Overzicht van Microsoft Defender voor Key Vault
Azure Key Vault is een cloudservice die versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeksen en wachtwoorden, beveiligt.
Schakel Microsoft Defender in voor Key Vault voor azure-systeemeigen, geavanceerde beveiliging tegen bedreigingen voor Azure Key Vault, waardoor een extra laag beveiligingsinformatie wordt geboden.
Beschikbaarheid
| Aspect | Details |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) |
| Prijzen: | Microsoft Defender voor Key Vault wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen |
| Clouds: |  Commerciële clouds Nationaal (Azure Government, Azure China 21Vianet) |
Wat zijn de voordelen van Microsoft Defender voor Key Vault?
Microsoft Defender voor Key Vault detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van Key Vault accounts. Deze beveiligingslaag helpt u bedreigingen aan te pakken, zelfs als u geen beveiligingsexpert bent en zonder dat u beveiligingsbewakingssystemen van derden hoeft te beheren.
Wanneer afwijkende activiteiten optreden, geeft Defender voor Key Vault waarschuwingen weer en verzendt deze desgewenst via e-mail naar relevante leden van uw organisatie. Deze waarschuwingen bevatten de details over het verdachte incident evenals aanbevelingen voor het onderzoeken en oplossen van bedreigingen.
Microsoft Defender voor Key Vault waarschuwingen
Wanneer u een waarschuwing ontvangt van Microsoft Defender voor Key Vault, raden we u aan de waarschuwing te onderzoeken en erop te reageren, zoals beschreven in Reageren op Microsoft Defender voor Key Vault. Microsoft Defender voor Key Vault beveiligt toepassingen en referenties, dus zelfs als u bekend bent met de toepassing of gebruiker die de waarschuwing heeft geactiveerd, is het belangrijk om de situatie rond elke waarschuwing te controleren.
De waarschuwingen worden weergegeven op de pagina Beveiliging van Key Vault, de pagina Workloadbeveiliging en de pagina beveiligingswaarschuwingen van Defender for Cloud.
Tip
U kunt Microsoft Defender voor Key Vault waarschuwingen simuleren door de instructies te volgen in Azure Key Vault detectie van bedreigingen valideren in Microsoft Defender for Cloud.
Reageren op Microsoft Defender voor Key Vault waarschuwingen
Wanneer u een waarschuwing ontvangt van Microsoft Defender voor Key Vault, raden we u aan de waarschuwing te onderzoeken en erop te reageren, zoals hieronder wordt beschreven. Microsoft Defender voor Key Vault beveiligt toepassingen en referenties, dus zelfs als u bekend bent met de toepassing of gebruiker die de waarschuwing heeft geactiveerd, is het belangrijk om de situatie rond elke waarschuwing te controleren.
Waarschuwingen van Microsoft Defender voor Key Vault bevatten de volgende elementen:
- Object-id
- User Principal Name of IP-adres van de verdachte resource
Afhankelijk van het type toegang dat is opgetreden, zijn sommige velden mogelijk niet beschikbaar. Als uw sleutelkluis bijvoorbeeld door een toepassing is geopend, ziet u geen bijbehorende user principal name van de gebruiker. Als het verkeer afkomstig is van buiten Azure, ziet u geen object-id.
Tip
Virtuele Azure-machines krijgen Microsoft IP-adressen toegewezen. Dit betekent dat een waarschuwing mogelijk een Microsoft-IP-adres bevat, zelfs als deze betrekking heeft op activiteiten die van buiten Microsoft worden uitgevoerd. Dus zelfs als een waarschuwing een Microsoft-IP-adres heeft, moet u nog steeds onderzoeken zoals beschreven op deze pagina.
Stap 1. De bron identificeren
- Controleer of het verkeer afkomstig is van uw Azure-tenant. Als de firewall van de sleutelkluis is ingeschakeld, hebt u waarschijnlijk toegang verleend aan de gebruiker of toepassing die deze waarschuwing heeft geactiveerd.
- Als u de bron van het verkeer niet kunt verifiëren, gaat u verder met stap 2. Reageer dienovereenkomstig.
- Als u de bron van het verkeer in uw tenant kunt identificeren, neemt u contact op met de gebruiker of eigenaar van de toepassing.
Waarschuwing
Microsoft Defender voor Key Vault is ontworpen om verdachte activiteiten te identificeren die worden veroorzaakt door gestolen referenties. Sluit de waarschuwing niet alleen omdat u de gebruiker of toepassing herkent. Neem contact op met de eigenaar van de toepassing of de gebruiker en controleer of de activiteit legitiem was. U kunt zo nodig een onderdrukkingsregel maken om ruis te elimineren. Meer informatie in Beveiligingswaarschuwingen onderdrukken.
Stap 2. Dienovereenkomstig reageren
Als u de gebruiker of toepassing niet herkent of als u denkt dat de toegang niet geautoriseerd had moeten zijn:
Als het verkeer afkomstig is van een niet-herkend IP-adres:
- Schakel de Azure Key Vault-firewall in, zoals beschreven in Azure Key Vault firewalls en virtuele netwerken configureren.
- Configureer de firewall met vertrouwde resources en virtuele netwerken.
Als de bron van de waarschuwing een niet-geautoriseerde toepassing of verdachte gebruiker is:
- Open de toegangsbeleidsinstellingen van de sleutelkluis.
- Verwijder de bijbehorende beveiligingsprincipal of beperk de bewerkingen die de beveiligingsprincipal kan uitvoeren.
Als de bron van de waarschuwing een Azure Active Directory-rol in uw tenant heeft:
- Neem contact op met de beheerder.
- Bepaal of het nodig is om Azure Active Directory-machtigingen te verminderen of in te trekken.
Stap 3. De impact meten
Wanneer de gebeurtenis is opgelost, onderzoekt u de geheimen in uw sleutelkluis die zijn beïnvloed:
- Open de pagina Beveiliging in uw Azure-sleutelkluis en bekijk de geactiveerde waarschuwing.
- Selecteer de specifieke waarschuwing die is geactiveerd en bekijk de lijst met de geheimen die zijn geopend en de tijdstempel.
- Als u diagnostische logboeken van de sleutelkluis hebt ingeschakeld, controleert u desgewenst de vorige bewerkingen voor het bijbehorende IP-adres, de gebruikersprincipal of de object-id van de aanroeper.
Stap 4. Actie ondernemen
Wanneer u uw lijst met geheimen, sleutels en certificaten hebt gecompileerd die zijn geopend door de verdachte gebruiker of toepassing, moet u deze objecten onmiddellijk roteren.
- Betrokken geheimen moeten worden uitgeschakeld of verwijderd uit uw sleutelkluis.
- Als de referenties zijn gebruikt voor een specifieke toepassing:
- Neem contact op met de beheerder van de toepassing en vraag deze om hun omgeving te controleren op het gebruik van de gecompromitteerde referenties sinds deze zijn gecompromitteerd.
- Als de gecompromitteerde referenties zijn gebruikt, moet de eigenaar van de toepassing de informatie identificeren die is geopend en de impact beperken.
Volgende stappen
In dit artikel hebt u meer geleerd over Microsoft Defender voor Key Vault.
Raadpleeg de volgende artikelen voor gerelateerd materiaal:
- Key Vault beveiligingswaarschuwingen: de sectie Key Vault van de referentietabel voor alle Microsoft Defender voor cloudwaarschuwingen
- Continu Defender for Cloud-gegevens exporteren
- Beveiligingswaarschuwingen onderdrukken