適用於 Key Vault 的 Microsoft Defender 概觀
Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。
為適用於 Azure 原生、進階威脅防護的 Azure 金鑰保存庫 啟用 Microsoft Defender 金鑰保存庫,以提供另一層的安全性情報。
可用性
層面 | 詳細資料 |
---|---|
版本狀態: | 公開上市 (GA) |
定價: | 適用於 金鑰保存庫 的 Microsoft Defender 會計費,如定價頁面上所示 |
雲端: | 商業雲端 國家/省(Azure Government,由 21Vianet 營運的 Microsoft Azure) |
Microsoft Defender for Key Vault 有哪些優點?
適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 這一層保護可協助您即使不是安全性專家,仍能解決威脅,且無須管理第三方安全性監視系統。
發生異常活動時,適用於 金鑰保存庫的Defender會顯示警示,並選擇性地透過電子郵件傳送給貴組織的相關成員。 這些警示中包含可疑活動的詳細資料,以及關於如何調查和補救威脅的建議。
Microsoft Defender for Key Vault 警示
當您從適用於 金鑰保存庫 的 Microsoft Defender 取得警示時,建議您調查並回應警示,如回應適用於 金鑰保存庫 的 Microsoft Defender 中所述。 適用於 金鑰保存庫 的 Microsoft Defender 會保護應用程式和認證,因此即使您熟悉觸發警示的應用程式或使用者,請務必檢查每個警示周圍的情況。
警示會出現在 金鑰保存庫 的安全性頁面、工作負載保護,以及 適用於雲端的 Defender的安全性警示頁面中。
提示
您可以遵循在 適用於雲端的 Microsoft Defender 中驗證 Azure 金鑰保存庫 威脅偵測中的指示,模擬適用於 金鑰保存庫 警示的 Microsoft Defender。
回應適用於 金鑰保存庫 警示的 Microsoft Defender
當您從適用於 金鑰保存庫 的 Microsoft Defender 收到警示時,建議您調查並回應警示,如下所示。 適用於金鑰保存庫的 Microsoft Defender 會保護應用程式和認證,因此,即使您熟悉觸發警示的應用程式或使用者,仍務必要確認每個警示的相關情況。
適用於 金鑰保存庫 的 Microsoft Defender 警示包括下列元素:
- 物件識別碼
- 可疑資源的用戶主體名稱或IP位址
視發生的存取類型而定,某些欄位可能無法使用。 例如,如果您的金鑰保存庫遭到應用程式存取,您就不會看到相關聯的使用者主體名稱。 如果流量源自 Azure 外部,您就不會看到物件識別碼。
提示
Azure 虛擬機會指派 Microsoft IP。 這表示警示可能包含 Microsoft IP,即使它與從 Microsoft 外部執行的活動相關。 因此,即使警示具有 Microsoft IP,您仍應依照此頁面所述進行調查。
步驟 1:識別來源
- 驗證流量源自您的 Azure 租用戶。 若已啟用金鑰保存庫防火牆,則可能是您提供存取權的使用者或應用程式觸發警示。
- 如果您無法驗證流量的來源,請繼續進行 步驟 2。據此回應。
- 如果您可識別租用戶的流量來源,請聯絡應用程式的使用者或擁有者。
警告
適用於 金鑰保存庫 的 Microsoft Defender 旨在協助識別因遭竊認證所造成的可疑活動。 請勿 僅僅因為您辨識用戶或應用程式而關閉警示。 請連絡應用程式或用戶的擁有者,並確認活動是合法的。 您可以建立隱藏規則,以在必要時消除雜訊。 若要深入瞭解,請參閱 隱藏安全性警示。
步驟 2:據以回應
如果您無法辨識使用者或應用程式,或認為不該授權存取:
如果流量來自無法辨識的 IP 位址:
- 如設定 Azure 金鑰保存庫 防火牆和虛擬網路中所述,啟用 Azure 金鑰保存庫 防火牆。
- 使用信任的資源和虛擬網路設定防火牆。
如果警示來源是未經授權的應用程式或可疑的使用者:
- 開啟金鑰保存庫的存取原則設定。
- 移除對應的安全性主體,或限制安全性主體可執行的作業。
如果警示的來源在您的租使用者中具有 Microsoft Entra 角色:
- 請連絡系統管理員。
- 判斷是否需要減少或撤銷 Microsoft Entra 權限。
步驟 3:測量影響
當事件降低時,請調查密鑰保存庫中受影響的秘密:
- 開啟 Azure 金鑰保存庫上的 [ 安全性 ] 頁面,並檢視觸發的警示。
- 選取觸發的特定警示,並檢閱已存取的秘密清單和時間戳。
- 此外,如果您已啟用金鑰保存庫診斷記錄,請檢閱對應的呼叫者 IP、使用者主體或物件識別碼之前的作業。
步驟 4:採取動作
當您編譯可疑使用者或應用程式所存取的秘密、金鑰和憑證清單時,您應該立即輪替這些物件。
- 建議停用或刪除金鑰保存庫受影響的祕密。
- 如果認證用於特定應用程式:
- 請聯絡應用程式的管理員,並要求他們稽核遭入侵後,環境中任何遭入侵的認證。
- 若有人使用遭入侵的認證,應用程式擁有者應識別存取過的資訊,並減輕影響。
下一步
在本文中,您已了解適用於 金鑰保存庫 的 Microsoft Defender。
如需相關內容,請參閱下列文章:
- 金鑰保存庫 安全性警示--所有 適用於雲端的 Microsoft Defender 警示參考數據表的 金鑰保存庫 區段
- 持續匯出 適用於雲端的 Defender 數據
- 隱藏安全性警示