Geheimen beveiligen in Defender voor Cloud
Microsoft Defender voor Cloud helpt beveiligingsteam het risico te minimaliseren dat aanvallers misbruik maken van beveiligingsgeheimen.
Na de eerste toegang kunnen aanvallers zich lateraal verplaatsen tussen netwerken, gevoelige gegevens vinden en beveiligingsproblemen misbruiken om kritieke informatiesystemen te beschadigen door toegang te krijgen tot cloudimplementaties, resources en internetgerichte workloads. Laterale verplaatsing omvat vaak referentiesbedreigingen die doorgaans gebruikmaken van gevoelige gegevens, zoals blootgestelde referenties en geheimen, zoals wachtwoorden, sleutels, tokens en verbindingsreeks s om toegang te krijgen tot extra assets. Geheimen worden vaak gevonden in bestanden, opgeslagen op VM-schijven of in containers, in implementaties met meerdere clouds. Ontmaskerde geheimen gebeuren om een aantal redenen:
- Gebrek aan bewustzijn: organisaties zijn zich mogelijk niet bewust van de risico's en gevolgen van de blootstelling van geheimen in hun cloudomgeving. Er is mogelijk geen duidelijk beleid voor het afhandelen en beveiligen van geheimen in code- en configuratiebestanden.
- Gebrek aan detectiehulpprogramma's: Hulpprogramma's zijn mogelijk niet aanwezig om geheimenlekken te detecteren en te herstellen.
- Complexiteit en snelheid: moderne softwareontwikkeling is complex en snel, afhankelijk van meerdere cloudplatforms, opensource-software en code van derden. Ontwikkelaars kunnen geheimen gebruiken om resources en services in cloudomgevingen te openen en te integreren. Ze kunnen geheimen opslaan in opslagplaatsen met broncode voor het gemak en hergebruiken. Dit kan leiden tot onbedoelde blootstelling van geheimen in openbare of privÊopslagplaatsen, of tijdens gegevensoverdracht of verwerking.
- Afweging tussen beveiliging en bruikbaarheid: Organisaties kunnen geheimen in cloudomgevingen beschikbaar houden voor gebruiksgemak, om de complexiteit en latentie van het versleutelen en ontsleutelen van data-at-rest en in transit te voorkomen. Hierdoor kunnen de beveiliging en privacy van gegevens en referenties worden aangetast.
Defender voor Cloud biedt geheimenscans voor virtuele machines en voor cloudimplementaties om het risico van laterale verplaatsing te verminderen.
- Virtuele machines (VM's): geheimen zonder agent scannen op VM's met meerdere clouds.
- Cloudimplementaties: geheimen zonder agent scannen op implementatieresources met infrastructuur als code voor meerdere clouds.
- Azure DevOps: scannen om blootgestelde geheimen in Azure DevOps te detecteren.
Vereisten
Vereiste rollen en machtigingen:
Beveiligingslezer
Beveiligingsbeheerder
Lezer
Inzender
- Eigenaar
Geheimen scannen implementeren
Geheimen scannen wordt geleverd als een functie in Defender voor Cloud plannen:
VM-scan: geleverd met Defender voor Cloud CSPM-abonnement (Security Posture Management) of met Defender for Servers Plan 2.
Resourcescan voor cloudimplementatie: geleverd met Defender CSPM.
Scannen van codeopslagplaats: geleverd met Defender CSPM en Geavanceerde beveiliging voor GitHub en Azure DevOps.
Geheimenresultaten bekijken
U kunt de beveiligingsresultaten voor geheimen op een aantal manieren bekijken en onderzoeken:
- Controleer de inventaris van activa. Op de pagina Inventaris kunt u een overzicht krijgen van uw geheimen.
- Aanbevelingen voor geheimen bekijken: op de pagina Defender voor Cloud Aanbevelingen kunt u aanbevelingen voor geheimen bekijken en herstellen. Meer informatie over aanbevelingen en waarschuwingen onderzoeken.
- Beveiligingsinzichten onderzoeken: u kunt Cloud Security Explorer gebruiken om een query uit te voeren op de cloudbeveiligingsgrafiek. U kunt uw eigen query's maken of vooraf gedefinieerde querysjablonen gebruiken.
- Aanvalspaden gebruiken: u kunt aanvalspaden gebruiken om kritieke geheimen te onderzoeken en op te lossen. Meer informatie.
Detectieondersteuning
Defender voor Cloud ondersteunt detectie van de typen geheimen die in de tabel worden samengevat.
Geheimentype | Detectie van VM-geheimen | Detectie van geheimen voor cloudimplementatie | Locatie controleren |
---|---|---|---|
Onveilige persoonlijke SSH-sleutels Ondersteunt RSA-algoritme voor PuTTy-bestanden. PKCS#8- en PKCS#1-standaarden OpenSSH-standaard |
Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure SQL verbindingsreeks s bieden ondersteuning voor SQL PAAS. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure-database voor PostgreSQL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure-database voor MySQL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure database for MariaDB. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure Cosmos DB, waaronder PostgreSQL, MySQL en MariaDB. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext AWS RDS verbindingsreeks ondersteunt SQL PAAS: Plaintext Amazon Aurora met Postgres- en MySQL-smaken. Plaintext Amazon aangepaste RDS met Oracle- en SQL Server-smaken. |
Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Azure Storage-account zonder opmaak verbindingsreeks s | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext Azure Storage-account verbindingsreeks s. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext SAS-tokens voor Azure Storage-account. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext AWS-toegangssleutels. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Plaintext AWS S3 presigned URL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
Ondertekende URL van Google Storage zonder opmaak. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure AD-clientgeheim. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure DevOps Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext GitHub Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure-app Configuratietoegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Cognitive Service-sleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure AD-gebruikersreferenties. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Container Registry-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure-app Service Deployment Password. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Databricks Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure SignalR Access Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure API Management Subscription Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Bot Framework Secret Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Machine Learning-webservice-API-sleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Communication Services-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Event Grid-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Toegangssleutel voor Plaintext Amazon Marketplace Web Service (MWS). | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Maps Subscription Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Web PubSub Access Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
OpenAI API-sleutel voor plaintext. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Gedeelde toegangssleutel van Azure Batch. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext NPM Author Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Subscription Management Certificate. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext GCP API-sleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext AWS Redshift-referenties. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Persoonlijke sleutel zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
ODBC-verbindingsreeks zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Algemeen wachtwoord voor tekst zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Aanmeldingsreferenties van plaintext-gebruiker. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Travis persoonlijk token. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Slack-toegangstoken. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext ASP.NET machinesleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext HTTP Authorization Header. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Wachtwoord voor Azure Redis Cache zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Gedeelde toegangssleutel van Azure IoT. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure DevOps App Secret. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Function API-sleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Gedeelde toegangssleutel van Azure. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Shared Access Signature van Azure Logic App zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Active Directory-toegangstoken. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
Plaintext Azure Service Bus Shared Access Signature. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |