问题标签 [azure-defender]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
60 浏览

azure - 如何确定 Azure Defender 适用于哪些 blob?

我正在阅读https://techcommunity.microsoft.com/t5/azure-security-center/how-to-respond-to-potential-malware-uploaded-to-azure-storage/ba-p/1452005并被:

在许多情况下,流操作日志包含与 blob 相关的哈希。使用 Microsoft 的 Threat Intelligence 对这些哈希进行比较,以进行哈希信誉分析以查找病毒

它说“在很多情况下”,哪些情况?我们公司正在考虑使用 Azure Defender 来提醒我们有关上传的恶意文件。我们需要它适用于所有情况。

什么决定了日志是否包含 blob 的哈希?

0 投票
0 回答
248 浏览

azure - 通过工作流自动化和 Azure 安全中心警报触发逻辑应用

我一直在关注本指南

我正在运行 Azure Defender,当恶意文件上传到 blob 存储时会产生警报。

我已经设置了一个工作流来触发我的逻辑应用: 在此处输入图像描述

这是我的逻辑应用程序:

在此处输入图像描述 在此处输入图像描述

究竟是什么触发了我的逻辑应用程序?

在逻辑应用本身中,第一步是一个触发器,表示它会在创建或触发警报时触发。

如果是这种情况,那么通过 Azure 安全中心的工作流自动化来触发它有什么意义?

它是否会在警报发生时触发,以及工作流触发时(即当“潜在恶意软件上传到存储帐户”的警报出现时)?

如果它确实在警报发生时触发,无论警报类型如何,如果它不是“上传到存储帐户的潜在恶意软件”警报,它是否只有针对受损实体和扩展属性值的空值?

0 投票
1 回答
159 浏览

azure - 上传到存储帐户的潜在恶意软件与上传到存储 Blob 容器的潜在恶意软件

根据本指南,当恶意文件上传到 blob 容器时,来自 Azure Defender 的警报的名称是“上传到存储帐户的潜在恶意软件”。

但是,当我查看 Azure 安全中心时,它显示“潜在恶意软件已上传到存储 blob 容器”:

在此处输入图像描述

在工作流自动化“警报名称包含”字段中使用哪一个是正确的?

在此处输入图像描述

我注意到在https://docs.microsoft.com/en-us/azure/security-center/alerts-reference他们没有列出“潜在恶意软件上传到存储 blob 容器”

他们可能没有更新文档吗?

0 投票
0 回答
116 浏览

windows - WDAC 策略未阻止路径且未触发任何事件

我使用这些命令创建了 WDAC 策略。阻止 D:\AnyDesk\anydesk.exe 的执行

  1. $Rule = New-CIPolicyRule -FilePathRule 'D:\AnyDesk*' -deny
  2. New-CIPolicy -UserPEs -MultiplePolicyFormat -FilePath C:\policy\Policy.xml -Rules $Rule -deny
  3. ConvertFrom-CIPolicy -XmlFilePath C:\policy\Policy.xml -BinaryFilePath C:\policy\SIPolicy.p7b

问题:当我运行 D:\AnyDesk\anydesk.exe 时,没有触发任何事件

XML 输出

然后我在 GPO 中添加了文件路径。这是在重新启动时自动替换 C:\Windows\System32\CodeIntegrity\Policy.p7b 。

使用的 GPO 路径

管理模板 > 系统 > 设备保护 > 部署窗口防御应用程序。

当我运行 D:\AnyDesk\anydesk.exe 时,不会触发任何事件。如果您需要更多信息,请告诉我

使用的事件路径

应用程序和服务日志 > Microsoft > Windows > Device Guard > 操作日志。

0 投票
0 回答
175 浏览

azure - 查询 MCAS Unsanctioned 申请 | Microsoft Live(IT 服务)

最近我在我的 Microsoft 云应用程序安全 (MCAS) 门户上收到了一个安全事件Data exfiltration to an app that is not sanctioned当我向下钻取时,我发现了 Microsoft Live 应用程序在此处输入图像描述

谁能帮我理解这个应用程序是什么以及为什么它显示数据泄露事件?

0 投票
2 回答
189 浏览

azure-policy - 使用 Azure 策略为所有资源类型启用 Azure Defender

出于安全原因,我必须在 ASC 中为所有资源类型启用 Azure Defender。由于我们在 Azure 中确实有很多不同的订阅,而且数量还在增加,我们必须配置一个 Azure 策略来强制执行。

已经有一个为所有资源启用 Azure Defender 的选项,但我在文档中没有找到任何有用的东西来通过 Azure Policy 启用它。ASC 中的 Azure Defender

我有两个符合我要求的解决方案。第一个是,我们为所有资源类型启用 Azure Defender,另一个是我们只启用特定的资源类型(对我来说,目前只有开源关系数据库的资源类型是相关的)。

我只发现将 Azure Defender 部署到数据库服务器的计划,但它不会在我的 Azure 安全中心内激活该选项。Microsoft 是否有任何其他文档可以做到这一点?

0 投票
1 回答
35 浏览

azure - 修复 Azure Defender 和安全中心漏洞评估所需的角色是什么?

我需要哪些角色来修复 Azure 中的所有漏洞评估建议?

0 投票
0 回答
45 浏览

azure - Azure 安全中心-VM 更新-建议/修复

我有多个订阅,我们已启用 Azure 安全中心(Azure Defender),它显示某些 VM 的数据为“应在您的计算机上安装系统更新”。

但是,我们还启用了带有更新管理服务的 Azure 自动化帐户来定期修补 VM,并且那里的作业运行良好,没有任何故障。

困扰我的是什么:

  • Azure 的更新管理不涵盖这些系统更新吗?如果是,那么为什么我会超过推荐值。
  • 这些系统更新与常规更新(补丁、修补程序等)有何不同。
  • 如果这些系统更新需要通过更新管理进行更新,那么为什么我们没有得到任何失败的更新管理工作。
  • 为了解决上述问题,有没有办法使用自动化来解决?因为我们有 100 多个 VM(Windows + Linux)
  • 根据研究,我看到有一项政策可以获取不健康的资源,但不会对其进行补救。https://docs.microsoft.com/en-us/azure/security-center/recommendations-reference
0 投票
1 回答
36 浏览

azure - 如何使用 Pulumi 在存储帐户上启用 Azure Defender?

我正在使用 Pulumi 尝试 IaC。我能够创建存储帐户,但不能为其启用 Azure 防御者。如何添加 Azure Defender 以识别存储帐户上的安全威胁?

0 投票
0 回答
49 浏览

azure - Azure Defender for ACR - 未显示 CI/CD 扫描结果

我在构建时使用 github 操作Container Image Scan扫描我的 docker 映像,但 CI/CD 扫描结果未显示在 Defender 中。

您可以在此运行中看到扫描成功并发现了足够多的漏洞(中、高和严重)。

对 appinsights 的后扫描也成功了,我仔细检查了连接字符串 + 令牌是否在 github 中正确设置为机密。

在 Defender 中,我看不到扫描图像的 CI/CD 扫描结果。 在此处输入图像描述

我遵循了这个一直有效的程序。不知道为什么它不再起作用了。首先想到的是,自从 ASC 更名为 Defender for Cloud 以来,它不再起作用了。