Partilhar via


Responder aos alertas do Defender for Resource Manager

Quando receber um alerta do Microsoft Defender for Resource Manager, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Defender for Resource Manager protege todos os recursos conectados, portanto, mesmo que você esteja familiarizado com o aplicativo ou usuário que disparou o alerta, é importante verificar a situação em torno de cada alerta.

Contacto

  1. Entre em contato com o proprietário do recurso para determinar se o comportamento foi esperado ou intencional.
  2. Se a atividade for esperada, descarte o alerta.
  3. Se a atividade for inesperada, trate as contas de usuário, assinaturas e máquinas virtuais relacionadas como comprometidas e atenue conforme descrito na etapa a seguir.

Investigar alertas do Microsoft Defender for Resource Manager

Os alertas de segurança do Defender for Resource Manager são baseados em ameaças detetadas pelo monitoramento das operações do Azure Resource Manager. O Defender for Cloud usa fontes de log internas do Azure Resource Manager, bem como o log de atividades do Azure, um log da plataforma Azure que fornece informações sobre eventos no nível de assinatura.

O Defender for Resource Manager fornece visibilidade da atividade proveniente de provedores de serviços que não são da Microsoft e que delegaram acesso como parte dos alertas do Resource Manager. Por exemplo, Azure Resource Manager operation from suspicious proxy IP address - delegated access.

Delegated access refere-se ao acesso com o Azure Lighthouse ou com privilégios de administração delegada.

Os alertas exibidos Delegated access também incluem uma descrição personalizada e etapas de correção.

Saiba mais sobre o log de atividades do Azure.

Para investigar alertas de segurança do Defender for Resource Manager:

  1. Abra o log de atividades do Azure.

    Como abrir o log de atividades do Azure.

  2. Filtre os eventos para:

    • A subscrição mencionada no alerta
    • O período de tempo da atividade detetada
    • A conta de utilizador relacionada (se relevante)
  3. Procure atividades suspeitas.

Gorjeta

Para obter uma experiência de investigação melhor e mais rica, transmita seus logs de atividade do Azure para o Microsoft Sentinel, conforme descrito em Dados do Connect do log de atividades do Azure.

Atenuar imediatamente

  1. Corrija contas de utilizador comprometidas:

    • Se não estiverem familiarizados, exclua-os, pois podem ter sido criados por um agente de ameaças
    • Se eles estiverem familiarizados, altere suas credenciais de autenticação
    • Use os Logs de Atividade do Azure para revisar todas as atividades realizadas pelo usuário e identificar as suspeitas
  2. Corrija subscrições comprometidas:

    • Remova quaisquer Runbooks desconhecidos da conta de automação comprometida
    • Revise as permissões do IAM para a assinatura e remova as permissões de qualquer conta de usuário desconhecida
    • Revise todos os recursos do Azure na assinatura e exclua os que não são familiares
    • Revise e investigue quaisquer alertas de segurança para a assinatura no Microsoft Defender for Cloud
    • Utilize os Registos de Atividade do Azure para rever todas as atividades realizadas na subscrição e identificar as que são suspeitas
  3. Corrigir as máquinas virtuais comprometidas

    • Alterar as palavras-passe de todos os utilizadores
    • Execute uma verificação antimalware completa na máquina
    • Recrie a imagem das máquinas a partir de uma fonte livre de malware

Próximos passos

Esta página explicou o processo de resposta a um alerta do Defender for Resource Manager. Para obter informações relacionadas, consulte as seguintes páginas: