Correggere i segreti del computer

Microsoft Defender per il cloud possibile analizzare computer e distribuzioni cloud per individuare segreti supportati, per ridurre il rischio di spostamento laterale.

Questo articolo illustra come identificare e correggere i risultati dell'analisi dei segreti dei computer.

• È possibile esaminare e correggere i risultati usando le raccomandazioni sui segreti del computer.
• Visualizzare i segreti individuati in un computer specifico nell'inventario Defender per il cloud
• Eseguire il drill-down dei segreti dei computer usando query di Esplora sicurezza cloud e percorsi di attacco dei segreti del computer
• Non tutti i metodi sono supportati per ogni segreto. Esaminare i metodi supportati per diversi tipi di segreti.

È importante essere in grado di classificare in ordine di priorità i segreti e identificare quelli che necessitano di attenzione immediata. Per eseguire questa operazione, Defender per il cloud fornisce:

• Fornire metadati avanzati per ogni segreto, ad esempio l'ora dell'ultimo accesso per un file, una data di scadenza del token, un'indicazione se la risorsa di destinazione che i segreti forniscono l'accesso a esiste e altro ancora.
• Combinazione dei metadati dei segreti con il contesto degli asset cloud. Ciò consente di iniziare con gli asset esposti a Internet o di contenere segreti che potrebbero compromettere altri asset sensibili. I risultati dell'analisi dei segreti vengono incorporati nella definizione delle priorità delle raccomandazioni basate sul rischio.
• Fornire più visualizzazioni per individuare i segreti più comuni o gli asset contenenti segreti.

Prerequisiti

• Un account Azure. Se non si ha già un account Azure, è possibile creare l'account Gratuito di Azure oggi stesso.
• Defender per il cloud deve essere disponibile nella sottoscrizione di Azure.
• È necessario abilitare almeno uno di questi piani:
  • Defender per server piano 2
  • Defender CSPM
• L'analisi automatica senza agente deve essere abilitata.

Correggere i segreti con le raccomandazioni

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud>Consigli.

3. Espandere il controllo di sicurezza Correzione delle vulnerabilità.

4. Selezionare una delle raccomandazioni pertinenti:

   • Risorse di Azure: Machines should have secrets findings resolved

   • Risorse AWS: EC2 instances should have secrets findings resolved

   • Risorse GCP: VM instances should have secrets findings resolved

     

5. Espandere Risorse interessate per esaminare l'elenco di tutte le risorse che contengono segreti.

6. Nella sezione Risultati selezionare un segreto per visualizzare informazioni dettagliate sul segreto.

   

7. Espandere Procedura di correzione e seguire i passaggi elencati.

8. Espandere Risorse interessate per esaminare le risorse interessate da questo segreto.

9. (Facoltativo) È possibile selezionare una risorsa interessata per visualizzare le informazioni della risorsa.

I segreti che non dispongono di un percorso di attacco noto vengono definiti .secrets without an identified target resource

Correggere i segreti per un computer nell'inventario

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Inventory.

3. Selezionare la macchina virtuale pertinente.

4. Passare alla scheda Segreti .

5. Esaminare ogni segreto di testo non crittografato visualizzato con i metadati pertinenti.

6. Selezionare un segreto per visualizzare dettagli aggiuntivi del segreto.

   Diversi tipi di segreti hanno set diversi di informazioni aggiuntive. Ad esempio, per le chiavi private SSH in testo non crittografato, le informazioni includono chiavi pubbliche correlate (mapping tra la chiave privata al file delle chiavi autorizzate individuate o mappate a una macchina virtuale diversa che contiene lo stesso identificatore di chiave privata SSH).

Correggere i segreti con percorsi di attacco

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Recommendations>Percorso attacco.

   

3. Selezionare il percorso di attacco pertinente.

4. Seguire la procedura di correzione per correggere il percorso di attacco.

Correggere i segreti con Cloud Security Explorer

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Cloud Security Explorer.

3. Selezionare uno dei modelli seguenti:

   • VM con segreto di testo non crittografato che può eseguire l'autenticazione in un'altra macchina virtuale : restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato che può accedere ad altre macchine virtuali o EC2.
   • VM con segreto di testo non crittografato che può eseguire l'autenticazione in un account di archiviazione: restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato che può accedere agli account di archiviazione.
   • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un database SQL: restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato in grado di accedere ai database SQL.

Se non si vuole usare uno dei modelli disponibili, è anche possibile creare una query personalizzata in Cloud Security Explorer.