Defender for Cloud でのシークレットの保護
Microsoft Defender for Cloud は、攻撃者がセキュリティ シークレットを悪用するリスクをセキュリティ チームが最小限に抑えるのに役立ちます。
攻撃者は、最初にアクセスした後、クラウド デプロイ、リソース、インターネットに接続するワークロードにアクセスすることで、ネットワーク間を横方向に移動し、機密データを見つけ、脆弱性を悪用して重要な情報システムに損害を与える恐れがあります。 横移動には、多くの場合、資格情報の脅威が伴います。これは通常、他の資産にアクセスするために、露出された資格情報などの機密データや、パスワード、キー、トークン、接続文字列などのシークレットを悪用します。 シークレットは、多くの場合、マルチクラウド デプロイ全体で、ファイルで検出され、VM ディスクまたはコンテナーに格納されます。 シークレットの露出は、さまざまな理由で発生します。
- 認識の欠如: 組織が、クラウド環境でのシークレットの露出のリスクと結果を認識していない可能性があります。 コードと構成ファイル内のシークレットの処理と保護に関する明確なポリシーがない可能性があります。
- 検出ツールの欠如: シークレットのリークを検出して修復するためのツールが用意されていない可能性があります。
- 複雑さとスピード: 最新のソフトウェア開発は複雑でペースが速く、複数のクラウド プラットフォーム、オープンソース ソフトウェア、サード パーティのコードに依存しています。 開発者は、シークレットを使用してクラウド環境内のリソースとサービスにアクセスして統合する場合があります。シークレットは、利便性と再利用のためにソース コード リポジトリに格納される場合があります。 これにより、パブリック リポジトリまたはプライベート リポジトリ内、もしくはデータ転送または処理中にシークレットが誤って公開される可能性があります。
- セキュリティと使いやすさ間のトレードオフ: 組織は、保存データおよび転送中のデータの暗号化と暗号化解除の複雑さと待機時間を回避するために、クラウド環境でシークレットを公開したままにして使いやすさを確保する場合があります。 これにより、データと資格情報のセキュリティとプライバシーが損なわれる恐れがあります。
Defender for Cloud では、横移動リスクを軽減するために、仮想マシンとクラウド デプロイのシークレット スキャンが提供されます。
- 仮想マシン (VM): マルチクラウド VM でのエージェントレス シークレット スキャン。
- クラウド デプロイ: マルチクラウドのコードとしてのインフラストラクチャ デプロイ リソース全体でのエージェントレス シークレット スキャン。
- Azure DevOps: Azure DevOps で露出されたシークレットを検出するためのスキャン。
前提条件
必要なロールとアクセス許可:
セキュリティ閲覧者
セキュリティ管理者
Reader
Contributor
- 所有者
シークレット スキャンの展開
シークレット スキャンは、Defender for Cloud プランの機能として提供されます。
VM スキャン: Defender for CSPM (クラウド セキュリティ態勢管理) プランと Defender for Servers プラン 2 で提供されます。
クラウド デプロイ リソース スキャン: Defender CSPM が提供。
コード リポジトリ スキャン: Defender CSPM と Advanced Security for GitHub and Azure DevOps が提供。
シークレットの検出結果の確認
シークレットのセキュリティ検出結果は、次の複数の方法で確認および調査できます。
- 資産インベントリを確認する。 [インベントリ] ページで、シークレットの全体ビューを取得できます。
- シークレットの推奨事項を確認する: Defender for Cloud の推奨事項ページでは、シークレットの推奨事項を確認して修復できます。 推奨事項とアラートの調査の詳細を確認してください。
- セキュリティの分析情報を調査する: クラウド セキュリティ エクスプローラーを使用して、クラウド セキュリティ グラフに対してクエリを実行できます。 独自のクエリを作成することも、定義済みのクエリ テンプレートを使用することもできます。
- 攻撃パスを使用する: 攻撃パスを使用して、重大なシークレットのリスクを調査および修復できます。 詳細情報。
検出のサポート
Defender for Cloud では、表にまとめられたシークレットの種類の検出がサポートされています。
| シークレットの種類 | VM シークレットの検出 | クラウド デプロイ シークレットの検出 | 確認の場所 |
|---|---|---|---|
| セキュリティで保護されていない SSH 秘密キー PuTTy ファイルの RSA アルゴリズムをサポートします。 PKCS#8 および PKCS#1 標準 OpenSSH 標準 |
はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure SQL 接続文字列、SQL PAAS をサポート。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for PostgreSQL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for MySQL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for MariaDB。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| PostgreSQL、MySQL、MariaDB を含むプレーンテキストの Azure Cosmos DB。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS RDS 接続文字列、SQL PAAS をサポート: Postgres と MySQL のフレーバーを使用しているプレーンテキストの Amazon Aurora。 Oracle と SQL Server フレーバーを使用しているプレーンテキストの Amazon カスタム RDS。 |
はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの接続文字列 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの接続文字列。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの SAS トークン。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS アクセス キー。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS S3 で事前署名済みの URL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Google ストレージの署名付き URL。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure AD クライアント シークレット。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure DevOps の個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの GitHub 個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure App Configuration アクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Cognitive Service キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure AD ユーザー資格情報。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Container Registry のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure App Service のデプロイ パスワード。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Databricks 個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure SignalR のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure API Management のサブスクリプション キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Bot Framework のシークレット キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Machine Learning Web サービスの API キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Communication Services のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Event Grid のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキスト Amazon Marketplace Web サービス (MWS) のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Maps のサブスクリプション キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Web PubSub のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの OpenAI API キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Batch 共有アクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの NPM 作成者トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure サブスクリプション管理証明書。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの GCP API キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの AWS Redshift 資格情報。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの秘密キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの ODBC 接続文字列。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの一般的なパスワード。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストのユーザー ログイン資格情報。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Travis 個人用トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Slack アクセス トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの ASP.NET マシン キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの HTTP Authorization ヘッダー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Redis Cache パスワード。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure IoT 共有アクセス キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure DevOps アプリ シークレット。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Function API キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure 共有アクセス キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Logic App の Shared Access Signature。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Active Directory のアクセス トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Service Bus の Shared Access Signature。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |