Náprava tajných kódů počítačů

Microsoft Defender for Cloud může kontrolovat počítače a cloudová nasazení pro podporované tajné kódy, aby se snížilo riziko laterálního pohybu.

Tento článek vám pomůže identifikovat a opravit zjištění kontroly tajných kódů počítačů.

• Zjištění můžete zkontrolovat a opravit pomocí doporučení k tajným kódům počítačů.
• Zobrazení tajných kódů zjištěných na konkrétním počítači v inventáři Defenderu pro cloud
• Procházení podrobností o zjištěních tajných kódů počítačů pomocí dotazů Průzkumníka zabezpečení cloudu a cest útoků na tajné kódy počítačů
• Ne každá metoda se podporuje pro každý tajný kód. Projděte si podporované metody pro různé typy tajných kódů.

Je důležité mít možnost určit prioritu tajných kódů a identifikovat, které z nich vyžadují okamžitou pozornost. Program Defender for Cloud vám pomůže s tímto postupovat takto:

• Poskytuje bohatá metadata pro každý tajný klíč, například čas posledního přístupu souboru, datum vypršení platnosti tokenu, označení, jestli cílový prostředek poskytuje přístup k existenci tajných kódů a další.
• Kombinování metadat tajných kódů s kontextem cloudových prostředků To vám pomůže začít s prostředky, které jsou vystaveny internetu, nebo obsahovat tajné kódy, které by mohly ohrozit jiné citlivé prostředky. Zjištění kontroly tajných kódů se začlení do stanovení priority doporučení na základě rizika.
• Poskytuje více zobrazení, která vám pomůžou určit většinou nalezené tajné kódy nebo prostředky obsahující tajné kódy.

Požadavky

• Účet Azure. Pokud ještě nemáte účet Azure, můžete si ještě dnes vytvořit bezplatný účet Azure.
• Defender for Cloud musí být dostupný ve vašem předplatném Azure.
• Musí být povolen alespoň jeden z těchto plánů:
  • Defender for Servers Plan 2
  • Defender CSPM
• Kontrola počítačů bez agentů musí být povolená.

Náprava tajných kódů s využitím doporučení

1. Přihlaste se k portálu Azure.

2. Přejděte do Microsoft Defenderu pro cloudová>doporučení.

3. Rozbalte ovládací prvek zabezpečení Náprava ohrožení zabezpečení.

4. Vyberte jedno z relevantních doporučení:

   • Prostředky Azure: Machines should have secrets findings resolved

   • Prostředky AWS: EC2 instances should have secrets findings resolved

   • Prostředky GCP: VM instances should have secrets findings resolved

     

5. Rozbalením ovlivněných prostředků zkontrolujte seznam všech prostředků, které obsahují tajné kódy.

6. V části Zjištění vyberte tajný klíč, abyste zobrazili podrobné informace o tajném kódu.

   

7. Rozbalte kroky nápravy a postupujte podle uvedených kroků.

8. Rozbalte ovlivněné prostředky a zkontrolujte prostředky ovlivněné tímto tajným kódem.

9. (Volitelné) Pokud chcete zobrazit informace o zdroji, můžete vybrat ovlivněný prostředek.

Tajné kódy, které nemají známou cestu útoku, se označují jako secrets without an identified target resource.

Náprava tajných kódů pro počítač v inventáři

1. Přihlaste se k portálu Azure.

2. Přejděte do Programu Microsoft Defender for Cloud>Inventory.

3. Vyberte příslušný virtuální počítač.

4. Přejděte na kartu Tajné kódy .

5. Zkontrolujte každý tajný kód prostého textu, který se zobrazí s příslušnými metadaty.

6. Výběrem tajného kódu zobrazíte další podrobnosti o daném tajném kódu.

   Různé typy tajných kódů mají různé sady dalších informací. Například pro privátní klíče SSH prostého textu obsahují informace související veřejné klíče (mapování mezi privátním klíčem na soubor autorizovaných klíčů, který jsme zjistili, nebo mapování na jiný virtuální počítač, který obsahuje stejný identifikátor privátního klíče SSH).

Náprava tajných kódů pomocí cest útoku

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Microsoft Defender for Cloud>Recommendations>Attack path.

   

3. Vyberte příslušnou cestu útoku.

4. Postupujte podle kroků pro nápravu a opravte cestu útoku.

Náprava tajných kódů pomocí Průzkumníka zabezpečení cloudu

1. Přihlaste se k portálu Azure.

2. Přejděte do Průzkumníka cloudových>zabezpečení v programu Microsoft Defender.

3. Vyberte jednu z následujících šablon:

   • Virtuální počítač s tajným kódem prostého textu, který se může ověřit na jiném virtuálním počítači – vrátí všechny virtuální počítače Azure, instance AWS EC2 nebo instance virtuálních počítačů GCP s tajným kódem prostého textu, které mají přístup k jiným virtuálním počítačům nebo EC2.
   • Virtuální počítač s tajným kódem prostého textu, který se může ověřit v účtu úložiště – vrátí všechny virtuální počítače Azure, instance AWS EC2 nebo instance virtuálních počítačů GCP s tajným kódem prostého textu, který má přístup k účtům úložiště.
   • Virtuální počítač s tajným kódem prostého textu, který se může ověřit v databázi SQL – vrátí všechny virtuální počítače Azure, instance AWS EC2 nebo instance virtuálních počítačů GCP s tajným kódem prostého textu, které mají přístup k databázím SQL.

Pokud nechcete používat žádnou z dostupných šablon, můžete také vytvořit vlastní dotaz v Průzkumníku zabezpečení cloudu.