Comprendre Microsoft Defender pour Resource Manager
Azure Resource Manager est le service de déploiement et de gestion d’Azure. Il fournit une couche de gestion qui vous permet de créer, de mettre à jour et de supprimer des ressources dans votre compte Azure. Vous utilisez des fonctionnalités de gestion, telles que le contrôle d’accès, les verrous et les étiquettes, pour sécuriser et organiser vos ressources après le déploiement.
La couche de gestion cloud est un service essentiel, connecté à toutes vos ressources cloud. En raison de cette intégration, il est également une cible potentielle pour les attaquants. Nous recommandons donc aux équipes des opérations de sécurité de surveiller attentivement la couche de gestion des ressources.
Microsoft Defender pour Resource Manager effectue automatiquement un monitoring des opérations de gestion des ressources dans votre organisation. Que ce soit via le portail Azure, les API REST Azure, Azure CLI ou d’autres clients de programmation Azure, Defender pour le cloud exécute une analytique de sécurité avancée pour détecter les menaces et vous avertir de toute activité suspecte.
Quels sont les avantages de Microsoft Defender pour Resource Manager ?
Defender pour le gestionnaire des ressources protège contre les problèmes, notamment :
Les opérations de gestion des ressources suspectes, comme les opérations à partir d’adresses IP suspectes, la désactivation du logiciel anti-programme malveillant et les scripts douteux s’exécutant dans des extensions de machine virtuelle
L’utilisation de kits de ressources d’exploitation, comme Microburst ou PowerZure
Le mouvement latéral, depuis la couche de gestion Azure vers le plan de données des ressources Azure
Comment examiner les alertes de Microsoft Defender pour Resource Manager
Les alertes de sécurité de Defender pour le gestionnaire des ressources sont basées sur les menaces détectées par la supervision des opérations Azure Resource Manager. Defender pour le cloud utilise les sources de journaux internes d’Azure Resource Manager et le journal d’activité Azure, un journal de plateforme dans Azure qui fournit des insights sur les événements de niveau abonnement.
Pour examiner les alertes de sécurité de Defender pour le gestionnaire des ressources :
Ouvrez le journal d’activité Azure.
Filtrez les événements sur :
L’abonnement mentionné dans l’alerte
La plage de temps de l’activité détectée
Le compte d’utilisateur associé (le cas échéant)
Recherchez des activités suspectes.