执行摘要与背景信息

微软发现一起针对多家受害者的复杂供应链攻击。攻击者使用恶意的SolarWinds文件，可能使国家级攻击者获得某些受害者网络的访问权限。微软网络安全专家正在调查此次攻击，以确保客户获得最大程度的安全保护。

时间线更新：

• 2021年2月25日：发布用于追踪Solorigate活动的Microsoft开源CodeQL查询
• 2021年2月18日：发布《翻过Solorigate篇章，开启安全社区新章节》
• 2021年2月18日：发布《微软内部Solorigate调查最终更新》
• 2021年2月5日：发布《复杂网络安全威胁需要全球协作应对》
• 2020年12月31日：发布微软内部Solorigate调查更新

安全运营与威胁狩猎信息

我们建议客户实施新的检测和保护措施，以识别可能的先前攻击活动或防止未来的系统攻击。我们已在此文中发布了IOC指标列表，该列表并不详尽，可能会随着调查的继续而扩展。

关键资源：

• 2021年1月28日：Microsoft 365 Defender研究团队关于使用M365 Defender防护、检测和响应Solorigate的网络研讨会
• 2021年1月21日：深入分析Solorigate第二阶段攻击（从SUNBURST到TEARDROP和Raindrop后门）
• 2020年12月28日：发布使用Microsoft 365 Defender识别、调查和响应Nobelium攻击的完整指南

安全管理员信息

重要文章：

• 2021年1月15日：Microsoft 365 Defender团队为使用Microsoft 365 Defender和Azure Defender的安全管理员提供增强抵御Solorigate和其他复杂攻击模式的指南
• 2021年1月15日：Microsoft Defender for Identity扩展对AD FS服务器的支持
• 2020年12月18日：为身份专业人士和Microsoft 365管理员提供保护Microsoft 365免受本地攻击的指南

Microsoft安全产品和解决方案指南

产品概述链接：

• https://docs.microsoft.com/security/
• https://docs.microsoft.com/azure/security/
• https://docs.microsoft.com/azure/sentinel/
• https://docs.microsoft.com/microsoft-365/security/
• https://docs.microsoft.com/windows/security/
• https://docs.microsoft.com/cloud-app-security/

获取帮助和支持

支持渠道：

• 产品支持需求：https://support.microsoft.com/contactus
• 在Microsoft 365安全中心、Office 365安全与合规中心和Microsoft Defender安全中心点击顶部导航栏中的"？“图标获取帮助
• 部署协助：https://fasttrack.microsoft.com
• 疑似遭受入侵需要事件响应协助：开设Sev A Microsoft支持案例

其他建议和资源

外部资源：

• FireEye威胁情报咨询：全球入侵活动利用软件供应链漏洞
• SolarWinds安全公告：SolarWinds咨询
• 网络安全和基础设施安全局（CISA）发布的信息和指南：https://us-cert.cisa.gov/ncas/alerts/aa20-352a

修订历史

• 2021-03-04：添加关于将攻击者及相关组件命名为Nobelium的背景信息
• 2021-02-18：添加执行摘要和背景部分链接
• 2021-02-02：添加安全运营和狩猎部分关于Microsoft 365 Defender网络研讨会的链接
• 2021-01-21：添加关于Solorigate第二阶段激活深度分析的链接
• 2021-01-15：添加安全管理员信息部分链接