規避防禦機制:已停用專案 HTTP 政策封鎖

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

Event Threat Detection 會檢查稽核記錄,偵測是否已更新 constraints/storage.secureHttpTransport 政策,停用 HTTP 政策封鎖。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 如「查看發現項目」一文所述,開啟發現項目。Defense Evasion: Project HTTP Policy Block Disabled系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
  2. 在「摘要」分頁中,查看下列各節的資訊:
    • 偵測到的內容,特別是下列欄位:
      • 說明:偵測資訊
      • 主體:成功執行動作的使用者或服務帳戶
    • 受影響的資源
      • 資源顯示名稱:政策更新的專案/資料夾/機構。
    • 相關連結,尤其是下列欄位:
      • MITRE ATTACK 方法:連結至 MITRE ATT&CK 文件。
      • 記錄 URI:開啟記錄檔探索工具的連結。

步驟 2:研究攻擊和回應方法

請與「Principal subject」(主體主旨) 欄位中的服務帳戶或使用者帳戶擁有者聯絡。確認是否由合法擁有者執行停用限制/storage.secureHttpTransport 政策的動作。

後續步驟