Compreender o Microsoft Defender for Resource Manager

Concluído

O Azure Resource Manager é o serviço de implementação e gestão do Azure. Fornece uma camada de gestão que lhe permite criar, atualizar e eliminar recursos na sua conta do Azure. Pode utilizar funcionalidades de gestão, como controlo de acesso, bloqueios e etiquetas, para proteger e organizar os seus recursos após a implementação.

A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por causa dessa integração, também é um alvo potencial para os invasores. Portanto, recomendamos que as equipes de operações de segurança monitorem a camada de gerenciamento de recursos de perto.

O Microsoft Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. Quer sejam executadas através do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure, o Defender for Cloud executa análises de segurança avançadas para detetar ameaças e alertá-lo sobre atividades suspeitas.

Quais são os benefícios do Microsoft Defender for Resource Manager?

O Defender for Resource Manager protege contra problemas como:

  • Operações suspeitas de gerenciamento de recursos, como operações de endereços IP suspeitos, desativação de antimalware e scripts suspeitos em execução em extensões de VM

  • Uso de kits de ferramentas de exploração como Microburst ou PowerZure

  • Movimento lateral da camada de gerenciamento do Azure para o plano de dados de recursos do Azure

Como investigar alertas do Microsoft Defender for Resource Manager

Os alertas de segurança do Defender for Resource Manager são baseados em ameaças detetadas pelo monitoramento das operações do Azure Resource Manager. O Defender for Cloud usa fontes de log internas do Azure Resource Manager e do log de atividades do Azure, uma plataforma de entrada no Azure que fornece informações sobre eventos no nível de assinatura.

Para investigar alertas de segurança do Defender for Resource Manager:

  1. Abra o log de atividades do Azure.

  2. Filtre os eventos para:

    • A subscrição mencionada no alerta

    • O período de tempo da atividade detetada

    • A conta de utilizador relacionada (se relevante)

  3. Procure atividades suspeitas.