分享方式:


適用於 Key Vault 的 Microsoft Defender 概觀

Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。

啟用適用於 Key Vault 的 Microsoft Defender,以取得提供了額外安全性情報層級之 Azure Key Vault Azure 原生的進階威脅保護。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 適用於 Key Vault 的 Microsoft Defender 的計費方式如定價頁面所示
雲端: 商業雲端
國家 (Azure Government、Azure、21Vianet 操作的 Microsoft Azure)

Microsoft Defender for Key Vault 有哪些優點?

適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 這一層保護可協助您即使不是安全性專家,仍能解決威脅,且無須管理第三方安全性監視系統。

發生異常活動時,適用於 Key Vault 的 Defender 會顯示警示,並選擇性地透過電子郵件將警示傳送給組織的相關成員。 這些警示中包含可疑活動的詳細資料,以及關於如何調查和補救威脅的建議。

Microsoft Defender for Key Vault 警示

當您收到適用於 Key Vault 的 Microsoft Defender 傳來的警示時,建議您如回應適用於 Key Vault 的 Microsoft Defender 所說明,調查並回應這些警示。 適用於 Key Vault 的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必檢查每個警示的相關情況。

這些警示會出現在 Key Vault 的 [安全性] 頁面、[工作負載保護] 和適用於雲端之 Defender 的 [安全性警示] 頁面中。

顯示 Azure Key Vault 安全性頁面的螢幕擷取畫面

提示

您可以依照在適用於雲端的 Microsoft Defender 中驗證 Azure Key Vault 威脅偵測中的指示,模擬適用於 Key Vault 的 Microsoft Defender 警示。

回應適用於 Key Vault 的 Microsoft Defender 警示

當您收到來自適用於 Key Vault 的 Microsoft Defender 警示時,建議您如下所述,調查並回應警示。 適用於金鑰保存庫的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必要確認每個警示的相關情況。

適用於 Key Vault 的 Microsoft Defender 警示包含下列元素:

  • 物件識別碼
  • 可疑資源的使用者主體名稱或 IP 位址

根據所發生的存取類型,有些欄位可能無法使用。 例如,如果您的金鑰保存庫遭到應用程式存取,您就不會看到相關聯的使用者主體名稱。 如果流量源自 Azure 外部,您就不會看到物件識別碼。

提示

Azure 虛擬機器已獲指派 Microsoft IP。 這表示警示可能包含 Microsoft IP,即使它與從 Microsoft 外部執行的活動相關。 因此,即使警示有 Microsoft IP,您仍應該如此頁面所述進行調查。

步驟 1:識別來源

  1. 驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
  2. 如果您無法驗證流量來源,請繼續步驟 2。據以回應
  3. 如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。

警告

適用於 Key Vault 的 Microsoft Defender 的設計目的是協助識別遭竊認證所造成的可疑活動。 請勿只因為您辨識使用者或應用程式而關閉警示。 請連絡應用程式的擁有者或使用者,並確認活動是否合法。 您可以建立隱藏規則,以在必要時消除雜訊。 在隱藏安全性警示中深入瞭解。

步驟 2:據以回應

如果您無法辨識使用者或應用程式,或認為不該授權存取:

  • 如果流量來自無法辨識的 IP 位址:

    1. 按照設定 Azure Key Vault 防火牆和虛擬網路的描述,啟用 Azure Key Vault 防火牆。
    2. 使用信任的資源和虛擬網路設定防火牆。
  • 如果警示來源是未經授權的應用程式或可疑的使用者:

    1. 開啟金鑰保存庫的存取原則設定。
    2. 移除對應的安全性主體,或限制安全性主體可執行的作業。
  • 如果警示的來源在您的租使用者中具有 Microsoft Entra 角色:

    1. 請連絡系統管理員。
    2. 判斷是否需要減少或撤銷 Microsoft Entra 權限。

步驟 3:測量影響

事件減輕後,請調查金鑰保存庫受影響的祕密:

  1. 在 Azure Key Vault 開啟 [安全性] 頁面,並檢視觸發的警示。
  2. 選取觸發的特定警示,並檢閱已存取的祕密清單和時間戳記。
  3. 此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。

步驟 4:採取動作

當您編譯可疑使用者或應用程式存取過的祕密、金鑰和憑證清單後,您應立即輪替這些物件。

  1. 建議停用或刪除金鑰保存庫受影響的祕密。
  2. 如果認證用於特定應用程式:
    1. 請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
    2. 若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。

下一步

在本文中,您已瞭解適用於 Key Vault 的 Microsoft Defender。

如需相關內容,請參閱下列文章: