Přehled služby Microsoft Defender for Key Vault
Azure Key Vault je cloudová služba, která chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla.
Povolte Microsoft Defender for Key Vault pro azure nativní rozšířenou ochranu před internetovými útoky pro Azure Key Vault, která poskytuje další vrstvu inteligentních funkcí zabezpečení.
Dostupnost
Aspekt | Detaily |
---|---|
Stav vydání: | Všeobecná dostupnost (GA) |
Ceny: | Microsoft Defender for Key Vault se fakturuje, jak je znázorněno na stránce s cenami |
Mraky: | Komerční cloudy National (Azure Government, Microsoft Azure provozovaný společností 21Vianet) |
Jaké jsou výhody služby Microsoft Defender for Key Vault?
Microsoft Defender for Key Vault detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key Vault nebo jejich zneužití. Tato vrstva ochrany vám pomůže řešit hrozby i v případě, že nejste odborníkem na zabezpečení a bez nutnosti spravovat systémy monitorování zabezpečení třetích stran.
Když dojde k neobvyklým aktivitám, Defender for Key Vault zobrazí výstrahy a volitelně je pošle e-mailem příslušným členům vaší organizace. Mezi tyto výstrahy patří podrobnosti o podezřelé aktivitě a doporučeních k prošetření a nápravě hrozeb.
Upozornění služby Microsoft Defender for Key Vault
Když dostanete upozornění z programu Microsoft Defender for Key Vault, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno v části Reakce na Microsoft Defender for Key Vault. Microsoft Defender for Key Vault chrání aplikace a přihlašovací údaje, takže i když znáte aplikaci nebo uživatele, který výstrahu aktivoval, je důležité zkontrolovat situaci kolem každé výstrahy.
Výstrahy se zobrazí na stránce Zabezpečení služby Key Vault, na stránce Ochrany úloh a na stránce výstrah zabezpečení defenderu pro cloud.
Tip
Výstrahy služby Microsoft Defender for Key Vault můžete simulovat podle pokynů v ověřování detekce hrozeb služby Azure Key Vault v programu Microsoft Defender for Cloud.
Reakce na upozornění služby Microsoft Defender for Key Vault
Když obdržíte upozornění z programu Microsoft Defender for Key Vault, doporučujeme prošetřit výstrahu a reagovat na ni, jak je popsáno níže. Windows Azure Defender for Key Vault chrání aplikace a přihlašovací údaje, takže i v případě, že znáte aplikaci nebo uživatele, který upozornění aktivoval, je potřeba u každého upozornění ověřit konkrétní situaci.
Výstrahy z programu Microsoft Defender for Key Vault zahrnují tyto prvky:
- ID objektu
- Hlavní název uživatele nebo IP adresa podezřelého prostředku
V závislosti na typu přístupu, ke kterému došlo, nemusí být některá pole dostupná. Například pokud k trezoru klíčů přistupovala aplikace, nezobrazí se přidružený hlavní název uživatele (UPN). Pokud provoz nepocházel z Azure, nezobrazí se ID objektu.
Tip
Virtuálním počítačům Azure se přiřazují IP adresy Microsoftu. To znamená, že výstraha může obsahovat IP adresu Microsoftu, i když souvisí s aktivitou prováděnou mimo Microsoft. I když má upozornění IP adresu Microsoftu, měli byste stále zkoumat, jak je popsáno na této stránce.
Krok 1: Identifikace zdroje
- Ověřte, jestli provoz pochází z vašeho tenanta Azure. Pokud je povolená brána firewall trezoru klíčů, pravděpodobně jste zadali přístup k uživateli nebo aplikaci, která tuto výstrahu aktivovala.
- Pokud nemůžete ověřit zdroj provozu, pokračujte krokem 2. Odpovídajícím způsobem zareagujte.
- Pokud můžete identifikovat zdroj provozu ve vašem tenantovi, obraťte se na uživatele nebo vlastníka aplikace.
Upozornění
Microsoft Defender for Key Vault je navržený tak, aby pomohl identifikovat podezřelou aktivitu způsobenou odcizenými přihlašovacími údaji. Upozornění nezavíjejte jednoduše, protože rozpoznáte uživatele nebo aplikaci. Obraťte se na vlastníka aplikace nebo uživatele a ověřte, že aktivita byla legitimní. V případě potřeby můžete vytvořit pravidlo potlačení, které eliminuje šum. Další informace najdete v článku Potlačení výstrah zabezpečení.
Krok 2: Odpovídající reakce
Pokud uživatele nebo aplikaci nerozpoznáte nebo pokud si myslíte, že přístup by neměl být autorizovaný:
Pokud provoz pochází z nerozpoznané IP adresy:
- Povolte bránu firewall služby Azure Key Vault, jak je popsáno v tématu Konfigurace bran firewall služby Azure Key Vault a virtuálních sítí.
- Nakonfigurujte bránu firewall s důvěryhodnými prostředky a virtuálními sítěmi.
Pokud zdrojem výstrahy byla neautorizovaná aplikace nebo podezřelý uživatel:
- Otevřete nastavení zásad přístupu trezoru klíčů.
- Odeberte odpovídající objekt zabezpečení nebo omezte operace, které může objekt zabezpečení provést.
Pokud zdroj upozornění má ve vašem tenantovi roli Microsoft Entra:
- Obraťte se na správce.
- Určete, jestli je potřeba omezit nebo odvolat oprávnění Microsoft Entra.
Krok 3: Měření dopadu
Po zmírnění události prozkoumejte tajné kódy ve vašem trezoru klíčů, které byly ovlivněny:
- Otevřete stránku Zabezpečení v trezoru klíčů Azure a zobrazte aktivovanou výstrahu.
- Vyberte konkrétní výstrahu, která se aktivovala, a zkontrolujte seznam tajných kódů, ke kterým došlo, a časové razítko.
- Pokud máte povolené diagnostické protokoly trezoru klíčů, zkontrolujte předchozí operace odpovídající IP adresy volajícího, instanční objekt nebo ID objektu.
Krok 4: Provedení akce
Když jste zkompilovali seznam tajných kódů, klíčů a certifikátů, ke kterým přistupoval podezřelý uživatel nebo aplikace, měli byste tyto objekty okamžitě otočit.
- Ovlivněné tajné kódy by se měly zakázat nebo odstranit z trezoru klíčů.
- Pokud se přihlašovací údaje použily pro konkrétní aplikaci:
- Obraťte se na správce aplikace a požádejte ho, aby auditoval své prostředí za použití ohrožených přihlašovacích údajů, protože byly ohroženy.
- Pokud se použily ohrožené přihlašovací údaje, měl by vlastník aplikace identifikovat informace, ke kterým došlo, a zmírnit jeho dopad.
Další kroky
V tomto článku jste se dozvěděli o programu Microsoft Defender for Key Vault.
Související materiály najdete v následujících článcích:
- Výstrahy zabezpečení služby Key Vault – část referenční tabulky služby Key Vault pro všechny výstrahy v programu Microsoft Defender pro cloud
- Průběžný export defenderu pro cloudová data
- Potlačení výstrah zabezpečení