryguj naruszone konta użytkowników:

    • Jeśli nie są one nieznane, usuń je tak, jak mogły zostać utworzone przez aktora zagrożeń

    • Jeśli są znane, zmień poświadczenia uwierzytelniania

    • Przejrzyj wszystkie działania wykonywane przez użytkownika za pomocą dzienników aktywności platformy Azure i zidentyfikuj podejrzane

  • Korygowanie naruszonych subskrypcji:

    • Usuwanie nieznanych elementów Runbook z konta usługi Automation z naruszonym naruszeniem zabezpieczeń

    • Przejrzyj uprawnienia IAM dla subskrypcji i usuń uprawnienia dla dowolnego nieznanego konta użytkownika

    • Przejrzyj wszystkie zasoby platformy Azure w subskrypcji i usuń wszystkie nieznane zasoby platformy Azure

    • Przejrzyj i zbadaj wszelkie alerty zabezpieczeń dla subskrypcji w Defender dla Chmury

    • Przejrzyj wszystkie działania wykonywane w ramach subskrypcji za pomocą dzienników aktywności platformy Azure i zidentyfikuj wszystkie podejrzane działania

  • Korygowanie naruszonych maszyn wirtualnych

    • Zmienianie haseł dla wszystkich użytkowników

    • Uruchamianie pełnego skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie

    • Odtwarzaj obraz maszyny ze źródła bez złośliwego oprogramowania