Svara på aviseringar från Azure-resurser
Svara på Defender för molnet för Key Vault-aviseringar
När du får en avisering från Defender för Key Vault rekommenderar vi att du undersöker och svarar på aviseringen enligt beskrivningen nedan. Defender för Key Vault skyddar program och autentiseringsuppgifter, så även om du är bekant med programmet eller användaren som utlöste aviseringen är det viktigt att verifiera situationen kring varje avisering.
Varje avisering från Defender för Key Vault innehåller följande element:
Objekt-ID
Användarhuvudnamnet eller IP-adressen för den misstänkta resursen
Kontakt
Kontrollera om trafiken kommer från din Azure-klientorganisation. Om nyckelvalvsbrandväggen är aktiverad är det troligt att du har gett åtkomst till den användare eller det program som utlöste aviseringen.
Om du inte kan verifiera trafikkällan fortsätter du till steg 2. Omedelbar åtgärd.
Om du kan identifiera källan till trafiken i klientorganisationen kontaktar du programmets användare eller ägare.
Omedelbar åtgärd
Om du inte känner igen användaren eller programmet eller om du anser att åtkomsten inte borde ha auktoriserats:
Om trafiken kom från en okänd IP-adress:
Aktivera Azure Key Vault-brandväggen enligt beskrivningen i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.
Konfigurera brandväggen med betrodda resurser och virtuella nätverk.
Om källan till aviseringen var ett otillåtet program eller misstänkt användare:
Öppna nyckelvalvets inställningar för åtkomstprincip.
Ta bort motsvarande säkerhetsobjekt eller begränsa de åtgärder som säkerhetsobjektet kan utföra.
Om källan till aviseringen har en Microsoft Entra-roll i din klientorganisation:
Kontakta din administratör.
Ta reda på om det finns ett behov av att minska eller återkalla Microsoft Entra-behörigheter.
Identifiera påverkan
När effekten har minimerats undersöker du hemligheterna i ditt nyckelvalv som påverkades:
Öppna sidan Säkerhet i Azure Key Vault och visa den utlösta aviseringen.
Välj den specifika avisering som utlöstes. Granska listan över hemligheter som har använts och tidsstämpeln.
Om du har aktiverat diagnostikloggar för nyckelvalvet kan du granska de tidigare åtgärderna för motsvarande anropar-IP, användarens huvudnamn eller objekt-ID.
Vidta åtgärd
När du har kompilerat listan över hemligheter, nycklar och certifikat som den misstänkta användaren eller programmet har åtkomst till bör du omedelbart rotera dessa objekt.
Berörda hemligheter ska inaktiveras eller tas bort från ditt nyckelvalv.
Om autentiseringsuppgifterna användes för ett specifikt program:
Kontakta programmets administratör och be dem att granska miljön för all användning av de komprometterade autentiseringsuppgifterna eftersom de har komprometterats.
Om de komprometterade autentiseringsuppgifterna användes bör programägaren identifiera den information som användes och minimera effekten.
Svara på Defender för DNS-aviseringar
När du får en avisering från Defender för DNS rekommenderar vi att du undersöker och svarar på aviseringen enligt beskrivningen nedan. Defender för DNS skyddar alla anslutna resurser, så även om du är bekant med programmet eller användaren som utlöste aviseringen är det viktigt att verifiera situationen kring varje avisering.
Kontakt
Kontakta resursägaren för att avgöra om beteendet var förväntat eller avsiktligt.
Stäng aviseringen om aktiviteten förväntas.
Om aktiviteten är oväntad behandlar du resursen som potentiellt komprometterad och minimerar enligt beskrivningen i nästa steg.
Omedelbar åtgärd
Isolera resursen från nätverket för att förhindra lateral förflyttning.
Kör en fullständig genomsökning av program mot skadlig kod på resursen efter eventuella resulterande reparationsråd.
Granska installerad och kör programvara på resursen och ta bort alla okända eller oönskade paket.
Återställ datorn till ett känt bra tillstånd, installera om operativsystemet om det behövs och återställ programvara från en verifierad källa utan skadlig kod.
Lös eventuella Defender för molnet rekommendationer för datorn och åtgärda markerade säkerhetsproblem för att förhindra framtida överträdelser.
Svara på Aviseringar om Defender för Resource Manager
När du får en avisering från Defender för Resource Manager rekommenderar vi att du undersöker och svarar på aviseringen enligt beskrivningen nedan. Defender för Resource Manager skyddar alla anslutna resurser, så även om du är bekant med programmet eller användaren som utlöste aviseringen är det viktigt att kontrollera situationen kring varje avisering.
Kontakt
Kontakta resursägaren för att avgöra om beteendet var förväntat eller avsiktligt.
Stäng aviseringen om aktiviteten förväntas.
Om aktiviteten är oväntad behandlar du relaterade användarkonton, prenumerationer och virtuella datorer som komprometterade och minimerar enligt beskrivningen i följande steg.
Omedelbar åtgärd
Åtgärda komprometterade användarkonton:
Om de inte är bekanta tar du bort dem eftersom de kan ha skapats av en hotskådespelare
Om de är bekanta ändrar du autentiseringsuppgifterna
Använd Azure-aktivitetsloggar för att granska alla aktiviteter som utförs av användaren och identifiera eventuella misstänkta
Åtgärda komprometterade prenumerationer:
Ta bort alla okända Runbooks från det komprometterade automationskontot
Granska IAM-behörigheter för prenumerationen och ta bort behörigheter för alla okända användarkonton
Granska alla Azure-resurser i prenumerationen och ta bort alla som inte är bekanta
Granska och undersöka eventuella säkerhetsaviseringar för prenumerationen i Defender för molnet
Använd Azure-aktivitetsloggar för att granska alla aktiviteter som utförs i prenumerationen och identifiera eventuella misstänkta
Åtgärda de komprometterade virtuella datorerna
Ändra lösenorden för alla användare
Kör en fullständig genomsökning av program mot skadlig kod på datorn
Återskapa datorerna från en källa utan skadlig kod