Entender o Microsoft Defender para Resource Manager

  • 4 minutos

O Azure Resource Manager é p serviço de implantação e gerenciamento do Azure. Ele fornece uma camada de gerenciamento que lhe permite criar, atualizar e excluir recursos em sua conta do Azure. Use recursos de gerenciamento, como controle de acesso, bloqueios e marcas, para proteger e organizar seus recursos após a implantação.

A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Devido a essa integração, ela também é um possível alvo para invasores. Por isso, recomenda-se que as equipes de operações de segurança monitorem atentamente a camada de gerenciamento de recursos.

O Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos na organização. Sejam eles executados por meio do portal do Azure, de APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos, o Azure Defender para Nuvem executa análises avançadas de segurança para detectar ameaças e alertá-lo sobre atividades suspeitas.

Quais são os benefícios do Microsoft Defender para Resource Manager?

O Defender para Resource Manager protege contra problemas, incluindo:

  • Operações suspeitas de gerenciamento de recursos, como operações de endereços IP suspeitos, desabilitação de antimalware e scripts suspeitos em execução em extensões de VM

  • Uso de kits de ferramenta de exploração, como o Microburst ou o PowerZure

  • Movimentos laterais da camada de gerenciamento do Azure para o plano de dados de recursos do Azure

Como investigar alertas do Microsoft Defender para Resource Manager

Os alertas de segurança do Defender para Resource Manager são baseados em ameaças detectadas pelo monitoramento das operações do Azure Resource Manager. O Defender para Nuvem usa origens de log internas do Azure Resource Manager e o log de Atividades do Azure, uma entrada de plataforma do Azure que fornece informações sobre eventos no nível da assinatura.

Para investigar alertas de segurança do Defender para Resource Manager:

  1. Abra o log de atividades do Azure.

  2. Filtre os eventos para:

    • A assinatura mencionada no alerta

    • O período da atividade detectada

    • A conta de usuário relacionada (se relevante)

  3. Procure atividades suspeitas.