Основные шаги для подтверждения, хранения и защиты компрометации

Соответствующие роли: Администратор | Оператор по безопасности

Эта статья поможет вам предпринять шаги для подтверждения, локализации и защиты нарушения безопасности.

1. Подтвердить:
   • Просмотрите подписки Azure, скомпрометированные и проверьте аномалии расходов. Для получения дополнительной информации см. управление затратами от Microsoft.
   • Проведите тщательное расследование, исследуя рискованных пользователей и журналы действий Azure Monitor, чтобы подтвердить компрометацию и сразу же ограничить распространение. Важно отметить, что любые методы обеспечения сохранности, пропущенные во время расследования, могут привести к продолжению доступа злоумышленника, что может привести к потенциальному повторному компрометации. Поэтому важно быть тщательным в вашем расследовании, чтобы предотвратить любые будущие атаки.
2. содержать:
   • Если вы определите, что клиент скомпрометирован и есть мошенничество в полете, вы можете попытаться работать с клиентом или принять односторонние меры для отмены подписки. Вы можете начать с немедленной отмены подписок Azure, в которых подтверждено наличие компрометации. Затем выполните необходимые действия для быстрого выявления и вытеснения субъекта угроз. Дополнительные сведения см. в как быстро устранить последствия скомпрометации удостоверений.
3. Secure:
   • Когда злоупотребление взято под контроль, необходимо предпринять действия для защиты арендатора. Следуйте лучшим практикам для поставщиков облачных решений и арендаторов-клиентов. Дополнительные сведения см. в инструкциях по устранению оповещений системы безопасности.
4. Улучшить:
   • Посвятите время на то, чтобы проанализировать и понять, как произошла компрометация. Это может выявить слабые места в общем состоянии безопасности, которые могут быть исправлены.

Дополнительные сведения см. в разделе поддержки.