Responder aos alertas do Defender for Resource Manager

Quando receber um alerta do Microsoft Defender for Resource Manager, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Defender for Resource Manager protege todos os recursos conectados, portanto, mesmo que você esteja familiarizado com o aplicativo ou usuário que disparou o alerta, é importante verificar a situação em torno de cada alerta.

Contacto

1. Entre em contato com o proprietário do recurso para determinar se o comportamento foi esperado ou intencional.
2. Se a atividade for esperada, descarte o alerta.
3. Se a atividade for inesperada, trate as contas de usuário, assinaturas e máquinas virtuais relacionadas como comprometidas e atenue conforme descrito na etapa a seguir.

Investigar alertas do Microsoft Defender for Resource Manager

Os alertas de segurança do Defender for Resource Manager são baseados em ameaças detetadas pelo monitoramento das operações do Azure Resource Manager. O Defender for Cloud usa fontes de log internas do Azure Resource Manager, bem como o log de atividades do Azure, um log da plataforma Azure que fornece informações sobre eventos no nível de assinatura.

O Defender for Resource Manager fornece visibilidade da atividade proveniente de provedores de serviços que não são da Microsoft e que delegaram acesso como parte dos alertas do Resource Manager. Por exemplo, Azure Resource Manager operation from suspicious proxy IP address - delegated access.

Delegated access refere-se ao acesso com o Azure Lighthouse ou com privilégios de administração delegada.

Os alertas exibidos Delegated access também incluem uma descrição personalizada e etapas de correção.

Saiba mais sobre o log de atividades do Azure.

Para investigar alertas de segurança do Defender for Resource Manager:

1. Abra o log de atividades do Azure.

   

2. Filtre os eventos para:

   • A subscrição mencionada no alerta
   • O período de tempo da atividade detetada
   • A conta de utilizador relacionada (se relevante)

3. Procure atividades suspeitas.

Gorjeta

Para obter uma experiência de investigação melhor e mais rica, transmita seus logs de atividade do Azure para o Microsoft Sentinel, conforme descrito em Dados do Connect do log de atividades do Azure.

Atenuar imediatamente

1. Corrija contas de utilizador comprometidas:

   • Se não estiverem familiarizados, exclua-os, pois podem ter sido criados por um agente de ameaças
   • Se eles estiverem familiarizados, altere suas credenciais de autenticação
   • Use os Logs de Atividade do Azure para revisar todas as atividades realizadas pelo usuário e identificar as suspeitas

2. Corrija subscrições comprometidas:

   • Remova quaisquer Runbooks desconhecidos da conta de automação comprometida
   • Revise as permissões do IAM para a assinatura e remova as permissões de qualquer conta de usuário desconhecida
   • Revise todos os recursos do Azure na assinatura e exclua os que não são familiares
   • Revise e investigue quaisquer alertas de segurança para a assinatura no Microsoft Defender for Cloud
   • Utilize os Registos de Atividade do Azure para rever todas as atividades realizadas na subscrição e identificar as que são suspeitas

3. Corrigir as máquinas virtuais comprometidas

   • Alterar as palavras-passe de todos os utilizadores
   • Execute uma verificação antimalware completa na máquina
   • Recrie a imagem das máquinas a partir de uma fonte livre de malware

Próximos passos

Esta página explicou o processo de resposta a um alerta do Defender for Resource Manager. Para obter informações relacionadas, consulte as seguintes páginas:

• Visão geral do Microsoft Defender for Resource Manager
• Suprimir alertas de segurança
• Exporte continuamente dados do Defender for Cloud