Responder a alertas de recursos do Azure
Responder ao Defender para Nuvem para alertas do Key Vault
Quando você receber um alerta do Defender para Key Vault, recomendamos que investigue e responda ao alerta, conforme descrito abaixo. O Defender para Key Vault protege aplicativos e credenciais, portanto, mesmo que você esteja familiarizado com o aplicativo ou o usuário que disparou o alerta, é importante verificar a situação ao redor de cada alerta.
Todo alerta do Defender para Key Vault inclui os seguintes elementos:
ID de objeto
Nome Principal do Usuário ou Endereço IP do recurso suspeito
Contact
Verifique se o tráfego foi originado de dentro de seu locatário do Azure. Se o firewall do key vault estiver habilitado, é provável que você tenha fornecido acesso ao usuário ou ao aplicativo que disparou esse alerta.
Se você não conseguir verificar a origem do tráfego, continue para a etapa 2. Mitigação imediata.
Se você puder identificar a origem do tráfego em seu locatário, entre em contato com o usuário ou o proprietário do aplicativo.
Mitigação imediata
Se você não reconhece o usuário ou o aplicativo, ou se você acredita que o acesso não deveria ter sido autorizado:
Se o tráfego vier de um endereço IP não reconhecido:
Habilite o firewall Azure Key Vault conforme descrito em Configurar firewalls e redes virtuais do Azure Key Vault.
Configure o firewall com recursos e redes virtuais confiáveis.
Se a origem do alerta era um aplicativo não autorizado ou um usuário suspeito:
Abra as configurações de política de acesso do cofre de chaves.
Remova a entidade de segurança correspondente ou restrinja as operações que a entidade de segurança pode executar.
Se a origem do alerta tiver uma função do Microsoft Entra em seu locatário:
Contate o administrador.
Determine se há a necessidade de reduzir ou revogar as permissões do Microsoft Entra.
Identificar o impacto
Quando o impacto for mitigado, investigue os segredos no cofre de chaves que foram afetados:
Abra a página "Segurança" no Azure Key Vault e exiba o alerta disparado.
Selecione o alerta específico que foi disparado. Examine a lista de segredos que foram acessados e o carimbo de data/hora.
Opcionalmente, se você tiver os logs de diagnóstico do Key Vault habilitados, examine as operações anteriores para o IP do chamador correspondente, a entidade de usuário ou a ID de objeto.
Executar ação
Quando você compilou sua lista de segredos, chaves e certificados que o usuário suspeito ou o aplicativo acessou, você deve girar esses objetos imediatamente.
Os segredos afetados devem ser desabilitados ou excluídos do Key Vault.
Se as credenciais foram usadas para um aplicativo específico:
Entre em contato com o administrador do aplicativo e peça para auditar seu ambiente em relação a qualquer uso de credenciais comprometidas.
Se as credenciais comprometidas foram usadas, o proprietário do aplicativo deverá identificar as informações que foram acessadas e mitigar o impacto.
Responder aos alertas do Defender para DNS
Quando você receber um alerta do Defender para DNS, recomendamos que investigue e responda ao alerta, conforme descrito abaixo. O Defender para DNS protege aplicativos e credenciais, portanto, mesmo que você esteja familiarizado com o aplicativo ou o usuário que disparou o alerta, é importante verificar a situação que acionou cada alerta.
Contact
Contate o proprietário do recurso para determinar se o comportamento era esperado ou intencional.
Se a atividade for esperada, ignore o alerta.
Se a atividade for inesperada, trate o recurso como potencialmente comprometido e mitigue, conforme descrito na próxima etapa.
Mitigação imediata
Isole o recurso da rede para evitar a movimentação lateral.
Execute uma verificação completa de antimalware no recurso, seguindo qualquer aviso de correção resultante.
Examine os softwares instalados e em execução no recurso, removendo pacotes desconhecidos ou indesejados.
Reverta o computador para um estado válido conhecido, reinstalando o sistema operacional, se necessário, e restaure o software de uma fonte sem malware verificada.
Resolva as recomendações do Defender para Nuvem para o computador, corrigindo problemas de segurança realçados para evitar violações futuras.
Responder aos alertas do Defender para Resource Manager
Quando você receber um alerta do Defender para Resource Manager, recomendamos que investigue e responda ao alerta, conforme descrito abaixo. O Defender para Resource Manager protege aplicativos e credenciais, portanto, mesmo que você esteja familiarizado com o aplicativo ou o usuário que disparou o alerta, é importante verificar a situação que acionou cada alerta.
Contact
Contate o proprietário do recurso para determinar se o comportamento era esperado ou intencional.
Se a atividade for esperada, ignore o alerta.
Se a atividade for inesperada, trate as contas de usuário relacionadas, as assinaturas e as máquinas virtuais como comprometidas e mitigadas, conforme descrito na etapa a seguir.
Mitigação imediata
Corrija contas de usuário comprometidas:
Se não forem conhecidas, exclua-as, pois podem ter sido criadas por um ator de ameaça
Se forem conhecidas, altere as credenciais de autenticação
Use os logs de atividades do Azure para examinar todas as atividades executadas pelo usuário e identificar as que são suspeitas
Corrigir assinaturas comprometidas:
Remover Runbooks desconhecidos da conta de automação comprometida
Examine as permissões IAM para a assinatura e remova as permissões para qualquer conta de usuário desconhecida
Examine todos os recursos do Azure na assinatura e exclua os que não são conhecidos
Examinar e investigar os alertas de segurança para a assinatura no Defender para Nuvem
Use os logs de atividades do Azure para examinar todas as atividades executadas na assinatura e identificar as que são suspeitas
Corrigir as máquinas virtuais comprometidas
Alterar as senhas de todos os usuários
Executar uma verificação completa de antimalware no computador
Refazer a imagem dos computadores de uma fonte sem malware