Étapes essentielles pour confirmer, contenir et sécuriser une compromission

Rôles appropriés : Agent d’administration | Contact de sécurité

Cet article vous aide à prendre des mesures pour confirmer, contenir et sécuriser une compromission.

1. Confirmez :
   • Passez en revue les abonnements Azure compromis et vérifiez les anomalies de dépense. Pour plus d’informations, consultez Gestion des coûts Microsoft.
   • Effectuez des enquêtes approfondies sur les utilisateurs à risque et les journaux d’activité Azure Monitor pour confirmer la compromission et contenir immédiatement l’exposition. Il est important de noter que toutes les méthodes de persistance manquées pendant l’enquête pourraient entraîner un accès continu par l’attaquant, ce qui pourrait entraîner une recompromise potentielle. Par conséquent, il est essentiel d’être méticuleuse dans votre enquête pour empêcher toute attaque future.
2. Contenir :
   • Si vous déterminez qu’un client est compromis et qu’il y a une fraude en cours, vous pouvez essayer de travailler avec le client ou de prendre des mesures unilatérales pour annuler l’abonnement. Vous pouvez commencer par annuler immédiatement les abonnements Azure confirmés pour contenir la compromission. Ensuite, prenez les mesures nécessaires pour identifier et supprimer rapidement l’acteur de menace. Pour plus d’informations, consultez comment corriger rapidement les identités compromises.
3. Sécuriser :
   • Lorsque l’abus est contenu, vous devez effectuer le travail pour sécuriser le locataire. Suivez les recommandations en matière de bonnes pratiques pour les fournisseur de solutions Cloud etles locataires clients. Pour plus d’informations, consultez les instructions sur la façon de traiter les alertes de sécurité.
4. Améliorer :
   • Prenez un certain temps pour examiner et comprendre comment la compromission s’est produite. Cela peut révéler des faiblesses dans votre posture de sécurité globale qui peut être corrigée.

Pour plus d’informations, consultez la prise en charge.