A bizalmas adatokkal kapcsolatos kockázatok feltárása

  • Cikk

A bizalmas adatokkal rendelkező erőforrások felfedezése után Felhőhöz készült Microsoft Defender lehetővé teszi az ilyen erőforrások bizalmas adatkockázatának feltárására az alábbi funkciókkal:

  • Támadási útvonalak: Ha a Defender Cloud Security Posture Management (CSPM) csomagban engedélyezve van a bizalmas adatok felderítése, a támadási útvonalakkal felderítheti az adatsértések kockázatát. További információ.
  • Security Explorer: Ha a Defender CSPM-csomagban engedélyezve van a bizalmas adatok felderítése, a Cloud Security Explorer használatával bizalmas adatelemzéseket kereshet. További információ.
  • Biztonsági riasztások: Ha a Defender for Storage csomagban engedélyezve van a bizalmas adatok felderítése, a bizalmassági szűrők biztonsági riasztási beállításainak alkalmazásával rangsorolhatja és felderítheti a bizalmas adattárakra vonatkozó folyamatos fenyegetéseket.

Kockázatok felfedezése támadási útvonalakon keresztül

Előre definiált támadási útvonalak megtekintése az adatszivárgási kockázatok felderítéséhez és a szervizelési javaslatok beszerzéséhez az alábbiak szerint:

  1. A Felhőhöz készült Defender nyissa meg a támadási útvonal elemzését.

  2. A kockázati tényezők között válassza a Bizalmas adatok lehetőséget az adatokhoz kapcsolódó támadási útvonalak szűréséhez.

    Screenshot that shows attack paths for data risk.

  3. Tekintse át az adattámadási útvonalakat.

  4. Az adaterőforrásokban észlelt bizalmas információk megtekintéséhez válassza ki az erőforrás nevét >Elemzések. Ezután bontsa ki a Bizalmas adatok megjelenítése lehetőséget.

  5. A kockázatcsökkentési lépésekhez nyissa meg az Aktív Javaslatok.

További példák a bizalmas adatok támadási útvonalára:

  • "Az interneten közzétett, bizalmas adatokkal rendelkező Azure Storage-tároló nyilvánosan elérhető"
  • "A felügyelt adatbázis túlzott internetes kitettséggel és bizalmas adatokkal lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést"
  • "A virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy bizalmas adatokat tartalmazó adattárhoz"
  • "Az interneten közzétett AWS S3-gyűjtő bizalmas adatokkal nyilvánosan elérhető"
  • "Privát AWS S3-gyűjtő, amely adatokat replikál az internetre, elérhető és nyilvánosan elérhető"
  • "Az RDS-pillanatkép nyilvánosan elérhető az összes AWS-fiók számára"

Kockázatok felfedezése a Cloud Security Explorerrel

Az adatkockázatok és az expozíció feltárása a felhőbeli biztonsági gráfelemzésekben lekérdezéssablon használatával vagy manuális lekérdezés definiálásával.

  1. A Felhőhöz készült Defender nyissa meg a Cloud Security Explorert.

  2. Létrehozhatja saját lekérdezését, vagy kiválaszthat egy bizalmas adat lekérdezéssablont >, megnyithatja a lekérdezést, és szükség szerint módosíthatja. Here's an example:

    Screenshot that shows an Insights data query.

Lekérdezéssablonok használata

Saját lekérdezés létrehozása helyett használhat előre definiált lekérdezéssablonokat. Számos bizalmas adat lekérdezési sablon érhető el. Például:

  • Az interneten közzétett tárolók bizalmas adatokkal, amelyek lehetővé teszik a nyilvános hozzáférést.
  • Az interneten közzétett S3-gyűjtők bizalmas adatokkal, amelyek lehetővé teszik a nyilvános hozzáférést

Ha előre definiált lekérdezést nyit meg, az automatikusan ki lesz töltve, és igény szerint módosítható. Az alábbiakban például a "Nyilvános hozzáférést lehetővé tevő bizalmas adatokkal rendelkező, internetes tártárolók" előre kitöltött mezői találhatók.

Screenshot that shows an Insights data query template.

Bizalmas adatbiztonsági riasztások felfedezése

Ha a Bizalmas adatok felderítése engedélyezve van a Defender for Storage csomagban, rangsorolhatja és a riasztásokra összpontosíthat a bizalmas adatokkal rendelkező erőforrásokat érintő riasztásokra. További információ az adatbiztonsági riasztások figyeléséről a Defender for Storage-ban.

PaaS-adatbázisok és S3-gyűjtők esetén az eredményekről az Azure Resource Graph (ARG) számol be, amely lehetővé teszi a bizalmassági címkék és bizalmas információtípusok szerinti szűrést és rendezést Felhőhöz készült Defender Inventory, Alert és Recommendation paneleken.

Exportálási eredmények

Gyakori, hogy a biztonsági rendszergazda, aki a támadási útvonalakon vagy a biztonsági kezelőben áttekinti a bizalmas adatmegállapításokat, nem fér hozzá közvetlen hozzáféréssel az adattárakhoz. Ezért meg kell osztaniuk a megállapításokat az adattulajdonosokkal, akik ezután további vizsgálatot végezhetnek.

Ehhez használja az Exportálás lehetőséget a Bizalmas adatelemzések között.

Screenshot of how to export insights.

A létrehozott CSV-fájl a következőket tartalmazza:

  • Mintanév – az erőforrás típusától függően ez lehet adatbázisoszlop, fájlnév vagy tárolónév.
  • Bizalmassági címke – az erőforráson található legmagasabb rangsorolási címke (minden sor esetében ugyanaz az érték).
  • Tartalmazza – minta teljes elérési útja (fájl elérési útja vagy oszlop teljes neve).
  • Bizalmas információtípusok – felderített információtípusok mintánként. Ha egynél több adattípust észlelt, minden egyes adattípushoz új sor lesz hozzáadva. Ez megkönnyíti a szűrést.

Megjegyzés:

A CSV-jelentés letöltése a Cloud Security Explorer oldalán nyers formátumban (json) exportálja a lekérdezés által lekért összes elemzést.

Következő lépések

  • További információ a támadási útvonalakról.
  • További információ a Cloud Security Explorerről.