Responder a alertas de recursos do Azure
Responder aos alertas do Defender for Cloud for Key Vault
Quando receber um alerta do Defender for Key Vault, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Defender for Key Vault protege aplicativos e credenciais, portanto, mesmo que você esteja familiarizado com o aplicativo ou usuário que disparou o alerta, é importante verificar a situação em torno de cada alerta.
Cada alerta do Defender for Key Vault inclui os seguintes elementos:
ID do Objeto
Nome Principal de Utilizador ou Endereço IP do recurso suspeito
Contacto
Verifique se o tráfego se originou de dentro do seu locatário do Azure. Se o firewall do cofre de chaves estiver habilitado, é provável que você tenha fornecido acesso ao usuário ou aplicativo que disparou esse alerta.
Se não conseguir verificar a origem do tráfego, avance para o Passo 2. Mitigação imediata.
Se conseguir identificar a origem do tráfego no seu inquilino, contacte o utilizador ou proprietário da aplicação.
Mitigação imediata
Se você não reconhecer o usuário ou o aplicativo, ou se achar que o acesso não deveria ter sido autorizado:
Se o tráfego veio de um endereço IP não reconhecido:
Habilite o firewall do Azure Key Vault conforme descrito em Configurar firewalls e redes virtuais do Azure Key Vault.
Configure o firewall com recursos confiáveis e redes virtuais.
Se a fonte do alerta foi uma aplicação não autorizada ou um utilizador suspeito:
Abra as configurações da política de acesso do cofre de chaves.
Remova a entidade de segurança correspondente ou restrinja as operações que a entidade de segurança pode executar.
Se a origem do alerta tiver uma função Microsoft Entra no seu inquilino:
Contacte o seu administrador.
Determine se há necessidade de reduzir ou revogar as permissões do Microsoft Entra.
Identificar o impacto
Quando o impacto tiver sido atenuado, investigue os segredos no cofre de chaves que foram afetados:
Abra a página "Segurança" no Cofre da Chave do Azure e exiba o alerta acionado.
Selecione o alerta específico que foi acionado. Analise a lista dos segredos que foram acessados e o carimbo de data/hora.
Opcionalmente, se você tiver os logs de diagnóstico do cofre de chaves habilitados, revise as operações anteriores para o IP do chamador, a entidade do usuário ou o ID do objeto correspondentes.
Tome medidas
Depois de compilar sua lista de segredos, chaves e certificados que o usuário ou aplicativo suspeito acessou, você deve girar imediatamente esses objetos.
Os segredos afetados devem ser desativados ou excluídos do cofre de chaves.
Se as credenciais foram usadas para um aplicativo específico:
Entre em contato com o administrador do aplicativo e peça-lhe para auditar seu ambiente para qualquer uso das credenciais comprometidas desde que elas foram comprometidas.
Se as credenciais comprometidas foram usadas, o proprietário do aplicativo deve identificar as informações que foram acessadas e mitigar o impacto.
Responder aos alertas do Defender for DNS
Quando receber um alerta do Defender para DNS, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Defender for DNS protege todos os recursos conectados, portanto, mesmo que você esteja familiarizado com o aplicativo ou usuário que disparou o alerta, é importante verificar a situação em torno de cada alerta.
Contacto
Entre em contato com o proprietário do recurso para determinar se o comportamento foi esperado ou intencional.
Se a atividade for esperada, descarte o alerta.
Se a atividade for inesperada, trate o recurso como potencialmente comprometido e atenue conforme descrito na próxima etapa.
Mitigação imediata
Isole o recurso da rede para evitar movimentos laterais.
Execute uma verificação antimalware completa no recurso, seguindo qualquer conselho de correção resultante.
Revise o software instalado e em execução no recurso, removendo quaisquer pacotes desconhecidos ou indesejados.
Reverta a máquina para um bom estado conhecido, reinstalando o sistema operacional, se necessário, e restaure o software de uma fonte livre de malware verificada.
Resolva quaisquer recomendações do Defender for Cloud para a máquina, corrigindo problemas de segurança destacados para evitar futuras violações.
Responder aos alertas do Defender for Resource Manager
Quando receber um alerta do Defender for Resource Manager, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Defender for Resource Manager protege todos os recursos conectados, portanto, mesmo que você esteja familiarizado com o aplicativo ou usuário que disparou o alerta, é importante verificar a situação em torno de cada alerta.
Contacto
Entre em contato com o proprietário do recurso para determinar se o comportamento foi esperado ou intencional.
Se a atividade for esperada, descarte o alerta.
Se a atividade for inesperada, trate as contas de usuário, assinaturas e máquinas virtuais relacionadas como comprometidas e atenue conforme descrito na etapa a seguir.
Mitigação imediata
Corrija contas de utilizador comprometidas:
Se não estiverem familiarizados, exclua-os, pois podem ter sido criados por um agente de ameaças
Se eles estiverem familiarizados, altere suas credenciais de autenticação
Use os Logs de Atividade do Azure para revisar todas as atividades realizadas pelo usuário e identificar as suspeitas
Corrija subscrições comprometidas:
Remova quaisquer Runbooks desconhecidos da conta de automação comprometida
Revise as permissões do IAM para a assinatura e remova as permissões de qualquer conta de usuário desconhecida
Revise todos os recursos do Azure na assinatura e exclua os que não são familiares
Revise e investigue quaisquer alertas de segurança para a assinatura no Defender for Cloud
Utilize os Registos de Atividade do Azure para rever todas as atividades realizadas na subscrição e identificar as que são suspeitas
Corrigir as máquinas virtuais comprometidas
Alterar as palavras-passe de todos os utilizadores
Execute uma verificação antimalware completa na máquina
Recrie a imagem das máquinas a partir de uma fonte livre de malware