保護適用於雲端的 Defender 中的秘密

適用於雲端的 Microsoft Defender 可協助安全性小組將攻擊者利用安全性秘密的風險降到最低。

取得初始存取權之後，攻擊者可以橫向跨網路移動、尋找敏感資料，以及利用弱點來存取雲端部署、資源和網際網路面向工作負載，藉此損害重要的資訊系統。 橫向移動經常牽涉到認證威脅，這些威脅通常會利用敏感資料，例如公開的認證和秘密，例如密碼、密鑰、權杖和連接字串，以取得其他資產的存取權。 秘密通常位於檔案中、儲存在 VM 磁碟上，或跨多雲端部署的容器上。 有許多原因會發生公開的秘密：

• 缺乏認知：組織可能不知道其雲端環境中秘密暴露的風險和後果。 在程式碼和組態檔中處理及保護秘密時，可能沒有明確的原則。
• 缺少探索工具：工具可能無法偵測及補救秘密洩漏。
• 複雜度和速度：新式軟體開發是複雜且快速的，會依賴多個雲端平台、開放原始碼軟體和協力廠商程式碼。 開發人員可能會使用秘密來存取及整合雲端環境中的資源和服務，其可能會將秘密儲存在原始程式碼存放庫中，以方便和重複使用。 這可能會導致在公用或私人存放庫中，或在資料傳輸或處理期間意外公開秘密。
• 安全性與可用性之間的取捨：組織可能會在雲端環境中使秘密保持公開以方便使用，避免加密和解密待用和傳輸中資料的複雜性和延遲。 這可能會危害資料和認證的安全性和隱私權。

適用於雲端的 Defender 提供虛擬機器和雲端部署的秘密掃描，以減少橫向行動風險。

• 虛擬機器 (VM)：在多雲端 VM 上掃描無代理程式秘密。
• 雲端部署：跨多雲端基礎結構即程式碼部署資源進行無代理程式秘密掃描。
• Azure DevOps：掃描以探索 Azure DevOps 中公開的秘密。

必要條件

必要的角色和權限：

• 安全性讀取者

  • 安全性系統管理員

    • 讀者

      • 參與者

        • 擁有者

部署秘密掃描

秘密掃描是在適用於雲端的 Defender 方案中提供的功能：

• VM 掃描：隨附於適用於雲端安全性態勢管理 (CSPM) 方案的 Defender，或隨附於適用於伺服器的 Defender 方案 2。
• 雲端部署資源掃描隨附於 Defender CSPM。
• DevOps 掃描：隨附於 Defender CSPM。

檢閱秘密結果

您可以透過幾種方式來檢閱及調查秘密的安全性結果：

• 檢閱資產清查。 您可以在 [清查] 頁面中取得秘密的完整檢視。
• 檢閱秘密建議：在適用於雲端的 Defender 建議頁面中，您可以檢閱及補救秘密建議。 深入了解調查建議和警示。
• 調查安全性深入解析：您可以使用雲端安全性總管來查詢雲端安全性圖表。 您可以建置自己的查詢，或使用預先定義的查詢範本。
• 使用攻擊路徑：您可以使用攻擊路徑來調查及補救重大秘密風險。 深入了解。

探索支援

適用於雲端的 Defender 支援探索資料表中摘要說明的秘密類型。

秘密類型	VM 秘密探索	雲端部署秘密探索	檢閱位置
不安全的 SSH 私密金鑰 支援 PuTTy 檔案的 RSA 演算法。 PKCS#8 和 PKCS#1 標準 OpenSSH 標準	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Azure SQL 連接字串支援 SQL PAAS。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字適用於 PostgreSQL 的 Azure 資料庫。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字適用於 MySQL 的 Azure 資料庫。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字適用於 MariaDB 的 Azure 資料庫。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Azure Cosmos DB，包括 PostgreSQL、MySQL 和 MariaDB。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 AWS RDS 連接字串支援 SQL PAAS： 純文字 Amazon Aurora 與 Postgres 和 MySQL 變體。 純文字 Amazon 自定義 RDS 與 Oracle 和 SQL Server 變體。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Azure 儲存體帳戶連接字串	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Azure 儲存體帳戶連接字串。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Azure 儲存體帳戶 SAS 權杖。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 AWS 便捷鍵。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 AWS S3 預先簽署的 URL。	Yes	Yes	清查, 雲端安全性總管, 建議, 攻擊路徑
純文字 Google 儲存體已簽署 URL。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure AD 用戶端密碼。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure DevOps 個人存取權杖。	Yes	Yes	清查, 雲端安全性總管。
純文字 GitHub 個人存取權杖。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 應用程式組態存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 認知服務金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure AD 使用者認證。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Container Registry 存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure App Service 部署密碼。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Databricks 個人存取權杖。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure SignalR 存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure API 管理訂用帳戶金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Bot Framework 祕密金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Machine Learning Web 服務 API 金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 通訊服務存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 事件方格存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Amazon Marketplace Web 服務 (MWS) 存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 地圖服務訂用帳戶金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Web PubSub 存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 OpenAI API 金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure Batch 共用存取金鑰。	Yes	Yes	清查, 雲端安全性總管。
純文字 NPM 作者權杖。	Yes	Yes	清查, 雲端安全性總管。
純文字 Azure 訂用帳戶管理憑證。	Yes	Yes	清查, 雲端安全性總管。
純文字 GCP API 金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 AWS Redshift 認證。	No	Yes	清查, 雲端安全性總管。
純文字私密金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 ODBC 連接字串。	No	Yes	清查, 雲端安全性總管。
純文字一般密碼。	No	Yes	清查, 雲端安全性總管。
純文字使用者登入認證。	No	Yes	清查, 雲端安全性總管。
純文字 Travis 個人權杖。	No	Yes	清查, 雲端安全性總管。
純文字 Slack 存取權杖。	No	Yes	清查, 雲端安全性總管。
純文字 ASP.NET 電腦金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 HTTP 授權標頭。	No	Yes	清查, 雲端安全性總管。
純文字 Azure Redis 快取密碼。	No	Yes	清查, 雲端安全性總管。
純文字 Azure IoT 共用存取金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 Azure DevOps 應用程式秘密。	No	Yes	清查, 雲端安全性總管。
純文字 Azure 函式 API 金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 Azure 共用存取金鑰。	No	Yes	清查, 雲端安全性總管。
純文字 Azure Logic App 共用存取簽章。	No	Yes	清查, 雲端安全性總管。
純文字 Azure Active Directory 存取權杖。	No	Yes	清查, 雲端安全性總管。
純文字 Azure 服務匯流排共用存取簽章。	No	Yes	清查, 雲端安全性總管。

相關內容

• VM 秘密掃描。
• 雲端部署秘密掃描
• Azure DevOps 掃描