Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Investigue e responda a alertas do Microsoft Defender for Resource Manager conforme descrito neste artigo. O Defender for Resource Manager protege todos os recursos conectados. Verifique a situação em torno de cada alerta, mesmo que esteja familiarizado com o aplicativo ou usuário que o disparou.
Responder a um alerta
Entre em contato com o proprietário do recurso para determinar se o comportamento foi esperado ou intencional. Dispense o alerta se a atividade for esperada. Se a atividade for inesperada, trate as contas de usuário, assinaturas e máquinas virtuais relacionadas como comprometidas. Investigar e mitigar a ameaça conforme descrito nesta página
Investigar alertas do Microsoft Defender para o Gestor de Recursos
Os alertas de segurança do Defender for Resource Manager são baseados em ameaças detetadas pelo monitoramento das operações do Azure Resource Manager. O Defender for Cloud usa fontes de log internas do Azure Resource Manager e do log de atividades do Azure, um log da plataforma Azure que fornece informações sobre eventos no nível de assinatura.
O Defender for Resource Manager fornece visibilidade das atividades de provedores de serviços que não são da Microsoft e delegam acesso como parte dos alertas do Resource Manager. Por exemplo, Azure Resource Manager operation from suspicious proxy IP address - delegated access.
Delegated access refere-se ao acesso com o Azure Lighthouse ou com privilégios de administração delegada.
Os alertas que mostram Delegated access também incluem uma descrição personalizada e medidas de remediação.
Saiba mais sobre o log de atividades do Azure.
Para investigar alertas de segurança do Defender for Resource Manager:
Abra o log de atividades do Azure.
Filtre os eventos para:
- A subscrição mencionada no alerta
- O período de tempo da atividade detetada
- A conta de utilizador relacionada (se relevante)
Procure atividades suspeitas.
Gorjeta
Para obter uma experiência de investigação melhor e mais rica, transmita seus logs de atividade do Azure para o Microsoft Sentinel, conforme descrito em Dados do Connect do log de atividades do Azure.
Atenuar imediatamente
Corrija contas de utilizador comprometidas:
- Exclua-os se não os reconhecer porque um agente de ameaças os criou.
- Caso os reconheça, altere as suas credenciais de autenticação.
- Revise todas as atividades do usuário nos Logs de Atividades do Azure e identifique as suspeitas.
Corrija subscrições comprometidas:
- Remova todos os Runbooks desconhecidos da conta de automação comprometida.
- Revise as permissões do IAM para a assinatura e remova as permissões de qualquer conta de usuário desconhecida.
- Reveja todos os recursos do Azure na subscrição e elimine os que não lhe são familiares.
- Revise e investigue quaisquer alertas de segurança para a assinatura no Microsoft Defender for Cloud.
- Utilize os Registos de Atividade do Azure para rever todas as atividades realizadas na subscrição e identificar as que são suspeitas.
Corrigir as máquinas virtuais comprometidas
- Altere as senhas de todos os usuários.
- Execute uma verificação antimalware completa na máquina.
- Recrie a imagem das máquinas a partir de um software livre de malware.