响应来自 Azure 资源的警报
响应 Defender for Cloud 的 Key Vault 警报
收到来自适用于 Key Vault 的 Defender 的警报时,建议按如下所述调查和响应警报。 适用于 Key Vault 的 Defender 为应用程序和凭据提供保护,因此即使你熟悉触发警报的应用程序或用户,也请基于每个警报验证相关情况,这一点非常重要。
来自适用于 Key Vault 的 Defender 的每个警报都包含以下元素:
对象 ID
可疑资源的用户主体名称或 IP 地址
联系人
验证流量是否源自 Azure 租户。 如果已启用密钥保管库防火墙,那么你很可能已经为触发此警报的用户或应用程序提供了访问权限。
如果无法验证流量的来源,请继续执行步骤 2。 立即缓解风险。
如果可以确定租户中的流量来源,请与应用程序的用户或所有者联系。
立即缓解风险
如果无法识别用户或应用程序,或者认为不应授予访问权限,请执行以下操作:
如果流量来自无法识别的 IP 地址:
启用 Azure Key Vault 防火墙,如“配置 Azure Key Vault 防火墙和虚拟网络”中所述。
为受信任的资源和虚拟网络配置防火墙。
如果警报来源是未经授权的应用程序或可疑用户:
打开密钥保管库的访问策略设置。
删除相应的安全主体,或限制安全主体可执行的操作。
如果警报源在租户中具有 Microsoft Entra 角色:
请与您的管理员联系。
请确定是否需要减少或撤销 Microsoft Entra 权限。
确定影响
降低影响后,调查密钥保管库中受影响的机密:
打开 Azure Key Vault 上的“安全性”页并查看已触发的警报。
选择已触发的特定警报。 查看已访问的机密列表和时间戳。
或者,如果已启用密钥保管库诊断日志,可查看前面的操作,以获取相应的调用方 IP、用户主体或对象 ID。
执行操作
对可疑用户或应用程序访问过的机密、密钥和证书列表进行编译后,应立即轮换这些对象。
应禁用或从密钥保管库中删除受影响的机密。
如果凭据用于特定的应用程序:
联系应用程序的管理员,请他们审核他们的环境,看看是否使用了已泄露的凭据。
如果使用了已泄露的凭据,则应用程序所有者应确定已访问的信息并降低影响。
响应适用于 DNS 的 Defender 警报
当收到来自适用于 DNS 的 Defender 的警报时,建议按如下所述调查和响应警报。 适用于 DNS 的 Defender 为所有连接的资源提供保护,因此即使你熟悉触发警报的应用程序或用户,也请务必基于每个警报验证相关情况。
联系人
请联系资源所有者,确定行为是预期的还是有意的。
如果活动是预期的,请关闭警报。
如果活动是意外发生的,请将资源处理为可能存在泄露风险并根据下一步中所述进行缓解。
立即缓解风险
将资源与网络隔离,以防止横向移动。
按照任何生成的修正建议,对资源运行完整的反恶意软件扫描。
查看资源上已安装且正在运行的软件,删除任何未知或不需要的包。
将计算机还原到已知的良好状态,根据需要重新安装操作系统,并从经过验证的无恶意软件源还原软件。
解决针对计算机的任何 Defender for Cloud 建议,修正突出显示的安全问题以防止将来出现漏洞。
响应适用于资源管理器的 Defender 警报
当收到来自适用于资源管理器的 Defender 的警报时,建议按如下所述调查和响应警报。 适用于资源管理器的 Defender 为所有连接的资源提供保护,因此即使你熟悉触发警报的应用程序或用户,也请务必基于每个警报验证相关情况。
联系人
请联系资源所有者,确定行为是预期的还是有意的。
如果活动是预期的,请关闭警报。
如果活动是意外发生的,请将相关的用户帐户、订阅和虚拟机视为处于已泄露状态,并根据下一步中所述进行缓解。
立即缓解风险
修正已泄露的用户帐户:
如果不熟悉这些用户帐户,请将其删除,因为它们可能是由威胁者创建的
如果熟悉这些用户帐户,请更改其身份验证凭据
使用 Azure 活动日志查看该用户执行的所有活动,并识别任何可疑活动
修正已泄露的订阅:
从已泄露的自动化帐户中删除所有不熟悉的 Runbook
查看订阅的 IAM 权限,并删除任何不熟悉的用户帐户的权限
查看订阅中的所有 Azure 资源并删除所有不熟悉的资源
查看并调查 Defender for Cloud 中针对订阅的任何安全警报
使用 Azure 活动日志查看在订阅中执行的所有活动,并识别任何可疑活动
修正被入侵的虚拟机
更改所有用户的密码
在计算机上运行全面的反恶意软件扫描
从无恶意软件源对计算机重置映像