Förstå Microsoft Defender för Resource Manager

  • 4 minuter

Azure Resource Manager är Azures tjänst för distribution och hantering. Den ger dig ett hanteringslager där du kan skapa, uppdatera och ta bort resurser i ditt Azure-konto. Du kan använda hanteringsfunktioner som åtkomstkontroll, lås och taggar till att skydda och organisera dina resurser efter distributionen.

Molnhanteringsskiktet är en viktig tjänst som är ansluten till alla dina molnresurser. På grund av den här integreringen är det också ett potentiellt mål för angripare. Därför rekommenderar vi att säkerhetsåtgärdsteam övervakar resurshanteringslagret noga.

Microsoft Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Oavsett om de utförs via Azure-portalen, Azure REST API:er, Azure CLI eller andra Programmatiska Azure-klienter Defender för molnet kör avancerad säkerhetsanalys för att identifiera hot och varna dig om misstänkt aktivitet.

Vilka är fördelarna med Microsoft Defender för Resource Manager?

Defender för Resource Manager skyddar mot problem som:

  • Misstänkta resurshanteringsåtgärder, till exempel åtgärder från misstänkta IP-adresser, inaktivera program mot skadlig kod och misstänkta skript som körs i VM-tillägg

  • Användning av exploateringsverktyg som Microburst eller PowerZure

  • Lateral förflyttning från Azure-hanteringslagret till dataplanet för Azure-resurser

Så här undersöker du aviseringar från Microsoft Defender för Resource Manager

Säkerhetsaviseringar från Defender för Resource Manager baseras på hot som identifierats genom övervakning av Azure Resource Manager-åtgärder. Defender för molnet använder interna loggkällor för Azure Resource Manager och Azure Activity Log, en plattformsinloggning i Azure som ger insikter om händelser på prenumerationsnivå.

Så här undersöker du säkerhetsaviseringar från Defender för Resource Manager:

  1. Öppna Azure-aktivitetsloggen.

  2. Filtrera händelserna till:

    • Prenumerationen som nämns i aviseringen

    • Tidsramen för den identifierade aktiviteten

    • Det relaterade användarkontot (om det är relevant)

  3. Leta efter misstänkta aktiviteter.