マシン シークレットのスキャン
Microsoft Defender for Cloud では、マシン シークレットのスキャンなど、さまざまなシナリオでシークレット スキャンが提供されます。
マシンのシークレット スキャンは、マシンのセキュリティ態勢を強化する Defender for Cloud のエージェントレス スキャン機能の 1 つとして提供されます。 エージェントレス スキャンは、インストール済みのエージェントやネットワーク接続を必要とせず、マシンのパフォーマンスに影響を与えません。
- エージェントレス マシン シークレット スキャンは、環境内で公開されているプレーンテキスト シークレットの検出、優先順位付け、修復をすばやく行うのに役立ちます。
- シークレットが検出された場合、検出結果は、セキュリティ チームがアクションの優先順位を決め、修復を行って横移動のリスクを最小限に抑えるのに役立ちます。
- マシンでのサポートされているシークレットのスキャンは、Defender for Servers プラン 2 または Defender クラウド セキュリティ態勢管理 (CSPM) プランが有効になっている場合に利用できます。
- マシン シークレット スキャンでは、Azure VM と、Defender for Cloud に接続されている AWS/GCP インスタンスをスキャンできます。
セキュリティ リスクの軽減
シークレット スキャンは、次のことを行ってリスクを軽減します。
- 不要なシークレットの排除。
- 最小特権の原則の適用。
- Azure Key Vault などのシークレット管理システムによるシークレットのセキュリティ強化。
- 有効期間が短い SAS トークンで Azure Storage 接続文字列を置き換えるなどの、有効期間の短いシークレットの使用。
マシン シークレットのスキャンのしくみ
VM のシークレット スキャンはエージェントレスであり、クラウド API を使用します。 その仕組みを次に示します。
- シークレット スキャンでは、VM のパフォーマンスに影響を与えずに、ディスクのスナップショットがキャプチャされて、その分析が行われます。
- Microsoft シークレット スキャン エンジンは、ディスクからシークレットのメタデータを収集した後、Defender for Cloud に送信します。
- シークレット スキャン エンジンは、SSH 秘密キーを使用してネットワーク内を横方向に移動できるかどうかを確認します。
- 正常に検証されなかった SSH キーは、Defender for Cloud の [推奨事項] ページで未検証として分類されます。
- テスト関連のコンテンツを含んでいると認識されたディレクトリは、スキャンから除外されます。
マシン シークレットの推奨事項
マシン シークレットでは次のセキュリティ推奨事項を使用できます。
- Azure リソース: マシンでシークレットの結果を解決する必要があります
- AWS リソース: EC2 インスタンスでシークレットの結果が解決されている必要があります
- GCP リソース: VM インスタンスでシークレットの結果が解決されている必要があります
マシン シークレットの攻撃パス
次の表は、サポートされている攻撃パスをまとめたものです。
| VM | 攻撃パス |
|---|---|
| Azure | 公開されている脆弱な VM に、VM に対する認証に使用される安全でない SSH 秘密キーがあります。 公開されている脆弱な VM に、ストレージ アカウントに対する認証に使用される安全でないシークレットがあります。 脆弱な VM に、ストレージ アカウントに対する認証に使用される安全でないシークレットがあります。 公開されている脆弱な VM に、SQL サーバーに対する認証に使用される安全でないシークレットがあります。 |
| AWS | 公開されている脆弱な EC2 インスタンスに、EC2 インスタンスに対する認証に使用される安全でない SSH 秘密キーがあります。 公開された脆弱な EC2 インスタンスに、ストレージ アカウントに対する認証に使用される安全でないシークレットがあります。 公開されている脆弱な EC2 インスタンスに、EC2 インスタンスに対する認証に使用される安全でない SSH 秘密キーがあります。 脆弱な EC2 インスタンスに、AWS RDS サーバーに対する認証に使用される安全でないシークレットがあります。 |
| GCP | 公開されている脆弱な GCP VM インスタンスに、GCP VM インスタンスに対する認証に使用される安全でない SSH 秘密キーがあります。 |
定義済みのクラウド セキュリティ エクスプローラーのクエリ
Defender for Cloud には、シークレットのセキュリティの問題を調査するための次の定義済みクエリが用意されています。
- 別の VM に対して認証可能なプレーンテキスト シークレットを持つ VM - 他の VM または EC2 にアクセス可能なプレーンテキスト シークレットを持つ、すべての Azure VM、AWS EC2 インスタンス、または GCP VM インスタンスを返します。
- ストレージ アカウントに対して認証可能なプレーンテキスト シークレットを持つ VM - ストレージ アカウントにアクセス可能なプレーンテキスト シークレットを持つ、すべての Azure VM、AWS EC2 インスタンス、GCP VM インスタンスを返します。
- SQL データベースに対して認証可能なプレーンテキスト シークレットを持つ VM - SQL データベースにアクセス可能なプレーンテキスト シークレットを持つ、すべての Azure VM または AWS EC2 インスタンス、または GCP VM インスタンスを返します。
マシン シークレットの調査と修復
Defender for Cloud では、さまざまな方法を使ってマシン シークレットの検出結果を調査できます。 すべてのシークレットですべての方法を使用できるわけではありません。 さまざまな種類のシークレットに対してサポートされている方法を確認してください。