Microsoft Defender for Resource Manager 이해
Azure Resource Manager는 Azure용 배포 및 관리 서비스입니다. Azure 계정에서 리소스를 만들고, 업데이트하고, 삭제할 수 있는 관리 계층을 제공합니다. 배포 이후 액세스 제어, 잠금 및 태그와 같은 관리 기능을 사용하여 리소스를 보호하고 구성합니다.
클라우드 관리 계층은 모든 클라우드 리소스에 연결된 중요한 서비스입니다. 이 통합으로 인해 공격자의 잠재적 표적이기도 합니다. 따라서 보안 운영 팀이 리소스 관리 레이어를 면밀히 모니터링하는 것이 좋습니다.
Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Portal, Azure REST API, Azure CLI 또는 기타 Azure 프로그래밍 방식 클라이언트를 통해 수행하든 클라우드용 Defender 고급 보안 분석을 실행하여 위협을 감지하고 의심스러운 활동에 대해 경고합니다.
Microsoft Defender for Resource Manager의 이점은 무엇인가요?
Defender for Resource Manager는 다음을 비롯한 문제로부터 보호합니다.
의심스러운 리소스 관리 작업(예: 의심스러운 IP 주소에서의 작업, 맬웨어 방지 및 VM 확장에서 실행되는 의심스러운 스크립트 비활성화)
Microburst 또는 PowerZure와 같은 악용 도구 키트 사용
Azure 관리 계층에서 Azure 리소스 데이터 평면으로의 측면 이동
Microsoft Defender for Resource Manager에서 경고를 조사하는 방법
Defender for Resource Manager의 보안 경고는 Azure Resource Manager 작업을 모니터링하여 탐지된 위협을 기준으로 합니다. 클라우드용 Defender는 Azure Resource Manager의 내부 로그 원본과 구독 수준 이벤트에 대한 인사이트를 제공하는 플랫폼 로그인 Azure인 Azure 활동 로그를 사용합니다.
Defender for Resource Manager의 보안 경고를 조사하려면 다음을 수행합니다.
Azure 활동 로그를 엽니다.
다음과 같이 이벤트를 필터링합니다.
경고에 언급된 구독
검색된 작업의 기간
관련 사용자 계정(관련된 경우)
의심스러운 활동을 찾습니다.