Skydda VM-hemligheter
Defender för molnet tillhandahåller agentlösa hemligheter genomsökning efter virtuella datorer. Genomsökning hjälper dig att snabbt identifiera, prioritera och åtgärda exponerade hemligheter. Identifiering av hemligheter kan identifiera en mängd olika typer av hemligheter, till exempel token, lösenord, nycklar eller autentiseringsuppgifter, som lagras i olika typer av filer i operativsystemets filsystem.
Defender för molnet genomsökning av agentlösa hemligheter efter virtuella datorer (VM) hittar klartexthemligheter som finns i din miljö. Om hemligheter identifieras kan Defender för molnet hjälpa säkerhetsteamet att prioritera och vidta åtgärdsbara åtgärder för att minimera risken för lateral förflyttning, allt utan att påverka datorns prestanda.
Hur fungerar genomsökning av VM-hemligheter?
Genomsökning av hemligheter efter virtuella datorer är agentlös och använder moln-API:er.
- Genomsökningen samlar in ögonblicksbilder av diskar och analyserar dem, utan att påverka vm-prestanda.
- När Microsofts genomsökningsmotor för hemligheter samlar in metadata för hemligheter från disken skickar den dem till Defender för molnet.
- Genomsökningsmotorn hemligheter verifierar om privata SSH-nycklar kan användas för att flytta i sidled i nätverket.
- SSH-nycklar som inte har verifierats kategoriseras som overifierade på sidan Defender för molnet Rekommendationer.
- Kataloger som identifieras som innehållande testrelaterat innehåll undantas från genomsökning.
Vad stöds?
Genomsökning av VM-hemligheter är tillgänglig när du använder antingen Defender för servrar, plan 2 eller CSPM (Cloud Security Posture Management). Genomsökning av VM-hemligheter kan genomsöka virtuella Azure-datorer och AWS/GCP-instanser som registrerats för att Defender för molnet. Granska hemligheterna som kan identifieras av Defender för molnet.
Hur minskar genomsökningen av VM-hemligheter risken?
Genomsökning av hemligheter hjälper till att minska risken med följande åtgärder:
- Eliminera hemligheter som inte behövs.
- Tillämpa principen om lägsta behörighet.
- Stärka säkerheten för hemligheter med hjälp av hanteringssystem för hemligheter, till exempel Azure Key Vault.
- Använda kortlivade hemligheter som att ersätta Azure Storage-anslutningssträng med SAS-token som har kortare giltighetsperioder.
Hur gör jag för att identitet och åtgärda problem med hemligheter?
Det finns ett antal olika sätt. Alla metoder stöds inte för varje hemlighet. Mer information finns i listan över hemligheter som stöds.
- Granska hemligheter i tillgångsinventeringen: Inventeringen visar säkerhetstillståndet för resurser som är anslutna till Defender för molnet. Från inventeringen kan du visa hemligheterna som identifierats på en specifik dator.
- Granska rekommendationerna om hemligheter: När hemligheter hittas på tillgångar utlöses en rekommendation under säkerhetskontrollen Åtgärda säkerhetsrisker på sidan Defender för molnet Rekommendationer. Rekommendationer utlöses på följande sätt:
- Granska hemligheter med Cloud Security Explorer. Använd Cloud Security Explorer för att köra frågor mot molnsäkerhetsdiagrammet. Du kan skapa egna frågor eller använda någon av de inbyggda mallarna för att fråga efter VM-hemligheter i hela miljön.
- Granska attackvägar: Analys av attackvägar söker igenom molnsäkerhetsdiagrammet för att exponera exploaterbara sökvägar som attacker kan använda för att bryta mot din miljö och nå tillgångar med hög påverkan. Genomsökning av VM-hemligheter stöder ett antal scenarier för attackvägar.
Säkerhetsrekommendationer
Följande säkerhetsrekommendationer för VM-hemligheter är tillgängliga:
- Azure-resurser: Datorer bör lösa hemligheter
- AWS-resurser: EC2-instanser bör ha lösta hemligheter
- GCP-resurser: VM-instanser bör ha lösta hemligheter
Scenarier för attackväg
Tabellen sammanfattar attackvägar som stöds.
| Virtuell dator | Attackvägar |
|---|---|
| Azure | Exponerad sårbar virtuell dator har en osäker privat SSH-nyckel som används för att autentisera till en virtuell dator. Exponerad sårbar virtuell dator har osäkra hemligheter som används för att autentisera till ett lagringskonto. Sårbara virtuella datorer har osäkra hemligheter som används för att autentisera till ett lagringskonto. Exponerad sårbar virtuell dator har osäkra hemligheter som används för att autentisera till en SQL-server. |
| AWS | Exponerad sårbar EC2-instans har en osäker privat SSH-nyckel som används för att autentisera till en EC2-instans. Exponerad sårbar EC2-instans har en osäker hemlighet som används för att autentisera till ett lagringskonto. Exponerad sårbar EC2-instans har osäkra hemligheter som används för att autentisera till en AWS RDS-server. Sårbara EC2-instanser har osäkra hemligheter som används för att autentisera till en AWS RDS-server. |
| GCP | Exponerad sårbar GCP VM-instans har en osäker privat SSH-nyckel som används för att autentisera till en GCP VM-instans. |
Fördefinierade frågor för molnsäkerhetsutforskaren
Defender för molnet tillhandahåller dessa fördefinierade frågor för att undersöka säkerhetsproblem med hemligheter:
- Virtuell dator med klartexthemlighet som kan autentiseras mot en annan virtuell dator – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som kan komma åt andra virtuella datorer eller EC2s.
- Virtuell dator med klartexthemlighet som kan autentisera till ett lagringskonto – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till lagringskonton
- Virtuell dator med klartexthemlighet som kan autentisera till en SQL-databas – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till SQL-databaser.
Hur gör jag för att effektivt åtgärda hemligheter?
Det är viktigt att kunna prioritera hemligheter och identifiera vilka som behöver omedelbar uppmärksamhet. För att hjälpa dig med detta tillhandahåller Defender för molnet:
- Tillhandahålla omfattande metadata för varje hemlighet, till exempel senaste åtkomsttid för en fil, ett förfallodatum för token, en indikation på om målresursen som hemligheterna ger åtkomst till finns med mera.
- Kombinera metadata för hemligheter med kontexten för molntillgångar. Detta hjälper dig att börja med tillgångar som exponeras för Internet eller innehåller hemligheter som kan äventyra andra känsliga tillgångar. Genomsökningsresultat för hemligheter införlivas i riskbaserad rekommendationsprioritering.
- Att tillhandahålla flera vyer som hjälper dig att hitta de vanligaste hemligheterna eller tillgångar som innehåller hemligheter.