適用於 Resource Manager 的 Microsoft Defender

4 分鐘

Azure Resource Manager 是 Azure 的部署與管理服務。其提供一個管理層，讓您能夠在 Azure 帳戶中建立、更新及刪除資源。您可使用存取控制、鎖定與標籤等管理功能，在部署之後保護及組織資源。

雲端管理層是可連線至您所有雲端資源的關鍵服務。因為此整合，導致該服務也可能是攻擊者的目標。因此，我們建議安全性作業小組應密切監視資源管理層。

適用於 Resource Manager 的 Microsoft Defender 會自動監視組織中的資源管理作業。無論其是透過 Azure 入口網站、Azure REST API、Azure CLI 或其他 Azure 程式設計用戶端來執行，適用於雲端的 Defender 都會執行進階安全性分析，以偵測威脅並警示可疑活動。

適用於 Resource Manager 的 Microsoft Defender 有哪些優點？

適用於 Resource Manager 的 Defender 可防範以下問題：

可疑資源管理作業，例如來自可疑 IP 位址的作業，以及停用在 VM 延伸模組中執行的防毒軟體與可疑指令碼
使用惡意探索工具組，例如 Microburst 或 PowerZure
從 Azure 管理層水平擴散至 Azure 資源資料平面

如何從適用於 Resource Manager 的 Microsoft Defender 中調查警示

適用於 Resource Manager 的 Defender 是以監視 Azure Resource Manager 作業偵測到的威脅為依據來發出安全性警示。適用於雲端的 Defender 會使用 Azure Resource Manager 的內部記錄來源和 Azure 活動記錄，其為登入 Azure 可讓您深入了解訂閱層級事件的平台。

若要從適用於 Resource Manager 的 Defender 中調查安全性警示：

開啟 Azure 活動記錄檔。
篩選以下事件：
- 警示中提及的訂閱
- 已偵測活動的時間範圍
- 相關使用者帳戶 (若相關)
尋找可疑活動。

適用於 Resource Manager 的 Microsoft Defender

適用於 Resource Manager 的 Microsoft Defender 有哪些優點？

如何從適用於 Resource Manager 的 Microsoft Defender 中調查警示

意見反應