適用於 Key Vault 的 Microsoft Defender 概觀
Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。
啟用適用於 Key Vault 的 Microsoft Defender,以取得提供了額外安全性情報層級之 Azure Key Vault Azure 原生的進階威脅保護。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) |
| 定價: | 適用於 Key Vault 的 Microsoft Defender 的計費方式如定價頁面所示 |
| 雲端: |  商業雲端 國家 (Azure Government、Azure、21Vianet 操作的 Microsoft Azure) |
Microsoft Defender for Key Vault 有哪些優點?
適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 這一層保護可協助您即使不是安全性專家,仍能解決威脅,且無須管理第三方安全性監視系統。
發生異常活動時,適用於 Key Vault 的 Defender 會顯示警示,並選擇性地透過電子郵件將警示傳送給組織的相關成員。 這些警示中包含可疑活動的詳細資料,以及關於如何調查和補救威脅的建議。
Microsoft Defender for Key Vault 警示
當您收到適用於 Key Vault 的 Microsoft Defender 傳來的警示時,建議您如回應適用於 Key Vault 的 Microsoft Defender 所說明,調查並回應這些警示。 適用於 Key Vault 的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必檢查每個警示的相關情況。
這些警示會出現在 Key Vault 的 [安全性] 頁面、[工作負載保護] 和適用於雲端之 Defender 的 [安全性警示] 頁面中。
提示
您可以依照在適用於雲端的 Microsoft Defender 中驗證 Azure Key Vault 威脅偵測中的指示,模擬適用於 Key Vault 的 Microsoft Defender 警示。
回應適用於 Key Vault 的 Microsoft Defender 警示
當您收到來自適用於 Key Vault 的 Microsoft Defender 警示時,建議您如下所述,調查並回應警示。 適用於金鑰保存庫的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必要確認每個警示的相關情況。
適用於 Key Vault 的 Microsoft Defender 警示包含下列元素:
- 物件識別碼
- 可疑資源的使用者主體名稱或 IP 位址
根據所發生的存取類型,有些欄位可能無法使用。 例如,如果您的金鑰保存庫遭到應用程式存取,您就不會看到相關聯的使用者主體名稱。 如果流量源自 Azure 外部,您就不會看到物件識別碼。
提示
Azure 虛擬機器已獲指派 Microsoft IP。 這表示警示可能包含 Microsoft IP,即使它與從 Microsoft 外部執行的活動相關。 因此,即使警示有 Microsoft IP,您仍應該如此頁面所述進行調查。
步驟 1:識別來源
- 驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
- 如果您無法驗證流量來源,請繼續步驟 2。據以回應。
- 如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。
警告
適用於 Key Vault 的 Microsoft Defender 的設計目的是協助識別遭竊認證所造成的可疑活動。 請勿只因為您辨識使用者或應用程式而關閉警示。 請連絡應用程式的擁有者或使用者,並確認活動是否合法。 您可以建立隱藏規則,以在必要時消除雜訊。 在隱藏安全性警示中深入瞭解。
步驟 2:據以回應
如果您無法辨識使用者或應用程式,或認為不該授權存取:
如果流量來自無法辨識的 IP 位址:
- 按照設定 Azure Key Vault 防火牆和虛擬網路的描述,啟用 Azure Key Vault 防火牆。
- 使用信任的資源和虛擬網路設定防火牆。
如果警示來源是未經授權的應用程式或可疑的使用者:
- 開啟金鑰保存庫的存取原則設定。
- 移除對應的安全性主體,或限制安全性主體可執行的作業。
如果警示的來源在您的租使用者中具有 Microsoft Entra 角色:
- 請連絡系統管理員。
- 判斷是否需要減少或撤銷 Microsoft Entra 權限。
步驟 3:測量影響
事件減輕後,請調查金鑰保存庫受影響的祕密:
- 在 Azure Key Vault 開啟 [安全性] 頁面,並檢視觸發的警示。
- 選取觸發的特定警示,並檢閱已存取的祕密清單和時間戳記。
- 此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。
步驟 4:採取動作
當您編譯可疑使用者或應用程式存取過的祕密、金鑰和憑證清單後,您應立即輪替這些物件。
- 建議停用或刪除金鑰保存庫受影響的祕密。
- 如果認證用於特定應用程式:
- 請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
- 若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。
下一步
在本文中,您已瞭解適用於 Key Vault 的 Microsoft Defender。
如需相關內容,請參閱下列文章:
- Key Vault 安全性警示--所有適用於雲端的 Microsoft Defender 警示之參考資料表的 Key Vault 小節
- 持續匯出適用於雲端的 Defender 資料
- 隱藏安全性警示