保護 適用於雲端的 Defender 中的秘密

適用於雲端的 Microsoft Defender 可協助安全性小組將攻擊者利用安全性秘密的風險降到最低。

取得初始存取權之後，攻擊者可以橫向跨網路移動、尋找敏感數據，以及利用弱點來存取雲端部署、資源和因特網面向工作負載來損害重要的信息系統。 橫向移動通常牽涉到認證威脅，這些威脅通常會利用敏感數據，例如公開的認證和秘密，例如密碼、密鑰、令牌和 連接字串，以取得其他資產的存取權。 秘密通常位於檔案中、儲存在 VM 磁碟上，或跨多重雲端部署的容器上。 公開的秘密會因為許多原因而發生：

• 缺乏認知：組織可能不知道其雲端環境中秘密暴露的風險和後果。 在程式代碼和組態檔中處理和保護秘密時，可能沒有明確的原則。
• 缺少探索工具：工具可能無法偵測和補救秘密洩漏。
• 複雜度和速度：新式軟體開發是複雜且快速的，依賴多個雲端平臺、開放原始碼軟體和第三方程序代碼。 開發人員可能會使用秘密來存取及整合雲端環境中的資源和服務，它們可能會將秘密儲存在原始程式碼存放庫中，以方便和重複使用。 這可能會導致在公用或私人存放庫中，或在數據傳輸或處理期間意外公開秘密。
• 安全性與可用性之間的取捨：組織可能會讓雲端環境中公開的秘密以方便使用，以避免加密和解密待用和傳輸中的數據的複雜性和延遲。 這可能會危害數據和認證的安全性和隱私權。

適用於雲端的 Defender 提供虛擬機和雲端部署的秘密掃描，以減少橫向移動風險。

• 虛擬機（VM）：在多重雲端 VM 上掃描無代理程式秘密。
• 雲端部署：跨多雲端基礎結構即程式代碼部署資源進行無代理程式秘密掃描。
• Azure DevOps： 掃描以探索 Azure DevOps 中公開的秘密。

部署秘密掃描

秘密掃描是以 適用於雲端的 Defender 方案中的功能提供：

• VM 掃描：提供 適用於雲端的 Defender 安全性狀態管理 （CSPM） 方案，或使用適用於伺服器的 Defender 方案 2。
• 雲端部署資源掃描 隨附於Defender CSPM。
• DevOps 掃描：隨附Defender CSPM。

檢閱秘密結果

您可以透過幾種方式檢閱和調查秘密的安全性結果：

• 檢閱資產清查。 在 [清查] 頁面中，您可以取得秘密的完整檢視。
• 檢閱秘密建議：在 [適用於雲端的 Defender 建議] 頁面中，您可以檢閱和補救秘密建議。 深入瞭解調查建議和警示。
• 調查安全性深入解析：您可以使用雲端安全性總管來查詢雲端安全性圖表。 您可以建置自己的查詢，或使用預先定義的查詢範本。
• 使用攻擊路徑：您可以使用攻擊路徑來調查和補救重大秘密風險。 深入了解。

探索支援

適用於雲端的 Defender 支援探索數據表中摘要的秘密類型。

秘密類型	VM 秘密探索	雲端部署秘密探索	檢閱位置
不安全的 SSH 私鑰 支援 PuTTy 檔案的 RSA 演算法。 PKCS#8 和 PKCS#1 標準 OpenSSH 標準	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文本 Azure SQL 連接字串 支援 SQL PAAS。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字適用於 PostgreSQL 的 Azure 資料庫。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字適用於 MySQL 的 Azure 資料庫。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字適用於 MariaDB 的 Azure 資料庫。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 Azure Cosmos DB，包括 PostgreSQL、MySQL 和 MariaDB。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 AWS RDS 連接字串 支援 SQL PAAS： 純文字 Amazon Aurora 與 Postgres 和 MySQL 變體。 純文字 Amazon 自定義 RDS 與 Oracle 和 SQL Server 變體。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文本 Azure 記憶體帳戶 連接字串	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 Azure 儲存體帳戶連接字串。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 Azure 儲存體帳戶 SAS 權杖。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 AWS 便捷鍵。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文本 AWS S3 預先簽署的 URL。	Yes	Yes	清查， 雲端安全性總管， 建議， 攻擊路徑
純文字 Google 儲存體已簽署 URL。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure AD 用戶端密碼。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure DevOps 個人存取權杖。	Yes	Yes	清查、雲端安全性總管。
純文字 GitHub 個人存取權杖。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 應用程式組態存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 認知服務金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure AD 使用者認證。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Container Registry 存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure App Service 部署密碼。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Databricks 個人存取權杖。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure SignalR 存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure API 管理訂用帳戶金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Bot Framework 祕密金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Machine Learning Web 服務 API 金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 通訊服務存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 事件方格 存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Amazon Marketplace Web 服務 (MWS) 存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 地圖服務訂用帳戶金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Web PubSub 存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 OpenAI API 金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure Batch 共用存取金鑰。	Yes	Yes	清查、雲端安全性總管。
純文字 NPM 作者權杖。	Yes	Yes	清查、雲端安全性總管。
純文字 Azure 訂用帳戶管理憑證。	Yes	Yes	清查、雲端安全性總管。
純文字 GCP API 金鑰。	No	Yes	清查、雲端安全性總管。
純文本 AWS Redshift 認證。	No	Yes	清查、雲端安全性總管。
純文本私鑰。	No	Yes	清查、雲端安全性總管。
純文本 ODBC 連接字串。	No	Yes	清查、雲端安全性總管。
純文字一般密碼。	No	Yes	清查、雲端安全性總管。
純文本使用者登入認證。	No	Yes	清查、雲端安全性總管。
純文本 Travis 個人令牌。	No	Yes	清查、雲端安全性總管。
純文本 Slack 存取令牌。	No	Yes	清查、雲端安全性總管。
純文字 ASP.NET 計算機金鑰。	No	Yes	清查、雲端安全性總管。
純文本 HTTP 授權標頭。	No	Yes	清查、雲端安全性總管。
純文本 Azure Redis 快取密碼。	No	Yes	清查、雲端安全性總管。
純文字 Azure IoT 共用存取金鑰。	No	Yes	清查、雲端安全性總管。
純文本 Azure DevOps 應用程式秘密。	No	Yes	清查、雲端安全性總管。
純文字 Azure 函式 API 金鑰。	No	Yes	清查、雲端安全性總管。
純文字 Azure 共用存取金鑰。	No	Yes	清查、雲端安全性總管。
純文本 Azure 邏輯應用程式共用存取簽章。	No	Yes	清查、雲端安全性總管。
純文本 Azure Active Directory 存取令牌。	No	Yes	清查、雲端安全性總管。
純文本 Azure 服務匯流排 共用存取簽章。	No	Yes	清查、雲端安全性總管。

相關內容

• VM 秘密掃描。
• 雲端部署秘密掃描
• Azure DevOps 掃描