Omówienie usługi Microsoft Defender dla usługi Resource Manager

  • 4 min

Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Zapewnia warstwę zarządzania, która umożliwia tworzenie, aktualizowanie i usuwanie zasobów na koncie platformy Azure. Za pomocą funkcji zarządzania, takich jak kontrola dostępu, blokady i tagi, można zabezpieczyć oraz zorganizować zasoby po wdrożeniu.

Warstwa zarządzania chmurą to kluczowa usługa połączona ze wszystkimi zasobami w chmurze. Ze względu na tę integrację jest to również potencjalny cel dla osób atakujących. Dlatego zalecamy ścisłe monitorowanie warstwy zarządzania zasobami przez zespoły ds. operacji zabezpieczeń.

Usługa Microsoft Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Niezależnie od tego, czy są wykonywane za pośrednictwem witryny Azure Portal, interfejsów API REST platformy Azure, interfejsu wiersza polecenia platformy Azure lub innych klientów programistycznych platformy Azure, Defender dla Chmury uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i powiadamiania o podejrzanych działaniach.

Jakie są zalety usługi Microsoft Defender dla usługi Resource Manager?

Usługa Defender for Resource Manager chroni przed problemami, w tym:

  • Podejrzane operacje zarządzania zasobami, takie jak operacje z podejrzanych adresów IP, wyłączanie oprogramowania chroniącego przed złośliwym kodem i podejrzanych skryptów uruchomionych w rozszerzeniach maszyn wirtualnych

  • Korzystanie z zestawów narzędzi do wykorzystywania, takich jak Microburst lub PowerZure

  • Przenoszenie boczne z warstwy zarządzania platformy Azure do płaszczyzny danych zasobów platformy Azure

Jak badać alerty z usługi Microsoft Defender dla usługi Resource Manager

Alerty zabezpieczeń z usługi Defender dla usługi Resource Manager są oparte na zagrożeniach wykrytych przez monitorowanie operacji usługi Azure Resource Manager. Defender dla Chmury używa wewnętrznych źródeł dzienników usługi Azure Resource Manager i dziennika aktywności platformy Azure, platformy Azure, która zapewnia wgląd w zdarzenia na poziomie subskrypcji.

Aby zbadać alerty zabezpieczeń z usługi Defender dla usługi Resource Manager:

  1. Otwórz dziennik aktywności platformy Azure.

  2. Filtruj zdarzenia do:

    • Subskrypcja wymieniona w alercie

    • Przedział czasu wykrytego działania

    • Powiązane konto użytkownika (jeśli ma to zastosowanie)

  3. Wyszukaj podejrzane działania.