Обзор Microsoft Defender для Resource Manager
Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в учетной записи Azure. Вы можете использовать ее функции управления, такие как управление доступом, блокировка и добавление тегов, чтобы защитить и упорядочить ресурсы после развертывания.
Уровень управления облаком — это важная служба, подключенная ко всем облачным ресурсам. Из-за интеграции он также является потенциальной целью для злоумышленников. Поэтому мы рекомендуем группам по обеспечению безопасности внимательно отслеживать уровень управления ресурсами.
Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Независимо от того, выполняются ли они через портал Azure, Azure REST API, Azure CLI или другие программные клиенты Azure, Defender для облака выполняет расширенную аналитику безопасности для обнаружения угроз и отправки оповещений о подозрительных действиях.
Каковы преимущества Microsoft Defender для Resource Manager?
Defender для Resource Manager обеспечивает защиту от проблем, включая следующие:
Подозрительные операции управления ресурсами, такие как операции с подозрительными IP-адресами, отключение защиты от вредоносных программ и подозрительные сценарии, выполняемые в расширениях ВМ.
Использование наборов средств для эксплуатации, таких как Microburst или PowerZure
Перемещение с уровня управления Azure в плоскость данных ресурсов Azure
Как изучать оповещения Microsoft Defender для Resource Manager
Оповещения системы безопасности от Defender для Resource Manager активируются при обнаружении угроз в процессе мониторинга операций Azure Resource Manager. В Defender для облака используются внутренние источники журналов Azure Resource Manager и журнал действий Azure, которые предоставляют сведения о событиях на уровне подписки.
Чтобы исследовать оповещения системы безопасности от Defender для Resource Manager, сделайте следующее:
Откройте журнал действий Azure
Отфильтруйте события по доступным параметрам.
Подписке, упомянутой в предупреждении
Интервалу времени обнаружения действия
Связанной учетной записи пользователя (если есть)
Найдите подозрительные действия.