حماية البيانات السرية في Defender for Cloud
يساعد Microsoft Defender for Cloud فريق الأمان على تقليل مخاطر استغلال المهاجمين للبيانات السرية للأمان.
بعد الوصول الأولي، يمكن للمهاجمين التنقل أفقيا عبر الشبكات، والعثور على البيانات الحساسة، واستغلال الثغرات الأمنية للإضرار بأنظمة المعلومات الهامة من خلال الوصول إلى عمليات النشر السحابية والموارد وأحمال العمل التي تواجه الإنترنت. غالبا ما تتضمن الحركة الجانبية تهديدات بيانات الاعتماد التي تستغل عادة البيانات الحساسة مثل بيانات الاعتماد والبيانات السرية المكشوفة مثل كلمات المرور والمفاتيح والرموز المميزة سلسلة الاتصال للوصول إلى أصول إضافية. غالبا ما يتم العثور على الأسرار في الملفات، المخزنة على أقراص الجهاز الظاهري، أو على حاويات، عبر عمليات النشر متعددة السحابات. تحدث الأسرار المكشوفة لعدة أسباب:
- نقص الوعي: قد لا تكون المؤسسات على دراية بمخاطر وعواقب التعرض للبيانات السرية في بيئة السحابة الخاصة بها. قد لا يكون هناك نهج واضح بشأن معالجة البيانات السرية وحمايتها في ملفات التعليمات البرمجية والتكوين.
- عدم وجود أدوات اكتشاف: قد لا تكون الأدوات في مكانها للكشف عن تسريبات الأسرار ومعالجتها.
- التعقيد والسرعة: يعد تطوير البرامج الحديثة معقدا وسريع الوتيرة، ويعتمد على أنظمة أساسية سحابية متعددة وبرامج مفتوحة المصدر ورمز جهة خارجية. قد يستخدم المطورون الأسرار للوصول إلى الموارد والخدمات ودمجها في بيئات السحابة وقد يخزنون الأسرار في مستودعات التعليمات البرمجية المصدر للراحة وإعادة الاستخدام. يمكن أن يؤدي ذلك إلى التعرض العرضي للبيانات السرية في المستودعات العامة أو الخاصة، أو أثناء نقل البيانات أو معالجتها.
- المفاضلة بين الأمان وسهولة الاستخدام: قد تبقي المؤسسات البيانات السرية مكشوفة في بيئات السحابة لسهولة الاستخدام، لتجنب تعقيد وزمن انتقال تشفير البيانات وفك تشفيرها في حالة الراحة والنقل. يمكن أن يؤدي ذلك إلى اختراق أمان وخصوصية البيانات وبيانات الاعتماد.
يوفر Defender for Cloud مسح البيانات السرية للأجهزة الظاهرية، ولنشر السحابة، لتقليل مخاطر الحركة الجانبية.
- الأجهزة الظاهرية (VMs) : مسح البيانات السرية بدون عامل على الأجهزة الظاهرية متعددة السحابة.
- عمليات النشر السحابية: مسح البيانات السرية بدون عامل عبر موارد نشر البنية الأساسية متعددة السحابات كتعليمات برمجية.
- Azure DevOps: الفحص لاكتشاف الأسرار المكشوفة في Azure DevOps.
نشر مسح البيانات السرية
يتم توفير مسح البيانات السرية كميزة في خطط Defender for Cloud:
- فحص الجهاز الظاهري: تم توفيره مع خطة Defender for Cloud Security Posture Management (CSPM)، أو مع Defender for Servers الخطة 2.
- فحص موارد النشر السحابي المتوفر مع إدارة وضع الأمان السحابي في Defender.
- فحص DevOps: متوفر مع إدارة وضع الأمان السحابي في Defender.
مراجعة نتائج البيانات السرية
يمكنك مراجعة نتائج الأمان الخاصة بالأسرار والتحقيق فيها بطريقتين:
- راجع مخزون الأصول. في صفحة المخزون يمكنك الحصول على عرض كامل للبيانات السرية الخاصة بك.
- مراجعة توصيات الأسرار: في صفحة Defender for Cloud التوصيات، يمكنك مراجعة توصيات الأسرار ومعالجتها. تعرف على المزيد حول التحقيق في التوصيات والتنبيهات.
- التحقيق في رؤى الأمان: يمكنك استخدام مستكشف أمان السحابة للاستعلام عن الرسم البياني لأمان السحابة. يمكنك إنشاء استعلاماتك الخاصة، أو استخدام قوالب استعلام معرفة مسبقا.
- استخدام مسارات الهجوم: يمكنك استخدام مسارات الهجوم للتحقيق في مخاطر البيانات السرية الهامة ومعالجتها. اعرف المزيد.
دعم الاكتشاف
يدعم Defender for Cloud اكتشاف أنواع الأسرار الملخصة في الجدول.
| نوع البيانات السرية | اكتشاف أسرار الجهاز الظاهري | اكتشاف أسرار نشر السحابة | مراجعة الموقع |
|---|---|---|---|
| مفاتيح SSH الخاصة غير الآمنة يدعم خوارزمية RSA لملفات PuTTy. معايير PKCS#8 وPKCS#1 معيار OpenSSH |
نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| يدعم نص عادي Azure SQL سلسلة الاتصال SQL PAAS. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure نص عادي ل PostgreSQL. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure لنص عادي ل MySQL. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure للنص العادي ل MariaDB. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| نص عادي Azure Cosmos DB، بما في ذلك PostgreSQL وMySQL وMariaDB. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| يدعم نص عادي AWS RDS سلسلة الاتصال SQL PAAS: نص عادي Amazon Aurora مع نكهات Postgres وMySQL. نص عادي Amazon مخصص RDS مع نكهات Oracle وSQL Server. |
نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| سلسلة الاتصال حساب تخزين Plaintext Azure | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| سلسلة الاتصال حساب تخزين Azure للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| رموز SAS المميزة لحساب التخزين العادي في Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| مفاتيح الوصول إلى نص عادي AWS. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| نص عادي AWS S3 URL الموقع مسبقا. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| عنوان URL موقع لتخزين Plaintext Google. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure AD Client Secret. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Azure DevOps للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Plaintext GitHub. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح الوصول إلى تكوين تطبيق Plaintext Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Cognitive Service Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد مستخدم Plaintext Azure AD. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Container Registry Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة مرور توزيع Plaintext Azure App Service. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Azure Databricks للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure SignalR Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح اشتراك Plaintext Azure API Management. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Bot Framework Secret Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي Azure التعلم الآلي Web Service API Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح الوصول إلى Plaintext Azure Communication Services. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Event Grid Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Amazon Marketplace Web Service (MWS) Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي خرائط Azure مفتاح الاشتراك. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Web PubSub Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح واجهة برمجة تطبيقات OpenAI للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Batch Shared Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز لمؤلف نص عادي NPM. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| شهادة إدارة اشتراك Plaintext Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح واجهة برمجة تطبيقات GCP لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد نص عادي AWS Redshift. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح خاص لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| سلسلة الاتصال نص عادي ODBC. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة المرور العامة لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد تسجيل دخول مستخدم نص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز الشخصي ل Plaintext Travis. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول إلى Plaintext Slack. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي ASP.NET مفتاح الجهاز. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| رأس تخويل نص عادي HTTP. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة مرور Plaintext Azure Redis Cache. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure IoT Shared Access Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي Azure DevOps App Secret. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Function API Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Shared Access Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| توقيع الوصول المشترك لتطبيق Plaintext Azure Logic. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول إلى Plaintext Azure Active Directory. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي ناقل خدمة Azure توقيع الوصول المشترك. | لا | نعم | المخزون، مستكشف أمان السحابة. |
المحتوى ذو الصلة
- مسح أسرار الجهاز الظاهري.
- مسح أسرار النشر السحابي
- مسح Azure DevOps ضوئيا
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ