Saldırı yollarının ve bulut güvenlik grafiği bileşenlerinin başvuru listesi
Bu makalede Defender Bulut Güvenliği Duruş Yönetimi'nde (CSPM) kullanılan saldırı yolları, bağlantılar ve içgörüler listelenir.
- Saldırı yollarını görüntülemek için Defender CSPM'yi etkinleştirmeniz gerekir.
- Ortamınızda gördükleriniz, koruduğunuz kaynaklara ve özelleştirilmiş yapılandırmanıza bağlıdır.
Bulut güvenlik grafiği, saldırı yolu analizi ve bulut güvenlik gezgini hakkında daha fazla bilgi edinin.
Saldırı yolları
Azure VM’leri
Önkoşul: Önkoşulların listesi için saldırı yolları için Kullanılabilirlik tablosuna bakın.
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesinde güvenlik açıkları var | Sanal makineye İnternet'ten erişilebilir ve yüksek önem derecesinde güvenlik açıkları vardır. |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açıkları ve aboneliğe yüksek izni vardır | Sanal makineye İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları ve abonelik için kimlik ve izinler vardır. |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açıkları ve hassas verilerle veri deposuna okuma izni vardır | Sanal makineye İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları ve hassas veriler içeren bir veri deposu için okuma izni vardır. Ön koşul: Defender CSPM'de depolama hesapları için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açıkları ve veri deposu için okuma izni var | Sanal makineye İnternet'ten erişilebilir ve yüksek önem derecesinde güvenlik açıkları ve veri deposu için okuma izni vardır. |
| İnternet'te kullanıma sunulan VM'de yüksek önem derecesinde güvenlik açıkları ve Key Vault için okuma izni var | Sanal makineye İnternet'ten erişilebilir ve yüksek önem derecesinde güvenlik açıkları ve anahtar kasası için okuma izni vardır. |
| VM'nin yüksek önem derecesine sahip güvenlik açıkları ve aboneliğe yüksek izni var | Bir sanal makine yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve bir abonelik için yüksek izne sahiptir. |
| VM yüksek önem derecesine sahip güvenlik açıklarına ve hassas verilerle veri deposuna okuma iznine sahiptir | Sanal makine yüksek önem derecesine sahip güvenlik açıklarına ve hassas veriler içeren bir veri deposuna okuma iznine sahiptir. Ön koşul: Defender CSPM'de depolama hesapları için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
| VM'de yüksek önem derecesinde güvenlik açıkları ve anahtar kasası için okuma izni var | Sanal makine yüksek önem derecesine sahip güvenlik açıklarına ve anahtar kasasına okuma iznine sahiptir. |
| VM'de yüksek önem derecesinde güvenlik açıkları ve veri deposu için okuma izni var | Sanal makine yüksek önem derecesine sahip güvenlik açıklarına ve veri deposuna okuma iznine sahiptir. |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açığı ve başka bir VM'de kimlik doğrulaması yapabilen güvenli olmayan SSH özel anahtarı var | Azure sanal makinesine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve başka bir AWS EC2 örneğinde kimlik doğrulaması yapabilen düz metin SSH özel anahtarı vardır |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açıkları vardır ve SQL sunucusunda kimlik doğrulaması yapmak için kullanılan güvenli olmayan gizli diziye sahiptir | Azure sanal makinesine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve SQL sunucusunda kimlik doğrulaması yapabilen düz metin SSH özel anahtarı vardır |
| VM yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve sql sunucusunda kimlik doğrulaması yapmak için kullanılan güvenli olmayan gizli diziye sahiptir | Azure sanal makinesi yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve SQL sunucusunda kimlik doğrulaması yapabilen düz metin SSH özel anahtarına sahiptir |
| VM yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve depolama hesabında kimlik doğrulaması yapmak için kullanılan güvenli olmayan düz metin gizli dizisine sahiptir | Azure sanal makinesi yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve azure depolama hesabında kimlik doğrulaması yapabilen düz metin SSH özel anahtarına sahiptir |
| İnternet'te kullanıma sunulan VM'nin yüksek önem derecesine sahip güvenlik açıkları vardır ve depolama hesabında kimlik doğrulaması yapmak için kullanılan güvenli olmayan gizli diziye sahiptir | Azure sanal makinesine İnternet'ten ulaşılabilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve Azure depolama hesabında kimlik doğrulaması yapabilecek gizli dizileri vardır |
AWS EC2 örnekleri
Önkoşul: Aracısız taramayı etkinleştirin.
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına ve bir hesaba yüksek izinlere sahiptir | BIR AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve hesaba erişim izni vardır. |
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına ve bir veritabanı için okuma iznine sahiptir | AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve veritabanı için izni vardır. |
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına ve S3 demetine okuma iznine sahiptir | BIR AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve IAM ilkesi aracılığıyla veya bir demet ilkesi aracılığıyla ya da hem IAM ilkesi hem de demet ilkesi aracılığıyla S3 demetine izne sahip bir IAM rolüne sahiptir. |
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına ve hassas veri içeren bir S3 demetine okuma iznine sahiptir | BIR AWS EC2 örneğine İnternet'ten ulaşılabilirken yüksek önem derecesine sahip güvenlik açıkları vardır ve bir IAM ilkesi veya bir demet ilkesi veya hem IAM ilkesi hem de de demeti ilkesi aracılığıyla hassas veriler içeren bir S3 demetine izne sahip bir IAM rolüne sahiptir. Ön koşul: Defender CSPM'de S3 demetleri için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına ve KMS'ye okuma iznine sahiptir | Aws EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve IAM ilkesi veya AWS Anahtar Yönetim Merkezi (KMS) ilkesi aracılığıyla ya da hem IAM ilkesi hem de AWS KMS ilkesi aracılığıyla AWS Anahtar Yönetim Merkezi (KMS) iznine sahip bir IAM rolüne sahiptir. |
| İnternet'te kullanıma sunulan EC2 örneğinde yüksek önem derecesinde güvenlik açıkları var | AWS EC2 örneğine İnternet'ten erişilebilir ve yüksek önem derecesine sahip güvenlik açıkları vardır. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip EC2 örneği, bir hesap için yüksek ayrıcalıklı izinlere sahiptir | AWS EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve bir hesap için izinlere sahiptir. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip EC2 örneğinin veri deposunda okuma izinleri vardır | AWS EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve IAM ilkesi veya demet ilkesi aracılığıyla ya da hem IAM ilkesi hem de demet ilkesi aracılığıyla S3 demetine izinler verilen bir IAM rolüne sahiptir. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip EC2 örneği, hassas verilere sahip bir veri deposu için okuma izinlerine sahiptir | AWS EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve IAM ilkesi veya demet ilkesi aracılığıyla veya hem IAM hem de demet ilkesi aracılığıyla hassas veriler içeren bir S3 demetine izin verilen bir IAM rolüne sahiptir. Ön koşul: Defender CSPM'de S3 demetleri için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip EC2 örneğinin KMS anahtarına okuma izinleri vardır | Aws EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve IAM ilkesi aracılığıyla veya AWS Anahtar Yönetim Merkezi (KMS) ilkesi aracılığıyla ya da hem IAM hem de AWS KMS ilkesi aracılığıyla AWS Anahtar Yönetim Merkezi (KMS) anahtarına izin verilen bir IAM rolüne sahiptir. |
| İnternet'te kullanıma sunulan EC2 örneği, yüksek önem derecesine sahip güvenlik açığına ve başka bir AWS EC2 örneğinde kimlik doğrulaması yapabilen güvenli olmayan SSH özel anahtarına sahiptir | AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve başka bir AWS EC2 örneğinde kimlik doğrulaması yapabilen düz metin SSH özel anahtarı vardır |
| İnternet'te kullanıma sunulan EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve bir RDS kaynağında kimlik doğrulaması yapmak için kullanılan güvenli olmayan gizli diziye sahiptir | AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve AWS RDS kaynağında kimlik doğrulaması yapabilen düz metin SSH özel anahtarı vardır |
| EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve bir RDS kaynağında kimlik doğrulaması yapmak için kullanılan güvenli olmayan düz metin gizli dizisine sahiptir | AWS EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve AWS RDS kaynağında kimlik doğrulaması yapabilen düz metin SSH özel anahtarına sahiptir |
| İnternet'te kullanıma sunulan AWS EC2 örneği yüksek önem derecesine sahip güvenlik açıklarına sahiptir ve bir IAM ilkesi veya bir demet ilkesi aracılığıyla ya da hem IAM ilkesi hem de de demeti ilkesi aracılığıyla S3 demetine izin veren güvenli olmayan gizli diziye sahiptir. | BIR AWS EC2 örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları vardır ve IAM ilkesi, demet ilkesi veya her ikisi aracılığıyla S3 demetine yönelik izinlere sahip güvenli olmayan gizli diziye sahiptir |
GCP VM Örnekleri
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| İnternet'te kullanıma sunulan VM örneğinde yüksek önem derecesinde güvenlik açıkları var | '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir ve [Uzaktan Kod Yürütme] yüksek önem derecesine sahip güvenlik açıkları vardır. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip İnternet'te kullanıma sunulan VM örneğinin veri deposuna okuma izinleri vardır | '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları [Uzaktan Kod Yürütme] vardır ve veri deposu için okuma izinlerine sahiptir. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip İnternet'te kullanıma sunulan VM örneğinin hassas verileri olan bir veri deposunda okuma izinleri vardır | '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir, makinede uzaktan kod yürütülmesine izin veren yüksek önem derecesine sahip güvenlik açıkları vardır ve hassas veriler içeren '[BucketName]' GCP Depolama demetine okuma iznine sahip Hizmet Hesabı ile atanır. |
| İnternet'te kullanıma sunulan VM örneğinde yüksek önem derecesinde güvenlik açıkları ve bir proje için yüksek izinler var | '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları[Uzaktan Kod Yürütme] ve '[Permissions]' projesi için '[ProjectName]' izni var. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip İnternet'te kullanıma sunulan VM örneğinin Gizli Dizi Yöneticisi'ne okuma izinleri vardır | '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir, yüksek önem derecesine sahip güvenlik açıkları [Uzaktan Kod Yürütme] ve IAM ilkesi aracılığıyla GCP Gizli Dizisi Yöneticisi'nin '[SecretName]' gizli dizisine okuma izinleri var. |
| İnternet'te kullanıma sunulan VM örneğinde yüksek önem derecesinde güvenlik açıkları ve barındırılan bir veritabanı yüklü | Barındırılan bir [DatabaseType] veritabanına sahip '[VMInstanceName]' GCP VM örneğine İnternet'ten erişilebilir ve yüksek önem derecesine sahip güvenlik açıkları vardır. |
| Yüksek önem derecesinde güvenlik açıklarına sahip İnternet'te kullanıma sunulan VM'nin düz metin SSH özel anahtarı vardır | '[MachineName]' GCP VM örneğine İnternet'ten erişilebilir, [Uzaktan Kod Yürütme] yüksek önem derecesine sahip güvenlik açıkları var ve düz metin SSH özel anahtarı [SSHPrivateKey] var. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip VM örneğinin veri deposuna okuma izinleri vardır | '[VMInstanceName]' GCP VM örneği yüksek önem derecesine sahip güvenlik açıklarına [Uzaktan Kod Yürütme] sahiptir ve veri deposu için okuma izinlerine sahiptir. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip VM örneğinin hassas verilerle veri deposuna okuma izinleri vardır | '[VMInstanceName]' GCP VM örneği yüksek önem derecesine sahip güvenlik açıklarına [Uzaktan Kod Yürütme] sahiptir ve hassas veriler içeren '[BucketName]' demetine Depolama GCP okuma izinlerine sahiptir. |
| VM örneği yüksek önem derecesine sahip güvenlik açıklarına ve bir proje için yüksek izne sahiptir | '[VMInstanceName]' GCP VM örneği yüksek önem derecesine sahip güvenlik açıklarına [Uzaktan Kod Yürütme] sahiptir ve '[ProjectName]' projesi için '[Permissions]' iznine sahiptir. |
| Yüksek önem derecesine sahip güvenlik açıklarına sahip VM örneğinin Gizli Dizi Yöneticisi'ne okuma izinleri vardır | '[VMInstanceName]' GCP VM örneği yüksek önem derecesine sahip güvenlik açıklarına [Uzaktan Kod Yürütme] sahiptir ve IAM ilkesi aracılığıyla GCP Gizli Dizisi Yöneticisi'nin '[SecretName]' gizli dizisine okuma izinlerine sahiptir. |
| Yüksek önem derecesinde güvenlik açıklarına sahip VM örneğinde düz metin SSH özel anahtarı var | Diğer tüm saldırı yollarıyla uyumlu hale getirmek için GCP VM örneği. '[MachineName]' sanal makinesinin [Uzaktan Kod Yürütme] yüksek önem derecesinde güvenlik açıkları var ve düz metin SSH özel anahtarı [SSHPrivateKey] var. |
Azure verileri
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| VM'de İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve VM'de kod yürütülmesine izin verir | SANAL makine üzerindeki SQL'e İnternet'ten erişilebilir, yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) sahip yerel bir kullanıcı hesabı vardır ve temel alınan VM'de kod yürütmeye ve yanal harekete izin veren güvenlik açıklarına sahiptir. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| VM'de İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır | SANAL makinedeki SQL'e İnternet'ten erişilebilir, yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip bir yerel kullanıcı hesabı vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| VM üzerinde SQL,yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabına sahiptir ve VM'de kod yürütülmesine izin verir | VM üzerinde SQL'in yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) bir yerel kullanıcı hesabı vardır ve temel alınan VM'de kod yürütmeye ve yanal harekete izin veren güvenlik açıkları vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| VM üzerinde SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır | VM üzerinde SQL'in yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip yerel bir kullanıcı hesabı vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| Aşırı İnternet kullanımına açık yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir | Veritabanına herhangi bir genel IP'den İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanarak kimlik doğrulamasına izin verir ve bu da veritabanını deneme yanılma saldırılarına maruz bırakır. |
| Aşırı İnternet kullanımına açık ve hassas verilere sahip yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir (Önizleme) | Veritabanına herhangi bir genel IP'den İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanılarak kimlik doğrulamasına izin verir ve bu da hassas verileri olan bir veritabanını deneme yanılma saldırılarına maruz bırakır. |
| Hassas verilerle İnternet'te kullanıma sunulan yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir (Önizleme) | Veritabanına belirli IP'lerden veya IP aralıklarından İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanarak kimlik doğrulamasına izin verir ve bu da hassas verileri olan bir veritabanını deneme yanılma saldırılarına maruz bırakır. |
| İnternet'te kullanıma sunulan VM'de yüksek önem derecesinde güvenlik açıkları ve barındırılan bir veritabanı yüklü (Önizleme) | DB makinesine ağ erişimi olan bir saldırgan güvenlik açıklarından yararlanabilir ve uzaktan kod yürütmesi elde edebilir. |
| Özel Azure blob depolama kapsayıcısı, verileri İnternet'te kullanıma sunulan ve genel olarak erişilebilen Azure blob depolama kapsayıcısına çoğaltır | İç Azure depolama kapsayıcısı, verilerini İnternet'ten erişilebilen ve genel erişime izin veren başka bir Azure depolama kapsayıcısına çoğaltır ve bu verileri risk altında oluşturur. |
| Hassas verilere sahip İnternet'e açık Azure Blob Depolama kapsayıcısı genel olarak erişilebilir | Hassas verilere sahip bir blob depolama hesabı kapsayıcısına İnternet'ten erişilebilir ve yetkilendirme gerekmeden genel okuma erişimine izin verir. Ön koşul: Defender CSPM'de depolama hesapları için veri kullanan güvenliği etkinleştirin. |
AWS verileri
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| Hassas verilerle İnternet'te kullanıma sunulan AWS S3 Bucket'a genel erişim sağlanır | Hassas verilere sahip bir S3 demetine İnternet'ten erişilebilir ve yetkilendirme gerekmeden genel okuma erişimine izin verir. Ön koşul: Defender CSPM'de S3 demetleri için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
| EC2 örneğinde İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve temel alınan işlemde kod yürütülmesine izin verir | EC2 örneğinde İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve temel alınan işlemde kod yürütülmesine izin verir. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi. |
| EC2 örneğinde İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır | EC2 örneğindeki SQL'e İnternet'ten erişilebilir, yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip yerel bir kullanıcı hesabı vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve temel alınan işlemde kod yürütülmesine izin verir | EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adına sahip (deneme yanılma saldırılarına eğilimli) bir yerel kullanıcı hesabı vardır ve kod yürütmeye ve temel alınan işlemde yanal harekete izin veren güvenlik açıkları vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır | [EC2Name] EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip yerel bir kullanıcı hesabı vardır. Önkoşul: Makinelerde SQL sunucuları için Microsoft Defender'ın etkinleştirilmesi |
| Aşırı İnternet kullanımına açık yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir | Veritabanına herhangi bir genel IP'den İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanarak kimlik doğrulamasına izin verir ve bu da veritabanını deneme yanılma saldırılarına maruz bırakır. |
| Aşırı İnternet kullanımına açık ve hassas verilere sahip yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir (Önizleme) | Veritabanına herhangi bir genel IP'den İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanılarak kimlik doğrulamasına izin verir ve bu da hassas verileri olan bir veritabanını deneme yanılma saldırılarına maruz bırakır. |
| Hassas verilerle İnternet'te kullanıma sunulan yönetilen veritabanı temel (yerel kullanıcı/parola) kimlik doğrulamasına izin verir (Önizleme) | Veritabanına belirli IP'lerden veya IP aralıklarından İnternet üzerinden erişilebilir ve kullanıcı adı ve parola (temel kimlik doğrulama mekanizması) kullanarak kimlik doğrulamasına izin verir ve bu da hassas verileri olan bir veritabanını deneme yanılma saldırılarına maruz bırakır. |
| İnternet'te kullanıma sunulan EC2 örneğinde yüksek önem derecesinde güvenlik açıkları ve barındırılan bir veritabanı yüklü (Önizleme) | DB makinesine ağ erişimi olan bir saldırgan güvenlik açıklarından yararlanabilir ve uzaktan kod yürütmesi elde edebilir. |
| Özel AWS S3 demeti verileri İnternet'te kullanıma sunulan ve herkese açık AWS S3 demetine çoğaltır | İç AWS S3 demeti, verilerini İnternet'ten erişilebilen ve genel erişime izin veren başka bir S3 demetine çoğaltır ve bu verileri risk altında oluşturur. |
| RDS anlık görüntüsü tüm AWS hesapları için genel kullanıma açıktır (Önizleme) | RDS örneğinin veya kümesinin anlık görüntüsüne tüm AWS hesapları tarafından genel erişim sağlanır. |
| EC2 örneğinde İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve temel işlemde kod yürütülmesine izin verir (Önizleme) | EC2 örneğindeki SQL'e İnternet'ten erişilebilir, yaygın olarak kullanılan kullanıcı adına sahip (deneme yanılma saldırılarına eğilimli) yerel bir kullanıcı hesabı vardır ve temel alınan işlemde kod yürütmeye ve yanal harekete izin veren güvenlik açıklarına sahiptir |
| EC2 örneğinde İnternet'te kullanıma sunulan SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır (Önizleme) | EC2 örneğindeki SQL'e İnternet'ten erişilebilir, yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip bir yerel kullanıcı hesabı vardır |
| EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adına sahip bir kullanıcı hesabı vardır ve temel işlemde kod yürütülmesine izin verir (Önizleme) | EC2 örneğindeki SQL'in yaygın olarak kullanılan kullanıcı adına sahip (deneme yanılma saldırılarına eğilimli) bir yerel kullanıcı hesabı vardır ve temel alınan işlemde kod yürütmeye ve yanal harekete izin veren güvenlik açıkları vardır |
| EC2 örneğinde SQL'in yaygın olarak kullanılan kullanıcı adı ve bilinen güvenlik açıklarına sahip bir kullanıcı hesabı vardır (Önizleme) | EC2 örneğinde SQL,yaygın olarak kullanılan kullanıcı adına (deneme yanılma saldırılarına eğilimli) ve bilinen güvenlik açıklarına (CVE) sahip bir yerel kullanıcı hesabına sahiptir |
| Özel AWS S3 demeti verileri İnternet'te kullanıma sunulan ve herkese açık AWS S3 demetine çoğaltır | Özel AWS S3 demeti verileri İnternet'te kullanıma sunulan ve herkese açık AWS S3 demetine çoğaltıyor |
| Hassas verilere sahip özel AWS S3 demeti, verileri İnternet'te kullanıma sunulan ve herkese açık AWS S3 demetine çoğaltır | Hassas verilere sahip özel AWS S3 demeti, verileri İnternet'te kullanıma sunulan ve herkese açık AWS S3 demetine çoğaltıyor |
| RDS anlık görüntüsü tüm AWS hesapları için genel kullanıma açıktır (Önizleme) | RDS anlık görüntüsü tüm AWS hesapları için genel kullanıma açıktır |
GCP verileri
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| Hassas verilere sahip GCP Depolama Demeti genel olarak erişilebilir | Hassas verilere sahip GCP Depolama Bucket [BucketName], yetkilendirme gerekmeden genel okuma erişimine izin verir. |
Azure kapsayıcıları
Önkoşul: Aracısız kapsayıcı duruşu etkinleştirin. Bu, güvenlik gezgininde kapsayıcı veri düzlemi iş yüklerini sorgulama olanağı da sağlar.
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| İnternet'te kullanıma sunulan Kubernetes podu RCE güvenlik açıklarına sahip bir kapsayıcı çalıştırıyor | Bir ad alanında İnternet'te kullanıma sunulan Kubernetes podu, uzaktan kod yürütülmesine izin veren güvenlik açıklarına sahip bir görüntü kullanan bir kapsayıcı çalıştırıyor. |
| İnternet'te kullanıma sunulan bir düğümde çalışan Kubernetes podu konak ağı kullanıyor RCE güvenlik açıklarına sahip bir kapsayıcı çalıştırıyor | Konak ağı erişimi etkinleştirilmiş bir ad alanında yer alan kubernetes podu, konak ağı üzerinden İnternet'e sunulur. Pod, uzaktan kod yürütülmesine izin veren güvenlik açıklarına sahip bir görüntü kullanan bir kapsayıcı çalıştırıyor. |
GitHub depoları
Önkoşul: DevOps için Defender'ı etkinleştirin.
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| Düz metin gizli dizisiyle İnternet'te kullanıma sunulan GitHub deposu genel olarak erişilebilir (Önizleme) | GitHub deposuna İnternet'ten erişilebilir, yetkilendirme gerekmeden genel okuma erişimine izin verir ve düz metin gizli dizileri barındırılır. |
API'ler
Önkoşul: API'ler için Defender'ın etkinleştirilmesi.
| Saldırı yolu görünen adı | Saldırı yolu açıklaması |
|---|---|
| Kimliği doğrulanmamış İnternet'e açık API'ler hassas veriler taşır | Azure API Management API'sine İnternet'ten erişilebilir, hassas veriler içerir ve kimlik doğrulaması etkinleştirilmemişse saldırganlar veri sızdırma için API'lerden yararlanabilir. |
Bulut güvenlik grafiği bileşenleri listesi
Bu bölümde, bulut güvenlik gezgini ile sorgularda kullanılabilecek tüm bulut güvenlik grafiği bileşenleri (bağlantılar ve içgörüler) listelenir.
İçgörüler
| İçgörü | Tanım | Desteklenen varlıklar |
|---|---|---|
| İnternet'e açık | Bir kaynağın İnternet'e açık olduğunu gösterir. Bağlantı noktası filtrelemeyi destekler. Daha fazla bilgi edinin | Azure sanal makinesi, AWS EC2, Azure depolama hesabı, Azure SQL sunucusu, Azure Cosmos DB, AWS S3, Kubernetes podu, Azure SQL Yönetilen Örneği, Azure MySQL Tek Sunucusu, Azure MySQL Esnek Sunucusu, Azure PostgreSQL Tek Sunucu, Azure PostgreSQL Esnek Sunucusu, Azure MariaDB Tek Sunucusu, Synapse Çalışma Alanı, RDS Örneği, GCP VM örneği, GCP SQL yönetici örneği |
| Temel kimlik doğrulamasına izin verir (Önizleme) | Kaynağın temel (yerel kullanıcı/parola veya anahtar tabanlı) kimlik doğrulamasına izin verdiği gösterir | Azure SQL Server, RDS Örneği, Azure MariaDB Tek Sunucusu, Azure MySQL Tek Sunucusu, Azure MySQL Esnek Sunucusu, Synapse Çalışma Alanı, Azure PostgreSQL Tek Sunucu Azure SQL Yönetilen Örneği |
| Hassas veriler içerir Ön koşul: Defender CSPM'de depolama hesapları için veri kullanan güvenliği etkinleştirin veya hassas verileri korumak için Microsoft Purview Veri Kataloğu kullanın. |
Kaynağın hassas veriler içerdiğini gösterir. | MDC Hassas veri bulma: Azure Depolama Hesabı, Azure Depolama Hesap Kapsayıcısı, AWS S3 demeti, Azure SQL Server (önizleme), Azure SQL Veritabanı (önizleme), RDS Örneği (önizleme), RDS Örneği Veritabanı (önizleme), RDS Kümesi (önizleme) Purview Hassas veri bulma (önizleme): Azure Depolama Hesabı, Azure Depolama Hesap Kapsayıcısı, AWS S3 demeti, Azure SQL Server, Azure SQL Veritabanı, Azure Data Lake Storage 2. Nesil, PostgreSQL için Azure Veritabanı, MySQL için Azure Veritabanı, Azure Synapse Analytics, Azure Cosmos DB hesapları, GCP bulut depolama demeti |
| Verileri taşıma (Önizleme) | Kaynağın verilerini başka bir kaynağa aktardığını gösterir | Depolama hesap kapsayıcısı, AWS S3, AWS RDS örneği, AWS RDS kümesi |
| (Önizleme) uygulamasından veri alır | Kaynağın verilerini başka bir kaynaktan aldığını gösterir | Depolama hesap kapsayıcısı, AWS S3, AWS RDS örneği, AWS RDS kümesi |
| Etiketleri var | Bulut kaynağının kaynak etiketlerini listeler | Tüm Azure, AWS ve GCP kaynakları |
| Yüklü yazılım | Makinede yüklü olan tüm yazılımları listeler. Bu içgörü yalnızca Bulut için Defender ile Tehdit ve Güvenlik Açığı Yönetimi tümleştirmesi etkinleştirilmiş ve Bulut için Defender bağlı vm'ler için geçerlidir. | Azure sanal makinesi, AWS EC2 |
| Genel erişime izin verir | Yetkilendirme gerektirmeden kaynağa genel okuma erişimine izin verildiğini gösterir. Daha fazla bilgi edinin | Azure depolama hesabı, AWS S3 demeti, GitHub deposu, GCP bulut depolama demeti |
| MFA etkin değil | Kullanıcı hesabında çok faktörlü kimlik doğrulama çözümünün etkin olmadığını gösterir | Microsoft Entra kullanıcı hesabı, IAM kullanıcısı |
| Dış kullanıcı | Kullanıcı hesabının kuruluşun etki alanının dışında olduğunu gösterir | Microsoft Entra kullanıcı hesabı |
| Yönetilir | Bir kimliğin bulut sağlayıcısı tarafından yönetildiğini gösterir | Azure Yönetilen Kimliği |
| Ortak kullanıcı adlarını içerir | Bir SQL sunucusunun, deneme yanılma saldırılarına eğilimli ortak kullanıcı adlarına sahip kullanıcı hesapları olduğunu gösterir. | SQL VM, Arc Özellikli SQL VM |
| Konakta kod yürütebilir | SQL sunucusunun, xp_cmdshell gibi yerleşik bir mekanizma kullanarak temel alınan VM'de kod yürütülmesine izin verdiğine işaret eder. | SQL VM, Arc Özellikli SQL VM |
| Güvenlik açıkları var | Kaynak SQL server'da güvenlik açıkları algılandığını gösterir | SQL VM, Arc Özellikli SQL VM |
| DEASM bulguları | Microsoft Defender Harici Saldırı Yüzeyi Yönetimi (DEASM) internet tarama bulguları | Genel IP |
| Ayrıcalıklı kapsayıcı | Kubernetes kapsayıcının ayrıcalıklı modda çalıştığını gösterir | Kubernetes kapsayıcısı |
| Konak ağını kullanır | Kubernetes podunun konak makinesinin ağ ad alanını kullandığını gösterir | Kubernetes pod |
| Yüksek önem derecesinde güvenlik açıkları var | Bir kaynağın yüksek önem derecesinde güvenlik açıkları olduğunu gösterir | Azure VM, AWS EC2, Kapsayıcı görüntüsü, GCP VM örneği |
| Uzaktan kod yürütmeye karşı savunmasız | Kaynağın uzaktan kod yürütülmesine izin veren güvenlik açıkları olduğunu gösterir | Azure VM, AWS EC2, Kapsayıcı görüntüsü, GCP VM örneği |
| Genel IP meta verileri | Genel IP'nin meta verilerini listeler | Genel IP |
| Kimlik meta verileri | Kimliğin meta verilerini listeler | Microsoft Entra kimliği |
Bağlantılar
| Connection | Tanım | Kaynak varlık türleri | Hedef varlık türleri |
|---|---|---|---|
| Kimlik doğrulaması şu şekilde yapılabilir: | Bir Azure kaynağının kimlik doğrulaması gerçekleştirebileceğini ve ayrıcalıklarını kullanabileceğini gösterir | Azure VM, Azure VMSS, Azure Depolama Hesabı, Azure Uygulaması Hizmetleri, SQL Sunucuları | Microsoft Entra yönetilen kimliği |
| şu izinlere sahiptir: | Kimliğin bir kaynak veya kaynak grubu için izinleri olduğunu gösterir | Microsoft Entra kullanıcı hesabı, Yönetilen Kimlik, IAM kullanıcısı, EC2 örneği | Tüm Azure & AWS kaynakları |
| Contains | Kaynak varlığın hedef varlığı içerdiğini gösterir | Azure aboneliği, Azure kaynak grubu, AWS hesabı, Kubernetes ad alanı, Kubernetes podu, Kubernetes kümesi, GitHub sahibi, Azure DevOps projesi, Azure DevOps kuruluşu, Azure SQL sunucusu, RDS Kümesi, RDS Örneği, GCP projesi, GCP Klasörü, GCP Kuruluşu | Tüm Azure, AWS ve GCP kaynakları, Tüm Kubernetes varlıkları, Tüm DevOps varlıkları, Azure SQL veritabanı, RDS Örneği, RDS Örneği Veritabanı |
| Trafiği şu yola yönlendirir: | Kaynak varlığın ağ trafiğini hedef varlığa yönlendirebileceğini gösterir | Genel IP, Load Balancer, VNET, Alt Ağ, VPC, Internet Gateway, Kubernetes hizmeti, Kubernetes podu | Azure VM, Azure VMSS, AWS EC2, Alt Ağ, Yük Dengeleyici, İnternet ağ geçidi, Kubernetes podu, Kubernetes hizmeti, GCP VM örneği, GCP örnek grubu |
| Çalışıyor | Kaynak varlığın hedef varlığı işlem olarak çalıştırdığını gösterir | Azure VM, EC2, Kubernetes kapsayıcısı | SQL, Arc Özellikli SQL, Barındırılan MongoDB, Barındırılan MySQL, Barındırılan Oracle, Barındırılan PostgreSQL, Barındırılan SQL Server, Kapsayıcı görüntüsü, Kubernetes podu |
| Üyesi | Kaynak kimliğin hedef kimlikler grubunun bir üyesi olduğunu gösterir | Microsoft Entra group, Microsoft Entra user | Microsoft Entra grubu |
| Tutar | Kaynak Kubernetes varlığının hedef Kubernetes varlığının yaşam döngüsünü yönettiğini gösterir | Kubernetes iş yükü denetleyicisi, Kubernetes çoğaltma kümesi, Kubernetes durum bilgisi olan küme, Kubernetes daemon kümesi, Kubernetes işleri, Kubernetes cron işi | Kubernetes pod |