Compartir vía

Examen de secretos de máquina

  • Artículo

Microsoft Defender for Cloud proporciona un examen de secretos en varios escenarios, incluido el examen de secretos de máquina.

El examen de secretos de máquina se proporciona como una de las características de análisis sin agente de Defender for Cloud que mejoran la posición de seguridad de la máquina. El examen sin agente no necesita ningún agente instalado ni conectividad de red y no afecta al rendimiento de la máquina.

  • El examen de secretos de máquina sin agente le ayuda a detectar, priorizar y corregir rápidamente secretos de texto no cifrado expuestos en su entorno.
  • Si se detectan secretos, los resultados ayudan a los equipos de seguridad a priorizar las acciones y a corregir para minimizar el riesgo de movimiento lateral.
  • Los equipos de examen de secretos admitidos están disponibles cuando el plan 2 de Defender para servidores o el plan de Administración de posturas de seguridad en la nube (CSPM) de Defender está habilitado.
  • El examen de secretos de máquina puede examinar las máquinas virtuales de Azure y las instancias de AWS/GCP conectadas a Defender for Cloud.

Reducción del riesgo de seguridad

El examen de secretos ayuda a reducir el riesgo de la siguiente manera:

  • Eliminar secretos que no son necesarios.
  • Usar el principio de privilegios mínimos.
  • Reforzar la seguridad de los secretos mediante sistemas de administración de secretos como Azure Key Vault.
  • Uso de secretos de corta duración, como sustituir cadenas de conexión de Azure Storage con tokens de SAS que poseen períodos de validez más cortos.

Funcionamiento del examen de secretos de máquina

El examen de secretos de máquina virtual es un proceso sin agente y usa API en la nube. Así es como funciona:

  1. El examen de secretos captura las instantáneas de disco y las analiza, sin afectar al rendimiento de la máquina virtual.
  2. Después de que el motor de examen de secretos de Microsoft recopila metadatos de secretos del disco, los envía a Defender for Cloud.
  3. El motor de examen de secretos comprueba si se pueden usar claves privadas SSH para moverse lateralmente en la red.
    • Las claves SSH que no se han comprobado correctamente se clasifican como no comprobadas en la página Recomendaciones de Defender for Cloud.
    • Los directorios reconocidos como que contienen contenido relacionado con pruebas se excluyen del examen.

Recomendaciones de secretos de máquina

Están disponibles las siguientes recomendaciones de seguridad de secretos de máquina:

  • Recursos de Azure: las máquinas deben tener resueltos los hallazgos de secretos
  • Recursos de AWS: las instancias de EC2 deben tener resueltos los hallazgos de secretos
  • Recursos de GCP: las instancias de máquina virtual deben tener resueltos los hallazgos de secretos.

Rutas de acceso a ataques de secretos de máquina

En la tabla se resumen las rutas de acceso de ataques admitidas.

VM Rutas de acceso de ataques
Azure La máquina virtual vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una máquina virtual.
La máquina virtual vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en una cuenta de almacenamiento.
La máquina virtual vulnerable tiene secretos no seguros que se usan para autenticarse en una cuenta de almacenamiento.
La máquina virtual vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en un servidor SQL.
AWS La instancia de EC2 vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una instancia de EC2.
La instancia de EC2 vulnerable expuesta tiene un secreto no seguro que se usa para autenticarse en una cuenta de almacenamiento.
La instancia de EC2 vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en un servidor de AWS RDS.
La instancia de EC2 vulnerable tiene secretos no seguros que se usan para autenticarse en un servidor de AWS RDS.
GCP La instancia de máquina virtual de GCP vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una instancia de máquina virtual de GCP.

Consultas predefinidas del explorador de seguridad en la nube

Defender for Cloud proporciona estas consultas predefinidas para investigar problemas de seguridad de secretos:

  • Máquina virtual con secreto de texto no cifrado que se puede autenticar en otra máquina virtual: devuelve todas las máquinas virtuales de Azure, instancias de AWS EC2, o instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a otras máquinas virtuales o EC2.
  • Máquina virtual con secreto de texto no cifrado que se puede autenticar en una cuenta de almacenamiento: devuelve todas las máquinas virtuales de Azure, instancias de AWS EC2, o instancias de máquina virtual de GCP con un secreto de texto no cifrado que pueden acceder a cuentas de almacenamiento.
  • máquina virtual con secreto de texto no cifrado que se puede autenticar en una base de datos SQL: devuelve todas las máquinas virtuales de Azure, las instancias de AWS EC2 o las instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a bases de datos SQL.

Investigación y corrección de secretos de máquina

Puede investigar los hallazgos de secretos de máquina en Defender for Cloud mediante varios métodos. No todos los métodos están disponibles para todos los secretos. Revise los métodos admitidos para los distintos tipos de secretos.

Contenido relacionado

Investigue y corrija los secretos de máquina.