適用於 Key Vault 的 Microsoft Defender 概觀
Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。
啟用適用於 Key Vault 的 Microsoft Defender,以取得提供了額外安全性情報層級之 Azure Key Vault Azure 原生的進階威脅保護。
層面 |
詳細資料 |
版本狀態: |
公開上市 (GA) |
定價: |
適用於 Key Vault 的 Microsoft Defender 的計費方式如定價頁面所示 |
雲端: |
商業雲端 國家 (Azure Government、Azure、21Vianet 操作的 Microsoft Azure) |
Microsoft Defender for Key Vault 有哪些優點?
適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 這一層保護可協助您即使不是安全性專家,仍能解決威脅,且無須管理第三方安全性監視系統。
發生異常活動時,適用於 Key Vault 的 Defender 會顯示警示,並選擇性地透過電子郵件將警示傳送給組織的相關成員。 這些警示中包含可疑活動的詳細資料,以及關於如何調查和補救威脅的建議。
Microsoft Defender for Key Vault 警示
當您收到適用於 Key Vault 的 Microsoft Defender 傳來的警示時,建議您如回應適用於 Key Vault 的 Microsoft Defender 所說明,調查並回應這些警示。 適用於 Key Vault 的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必檢查每個警示的相關情況。
這些警示會出現在 Key Vault 的 [安全性] 頁面、[工作負載保護] 和適用於雲端之 Defender 的 [安全性警示] 頁面中。
回應適用於 Key Vault 的 Microsoft Defender 警示
當您收到來自適用於 Key Vault 的 Microsoft Defender 警示時,建議您如下所述,調查並回應警示。 適用於金鑰保存庫的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必要確認每個警示的相關情況。
適用於 Key Vault 的 Microsoft Defender 警示包含下列元素:
- 物件識別碼
- 可疑資源的使用者主體名稱或 IP 位址
根據所發生的存取類型,有些欄位可能無法使用。 例如,如果您的金鑰保存庫遭到應用程式存取,您就不會看到相關聯的使用者主體名稱。 如果流量源自 Azure 外部,您就不會看到物件識別碼。
提示
Azure 虛擬機器已獲指派 Microsoft IP。 這表示警示可能包含 Microsoft IP,即使它與從 Microsoft 外部執行的活動相關。 因此,即使警示有 Microsoft IP,您仍應該如此頁面所述進行調查。
- 驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
- 如果您無法驗證流量來源,請繼續步驟 2。據以回應。
- 如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。
警告
適用於 Key Vault 的 Microsoft Defender 的設計目的是協助識別遭竊認證所造成的可疑活動。 請勿只因為您辨識使用者或應用程式而關閉警示。 請連絡應用程式的擁有者或使用者,並確認活動是否合法。 您可以建立隱藏規則,以在必要時消除雜訊。 在隱藏安全性警示中深入瞭解。
如果您無法辨識使用者或應用程式,或認為不該授權存取:
事件減輕後,請調查金鑰保存庫受影響的祕密:
- 在 Azure Key Vault 開啟 [安全性] 頁面,並檢視觸發的警示。
- 選取觸發的特定警示,並檢閱已存取的祕密清單和時間戳記。
- 此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。
當您編譯可疑使用者或應用程式存取過的祕密、金鑰和憑證清單後,您應立即輪替這些物件。
- 建議停用或刪除金鑰保存庫受影響的祕密。
- 如果認證用於特定應用程式:
- 請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
- 若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。
在本文中,您已瞭解適用於 Key Vault 的 Microsoft Defender。
如需相關內容,請參閱下列文章: