適用於 Key Vault 的 Microsoft Defender 概觀

  • 發行項

Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。

為適用於 Azure 原生、進階威脅防護的 Azure 金鑰保存庫 啟用 Microsoft Defender 金鑰保存庫,以提供另一層的安全性情報。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 適用於 金鑰保存庫 的 Microsoft Defender 會計費,如定價頁面上所示
雲端: 商業雲端
國家/省(Azure Government,由 21Vianet 營運的 Microsoft Azure)

Microsoft Defender for Key Vault 有哪些優點?

適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 這一層保護可協助您即使不是安全性專家,仍能解決威脅,且無須管理第三方安全性監視系統。

發生異常活動時,適用於 金鑰保存庫的Defender會顯示警示,並選擇性地透過電子郵件傳送給貴組織的相關成員。 這些警示中包含可疑活動的詳細資料,以及關於如何調查和補救威脅的建議。

Microsoft Defender for Key Vault 警示

當您從適用於 金鑰保存庫 的 Microsoft Defender 取得警示時,建議您調查並回應警示,如回應適用於 金鑰保存庫 的 Microsoft Defender 中所述。 適用於 金鑰保存庫 的 Microsoft Defender 會保護應用程式和認證,因此即使您熟悉觸發警示的應用程式或使用者,請務必檢查每個警示周圍的情況。

警示會出現在 金鑰保存庫 的安全性頁面、工作負載保護,以及 適用於雲端的 Defender的安全性警示頁面中。

Screenshot that shows the Azure Key Vault's security page

提示

您可以遵循在 適用於雲端的 Microsoft Defender 中驗證 Azure 金鑰保存庫 威脅偵測中的指示,模擬適用於 金鑰保存庫 警示的 Microsoft Defender。

回應適用於 金鑰保存庫 警示的 Microsoft Defender

當您從適用於 金鑰保存庫 的 Microsoft Defender 收到警示時,建議您調查並回應警示,如下所示。 適用於金鑰保存庫的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必要確認每個警示的相關情況。

適用於 金鑰保存庫 的 Microsoft Defender 警示包括下列元素:

  • 物件識別碼
  • 可疑資源的用戶主體名稱或IP位址

視發生的存取類型而定,某些欄位可能無法使用。 例如,如果您的金鑰保存庫遭到應用程式存取,您就不會看到相關聯的使用者主體名稱。 如果流量源自 Azure 外部,您就不會看到物件識別碼。

提示

Azure 虛擬機會指派 Microsoft IP。 這表示警示可能包含 Microsoft IP,即使它與從 Microsoft 外部執行的活動相關。 因此,即使警示具有 Microsoft IP,您仍應依照此頁面所述進行調查。

步驟 1:識別來源

  1. 驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
  2. 如果您無法驗證流量的來源,請繼續進行 步驟 2。據此回應。
  3. 如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。

警告

適用於 金鑰保存庫 的 Microsoft Defender 旨在協助識別因遭竊認證所造成的可疑活動。 請勿 僅僅因為您辨識用戶或應用程式而關閉警示。 請連絡應用程式或用戶的擁有者,並確認活動是合法的。 您可以建立隱藏規則,以在必要時消除雜訊。 若要深入瞭解,請參閱 隱藏安全性警示

步驟 2:據以回應

如果您無法辨識使用者或應用程式,或認為不該授權存取:

  • 如果流量來自無法辨識的 IP 位址:

    1. 如設定 Azure 金鑰保存庫 防火牆和虛擬網路中所述,啟用 Azure 金鑰保存庫 防火牆。
    2. 使用信任的資源和虛擬網路設定防火牆。

  • 如果警示來源是未經授權的應用程式或可疑的使用者:

    1. 開啟金鑰保存庫的存取原則設定。
    2. 移除對應的安全性主體,或限制安全性主體可執行的作業。

  • 如果警示的來源在您的租使用者中具有 Microsoft Entra 角色:

    1. 請連絡系統管理員。
    2. 判斷是否需要減少或撤銷 Microsoft Entra 權限。

步驟 3:測量影響

當事件降低時,請調查密鑰保存庫中受影響的秘密:

  1. 開啟 Azure 金鑰保存庫上的 [ 安全性 ] 頁面,並檢視觸發的警示。
  2. 選取觸發的特定警示,並檢閱已存取的秘密清單和時間戳。
  3. 此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。

步驟 4:採取動作

當您編譯可疑使用者或應用程式所存取的秘密、金鑰和憑證清單時,您應該立即輪替這些物件。

  1. 建議停用或刪除金鑰保存庫受影響的祕密。
  2. 如果認證用於特定應用程式:
    1. 請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
    2. 若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。

下一步

在本文中,您已了解適用於 金鑰保存庫 的 Microsoft Defender。

如需相關內容,請參閱下列文章: