Partager via

Analyse des secrets des machines

  • Article

Microsoft Defender for Cloud fournit une analyse des secrets dans un certain nombre de scénarios, notamment l’analyse des secrets de l’ordinateur.

L’analyse des secrets des machines est fournie comme l’une des fonctionnalités d’analyse sans agent de Defender pour Cloud qui améliorent la posture de sécurité des machines. L’analyse sans agent n’a pas besoin d’agents installés ni de connectivité réseau et n’affecte pas les performances des machines.

  • L’analyse des secrets des machines sans agent vous aide à détecter, à hiérarchiser et à corriger rapidement les secrets en texte clair exposés dans votre environnement.
  • Si des secrets sont détectés, les résultats aident les équipes de sécurité à hiérarchiser les actions et à corriger pour réduire le risque de mouvement latéral.
  • L’analyse des machines pour les secrets pris en charge est disponible lorsque le plan 2 Defender pour serveurs ou que le plan Gestion de la posture de sécurité cloud (CSPM) est activé.
  • L’analyse des secrets des machines peut analyser des machines virtuelles Azure et des instances AWS/GCP connectées à Defender for Cloud.

Réduction du risque lié à la sécurité

L’analyse des secrets permet de réduire les risques par :

  • Élimination des secrets qui ne sont pas nécessaires.
  • Application du principe du privilège minimum.
  • Renforcement de la sécurité des secrets à l’aide de systèmes de gestion des secrets tels qu’Azure Key Vault.
  • Utilisation de secrets de courte durée, tels que le remplacement de chaînes de connexion Stockage Azure par des jetons SAS qui possèdent des périodes de validité plus courtes.

Fonctionnement de l’analyse des secrets des machines

L’analyse des secrets pour les machines virtuelles est sans agent et utilise des API cloud. Voici son fonctionnement :

  1. L’analyse des secrets capture des instantanés de disques, puis les analyse, sans impact sur les performances des machines virtuelles.
  2. Après avoir collecté les métadonnées de secrets depuis le disque, le moteur d’analyse des secrets Microsoft les envoie à Defender pour le cloud.
  3. Le moteur d’analyse des secrets vérifie si les clés privées SSH permettent de se déplacer ultérieurement dans votre réseau.
    • Les clés SSH dont la vérification a échoué sont classées comme Non vérifiées sur la page Suggestions de Defender for Cloud.
    • Les répertoires reconnus comme contenant du contenu lié au test sont exclus de l’analyse.

Recommandations relatives aux secrets des machines

Les suggestions de sécurité suivantes en matière de secrets des machines sont disponibles :

  • Ressource Azure : les machines doivent avoir des résultats du secret résolus
  • Ressources AWS : les instances EC2 doivent avoir des résultats du secret résolus
  • Ressources GCP : les instances de machines doivent avoir des résultats du secret résolus

Chemins d’attaque des secrets des machines

Le tableau récapitule les scénarios de chemin d’attaque pris en charge.

Machine virtuelle Chemins d’attaque
Azure La machine virtuelle vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une machine virtuelle.
La machine virtuelle vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un compte de stockage.
La machine virtuelle vulnérable contient des secrets non sécurisés servant à s’authentifier auprès d’un compte de stockage.
La machine virtuelle vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur SQL.
AWS L’instance EC2 vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une instance EC2.
L’instance EC2 vulnérable exposée a un secret non sécurisé servant à s’authentifier auprès d’un compte de stockage.
L’instance EC2 vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur RDS AWS.
L’instance EC2 vulnérable contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur RDS AWS.
GCP L’instance de machine virtuelle GCP vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une instance de machine virtuelle GCP.

Requêtes d’explorateur de sécurité cloud prédéfinies

Defender pour le cloud fournit ces requêtes prédéfinies pour examiner les problèmes de sécurité des secrets :

  • Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’une autre machine virtuelle : retourne toutes les machines virtuelles Azure, les instances AWS EC2 ou les instances de machine virtuelle GCP avec un secret en texte clair qui peut accéder à d’autres machines virtuelles ou EC2.
  • Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’un compte de stockage : retourne toutes les machines virtuelles Azure, toutes les instances AWS EC2 ou toutes les instances de machine virtuelle GCP avec un secret en texte clair pouvant accéder à des comptes de stockage
  • Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’une base de données SQL : retourne toutes les machines virtuelles Azure, les instances AWS EC2 ou les instances de machine virtuelle avec un secret en texte clair qui peuvent accéder à des bases de données SQL.

Examen et correction des secrets de machines

Vous pouvez examiner les résultats des secrets de machines dans Defender for Cloud à l’aide d’un certain nombre de méthodes. Toutes les méthodes ne sont pas disponibles pour tous les secrets. Passez en revue les méthodes prises en charge pour les différents types de secrets.

Contenu connexe

Examinez et corrigez les secrets des machines.