Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Investigue y responda a las alertas de Microsoft Defender para Resource Manager, como se describe en este artículo. Defender para Resource Manager protege todos los recursos conectados. Compruebe la situación que rodea cada alerta, incluso si está familiarizado con la aplicación o el usuario que lo desencadenó.
Responder a una alerta
Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era intencionado. Ignore la alerta si la actividad está prevista. Si la actividad es inesperada, trate las cuentas de usuario, las suscripciones y las máquinas virtuales relacionadas como comprometidas. Investigar y mitigar la amenaza tal y como se describe en esta página
Investigación de alertas de Microsoft Defender para Resource Manager
Las alertas de seguridad de Defender para Resource Manager se basan en las amenazas detectadas mediante la supervisión de las operaciones de Azure Resource Manager. Defender for Cloud usa orígenes de registro internos de Azure Resource Manager y registro de actividad de Azure, un registro de la plataforma Azure que proporciona información sobre los eventos de nivel de suscripción.
Defender for Resource Manager proporciona visibilidad de las actividades de proveedores de servicios que no son de Microsoft que delegan el acceso como parte de las alertas de Resource Manager. Por ejemplo, Azure Resource Manager operation from suspicious proxy IP address - delegated access.
Delegated access se refiere al acceso con Azure Lighthouse o con privilegios de administración delegada.
Las alertas que muestran Delegated access también incluyen una descripción personalizada y pasos de corrección.
Obtenga más información sobre el registro de actividad de Azure.
Para investigar las alertas de seguridad de Defender para Resource Manager:
Abra el registro de actividad de Azure.
Filtre los eventos para:
- La suscripción mencionada en la alerta
- Período de tiempo de la actividad detectada
- La cuenta de usuario relacionada (si procede)
Busque actividades sospechosas.
Sugerencia
Para disfrutar de una experiencia de investigación mejor y más rica, transmita los registros de actividad de Azure a Microsoft Sentinel como se describe en Conexión de datos del registro de actividad de Azure.
Mitigación inmediata
Corrija las cuentas de usuario que están en peligro:
- Elimínelos si no los reconoce porque un actor de amenazas los creó.
- Si los reconoce, cambie sus credenciales de autenticación.
- Revise todas las actividades del usuario en los registros de actividad de Azure e identifique las sospechosas.
Corrija las suscripciones que están en peligro:
- Quite los runbooks con los que no esté familiarizado de la cuenta de Automation en peligro.
- Revise los permisos de IAM para la suscripción y quite los permisos de cualquier cuenta de usuario desconocida.
- Revise todos los recursos de Azure de la suscripción y elimine los que no estén familiarizados.
- Revise e investigue las alertas de seguridad de la suscripción en Microsoft Defender for Cloud.
- Use los registros de actividad de Azure para revisar todas las actividades realizadas en la suscripción e identificar las que sean sospechosas.
Corrija las máquinas virtuales que están en peligro
- Cambie las contraseñas de todos los usuarios.
- Ejecute un examen completo contra malware en la máquina.
- Restablezca la imagen inicial de las máquinas desde un origen sin malware.