Freigeben über

Überprüfen von Computergeheimnissen

  • Artikel

Microsoft Defender für Cloud bietet geheimen Scan in einer Reihe von Szenarien, einschließlich der Suche nach geheimen Computerschlüsseln.

Das Scannen von geheimen Computerschlüsseln wird als eines der von agentlosen Scanfunktionen von Defender für Cloud bereitgestellt, die den Sicherheitsstatus von Computern verbessern. Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.

  • Das Scannen von maschinenlesbaren Geheimnissen ohne Agenten hilft Ihnen, exponierte Klartext-Geheimnisse in Ihrer Umgebung schnell zu erkennen, zu priorisieren und zu beheben.
  • Wenn geheime Schlüssel erkannt werden, helfen die Ergebnisse Sicherheitsteams dabei, Aktionen zu priorisieren und das Risiko der lateralen Bewegung zu minimieren.
  • Das Scannen von Computern nach unterstützten geheimen Schlüsseln ist verfügbar, wenn Defender für Server Plan 2 oder der CsPM-Plan (Defender Cloud Security Posture Management) aktiviert ist.
  • Die Überprüfung von Computerschlüsseln kann Azure-VMs und AWS/GCP-Instanzen scannen, die mit Defender for Cloud verbunden sind.

Verringern des Sicherheitsrisikos

Das Scannen von Geheimnissen trägt zur Risikominderung bei, indem es:

  • Entfernung nicht benötigter Geheimnisse
  • Anwendung des Prinzips der geringsten Rechte
  • Verbesserung der Sicherheit von Geheimnissen durch Verwendung von Geheimnisverwaltungssystemen wie Azure Key Vault
  • Verwendung kurzlebiger Geheimnisse (z. B. Ersetzen von Azure Storage-Verbindungszeichenfolgen durch SAS-Token mit kürzerer Gültigkeit)

Funktionsweise des Scannens von geheimen Computerschlüsseln

Die Überprüfung auf Geheimnisse für VMs funktioniert ohne Agent und verwendet Cloud-APIs. So funktioniert es:

  1. Das Scannen von Geheimnissen erfasst Momentaufnahmen von Datenträgern und analysiert sie. Dies hat keine Auswirkungen auf die VM-Leistung.
  2. Nachdem die Geheimnisüberprüfungs-Engine von Microsoft Geheimnismetadaten vom Datenträger erfasst hat, sendet sie sie an Defender for Cloud.
  3. Die Geheimnisüberprüfungs-Engine überprüft, ob private SSH-Schlüssel dazu verwendet werden können, sich seitwärts durch Ihr Netzwerk zu bewegen.
    • SSH-Schlüssel, die nicht erfolgreich verifiziert wurden, werden auf der Seite mit den Empfehlungen von Defender for Cloud als nicht verifiziert kategorisiert.
    • Verzeichnisse mit testbezogenen Inhalten werden von der Überprüfung ausgeschlossen.

Empfehlungen für geheime Computerschlüssel

Die folgenden Sicherheitsempfehlungen für geheime Computerschlüssel sind verfügbar:

  • Azure-Ressourcen: Geheimnisfunde für Computer müssen behoben werden.
  • AWS-Ressourcen: Geheimnisfunde für EC2-Instanzen müssen behoben werden.
  • GCP-Ressourcen: Geheimnisfunde für VM-Instanzen müssen behoben werden.

Angriffspfade für Computerschlüssel

In der folgenden Tabelle werden die unterstützten Angriffspfade zusammengefasst:

VM Angriffspfade
Azure Die verfügbar gemachte anfällige VM verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer VM verwendet wird.
Die verfügbar gemachte anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem Speicherkonto verwendet werden.
Die anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem Speicherkonto verwendet werden.
Die verfügbar gemachte anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem SQL-Server verwendet werden.
AWS Die verfügbar gemachte anfällige EC2-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer EC2-Instanz verwendet wird.
Die verfügbar gemachte anfällige EC2-Instanz verfügt über ein unsicheres Geheimnis, das für die Authentifizierung bei einem Speicherkonto verwendet wird.
Die verfügbar gemachte anfällige EC2-Instanz verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden.
Die anfällige EC2-Instanz verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden.
GCP Die verfügbar gemachte anfällige GCP-VM-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer GCP-VM-Instanz verwendet wird.

Vordefinierte Abfragen des Cloudsicherheits-Explorers

Defender for Cloud bietet folgende vordefinierte Abfragen zur Untersuchung von Sicherheitsproblemen im Zusammenhang mit Geheimnissen:

  • VM mit Klartextgeheimnis, die sich bei einer anderen VM authentifizieren kann: Gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnis zurück, die auf andere VM- oder EC2-Instanzen zugreifen können.
  • VM mit Klartextgeheimnis, die sich bei einem Speicherkonto authentifizieren kann: Gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnis zurück, die auf Speicherkonten zugreifen können.
  • VM mit Klartextgeheimnis, die sich bei einer SQL-Datenbank authentifizieren kann: gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnissen zurück, die Zugriff auf SQL-Datenbanken haben.

Untersuchen und Beheben von geheimen Computerschlüsseln

Mithilfe einer Reihe von Methoden können Sie Computergeheimnisse Ergebnisse in Defender für Cloud untersuchen. Nicht alle Methoden sind für alle geheimen Schlüssel verfügbar. Überprüfen Sie die unterstützten Methoden für verschiedene Arten von Geheimnissen.

Zugehöriger Inhalt

Untersuchen und Beheben von geheimen Computerschlüsseln.