问题标签 [azure-defender]

我正在阅读https://techcommunity.microsoft.com/t5/azure-security-center/how-to-respond-to-potential-malware-uploaded-to-azure-storage/ba-p/1452005并被：

在许多情况下，流操作日志包含与 blob 相关的哈希。使用 Microsoft 的 Threat Intelligence 对这些哈希进行比较，以进行哈希信誉分析以查找病毒

它说“在很多情况下”，哪些情况？我们公司正在考虑使用 Azure Defender 来提醒我们有关上传的恶意文件。我们需要它适用于所有情况。

什么决定了日志是否包含 blob 的哈希？

我一直在关注本指南。

我正在运行 Azure Defender，当恶意文件上传到 blob 存储时会产生警报。

我已经设置了一个工作流来触发我的逻辑应用：

这是我的逻辑应用程序：

究竟是什么触发了我的逻辑应用程序？

在逻辑应用本身中，第一步是一个触发器，表示它会在创建或触发警报时触发。

如果是这种情况，那么通过 Azure 安全中心的工作流自动化来触发它有什么意义？

它是否会在警报发生时触发，以及工作流触发时（即当“潜在恶意软件上传到存储帐户”的警报出现时）？

如果它确实在警报发生时触发，无论警报类型如何，如果它不是“上传到存储帐户的潜在恶意软件”警报，它是否只有针对受损实体和扩展属性值的空值？

根据本指南，当恶意文件上传到 blob 容器时，来自 Azure Defender 的警报的名称是“上传到存储帐户的潜在恶意软件”。

但是，当我查看 Azure 安全中心时，它显示“潜在恶意软件已上传到存储 blob 容器”：

在工作流自动化“警报名称包含”字段中使用哪一个是正确的？

我注意到在https://docs.microsoft.com/en-us/azure/security-center/alerts-reference他们没有列出“潜在恶意软件上传到存储 blob 容器”

他们可能没有更新文档吗？

我使用这些命令创建了 WDAC 策略。阻止 D:\AnyDesk\anydesk.exe 的执行

1. $Rule = New-CIPolicyRule -FilePathRule 'D:\AnyDesk*' -deny
2. New-CIPolicy -UserPEs -MultiplePolicyFormat -FilePath C:\policy\Policy.xml -Rules $Rule -deny
3. ConvertFrom-CIPolicy -XmlFilePath C:\policy\Policy.xml -BinaryFilePath C:\policy\SIPolicy.p7b

问题：当我运行 D:\AnyDesk\anydesk.exe 时，没有触发任何事件

XML 输出

然后我在 GPO 中添加了文件路径。这是在重新启动时自动替换 C:\Windows\System32\CodeIntegrity\Policy.p7b 。

使用的 GPO 路径

管理模板 > 系统 > 设备保护 > 部署窗口防御应用程序。

当我运行 D:\AnyDesk\anydesk.exe 时，不会触发任何事件。如果您需要更多信息，请告诉我

使用的事件路径

应用程序和服务日志 > Microsoft > Windows > Device Guard > 操作日志。

最近我在我的 Microsoft 云应用程序安全 (MCAS) 门户上收到了一个安全事件Data exfiltration to an app that is not sanctioned当我向下钻取时，我发现了 Microsoft Live 应用程序

谁能帮我理解这个应用程序是什么以及为什么它显示数据泄露事件？

出于安全原因，我必须在 ASC 中为所有资源类型启用 Azure Defender。由于我们在 Azure 中确实有很多不同的订阅，而且数量还在增加，我们必须配置一个 Azure 策略来强制执行。

已经有一个为所有资源启用 Azure Defender 的选项，但我在文档中没有找到任何有用的东西来通过 Azure Policy 启用它。

我有两个符合我要求的解决方案。第一个是，我们为所有资源类型启用 Azure Defender，另一个是我们只启用特定的资源类型（对我来说，目前只有开源关系数据库的资源类型是相关的）。

我只发现将 Azure Defender 部署到数据库服务器的计划，但它不会在我的 Azure 安全中心内激活该选项。Microsoft 是否有任何其他文档可以做到这一点？

我需要哪些角色来修复 Azure 中的所有漏洞评估建议？

我有多个订阅，我们已启用 Azure 安全中心（Azure Defender），它显示某些 VM 的数据为“应在您的计算机上安装系统更新”。

但是，我们还启用了带有更新管理服务的 Azure 自动化帐户来定期修补 VM，并且那里的作业运行良好，没有任何故障。

困扰我的是什么：

• Azure 的更新管理不涵盖这些系统更新吗？如果是，那么为什么我会超过推荐值。
• 这些系统更新与常规更新（补丁、修补程序等）有何不同。
• 如果这些系统更新需要通过更新管理进行更新，那么为什么我们没有得到任何失败的更新管理工作。
• 为了解决上述问题，有没有办法使用自动化来解决？因为我们有 100 多个 VM（Windows + Linux）
• 根据研究，我看到有一项政策可以获取不健康的资源，但不会对其进行补救。https://docs.microsoft.com/en-us/azure/security-center/recommendations-reference

我正在使用 Pulumi 尝试 IaC。我能够创建存储帐户，但不能为其启用 Azure 防御者。如何添加 Azure Defender 以识别存储帐户上的安全威胁？

我在构建时使用 github 操作Container Image Scan扫描我的 docker 映像，但 CI/CD 扫描结果未显示在 Defender 中。

您可以在此运行中看到扫描成功并发现了足够多的漏洞（中、高和严重）。

对 appinsights 的后扫描也成功了，我仔细检查了连接字符串 + 令牌是否在 github 中正确设置为机密。

在 Defender 中，我看不到扫描图像的 CI/CD 扫描结果。

我遵循了这个一直有效的程序。不知道为什么它不再起作用了。首先想到的是，自从 ASC 更名为 Defender for Cloud 以来，它不再起作用了。