回應 Azure 資源的警示
回應 Key Vault 適用於雲端的 Defender 警示
收到適用於 Key Vault 的 Defender 警示時,建議您調查並依下述方式回應警示。 適用於 Key Vault 的 Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍請務必確認每個警示的相關情況。
適用於 Key Vault 的 Defender 警示都包含下列元素:
物件識別碼
可疑資源的使用者主體名稱或 IP 位址
連絡人
驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
如果您無法驗證流量來源,請繼續步驟 2。 立即降低風險。
如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。
立即降低風險
如果您無法辨識使用者或應用程式,或認為不該授權存取:
如果流量來自無法辨識的 IP 位址:
按照設定 Azure Key Vault 防火牆和虛擬網路的描述,啟用 Azure Key Vault 防火牆。
使用信任的資源和虛擬網路設定防火牆。
如果警示來源是未經授權的應用程式或可疑的使用者:
開啟金鑰保存庫的存取原則設定。
移除對應的安全性主體,或限制安全性主體可執行的作業。
如果警示的來源在您的租使用者中具有 Microsoft Entra 角色:
請連絡系統管理員。
判斷是否需要減少或撤銷 Microsoft Entra 權限。
識別影響
影響減輕後,請調查金鑰保存庫受影響的祕密:
在 Azure Key Vault 開啟 [安全性] 頁面,並檢視觸發的警示。
選取觸發的特定警示。 檢閱存取過的祕密清單和時間戳記。
此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。
採取行動
當您編譯可疑使用者或應用程式存取過的祕密、金鑰和憑證清單後,建議您立即輪替這些物件。
建議停用或刪除金鑰保存庫受影響的祕密。
若認證用於特定應用程式:
請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。
回應適用於 DNS 的 Defender 警示
收到適用於 DNS 的 Defender 警示時,建議您調查並依下述方式回應警示。 適用於 DNS 的 Defender 會保護所有連線資源,因此,即使您熟悉觸發警示的應用程式或使用者,仍請務必確認每個警示的相關情況。
連絡人
若要判斷行為是預期或刻意,請聯絡資源擁有者。
如果是預期活動,請關閉警示。
如果是非預期活動,請將資源視為可能遭入侵,並按照下一個步驟的描述減輕影響。
立即降低風險
將資源從網路隔離,預防橫向移動。
在資源執行完整的反惡意程式碼軟體掃描,並遵循產生的補救建議。
檢閱資源安裝和執行的軟體,並移除未知或不需要的套件。
將機器還原至已知的良好狀態,並視需要重新安裝作業系統,及透過經驗證的無惡意程式碼來源還原軟體。
解決適用於雲端的 Defender 機器建議,並補救醒目提示的安全性問題,預防未來的缺口。
回應適用於 Resource Manager 的 Defender 警示
收到適用於 Resource Manager 的 Defender 警示時,建議您調查並回應下述的警示。 適用於 Resource Manager 的 Defender 會保護所有連線資源,因此,即使您熟悉觸發警示的應用程式或使用者,仍請務必確認每個警示的相關情況。
連絡人
若要判斷行為是預期或刻意,請聯絡資源擁有者。
如果是預期活動,請關閉警示。
如果是非預期活動,請將相關的使用者帳戶、訂閱和虛擬機器視為遭入侵,並按照下列步驟的描述減輕影響。
立即降低風險
補救遭入侵的使用者帳戶:
若是不熟悉的使用者帳戶,請立刻刪除,因為這些帳戶可能是威脅執行者所建立
若是熟悉的使用者帳戶,請變更驗證認證
使用 Azure 活動記錄檢閱使用者執行的所有活動,並識別任何可疑的活動
補救遭入侵的訂閱:
在遭入侵的自動帳戶,移除不熟悉的 Runbook
檢閱訂閱中的 IAM 權限,並移除不熟悉的使用者帳戶權限
檢閱訂閱中所有的 Azure 資源,並刪除不熟悉的資源
檢閱並調查適用於雲端的 Defender 訂閱的安全性警示
使用 Azure 活動記錄檢閱訂閱執行的所有活動,並識別任何可疑的活動
補救遭入侵的虛擬機器
變更所有的使用者密碼
在電腦執行完整的反惡意程式碼軟體掃描
透過無惡意程式碼來源,重新安裝電腦映像