Geheimen beveiligen in Defender voor Cloud
Microsoft Defender voor Cloud helpt beveiligingsteams het risico te minimaliseren dat aanvallers misbruik maken van beveiligingsgeheimen.
Na het verkrijgen van initiële toegang proberen aanvallers zich lateraal over netwerken te verplaatsen, toegang te krijgen tot resources om beveiligingsproblemen te misbruiken en kritieke informatiesystemen te beschadigen. Laterale verplaatsing omvat vaak referentiesbedreigingen die doorgaans gebruikmaken van gevoelige gegevens, zoals blootgestelde referenties en geheimen, zoals wachtwoorden, sleutels, tokens en verbindingsreeks s om toegang te krijgen tot extra assets.
Geheimen worden vaak gevonden in implementaties met meerdere clouds in bestanden, op VM-schijven of in containers. Ontmaskerde geheimen gebeuren om een aantal redenen:
- Gebrek aan bewustzijn: Organisaties zijn mogelijk niet op de hoogte van het risico en de gevolgen van blootstelling aan geheimen.
- Gebrek aan beleid: er is mogelijk geen duidelijk bedrijfsbeleid voor het afhandelen en beveiligen van geheimen in code- en configuratiebestanden.
- Gebrek aan detectiehulpprogramma's: Hulpprogramma's zijn mogelijk niet aanwezig om geheimenlekken te detecteren en te herstellen.
- Complexiteit en snelheid: complexe omgevingen met meerdere cloudplatforms, opensource-software en code van derden. Ontwikkelaars kunnen geheimen gebruiken om resources en services te openen en te integreren, en geheimen opslaan in broncodeopslagplaatsen voor gemak en hergebruik. Dit kan leiden tot onbedoelde blootstelling van geheimen in openbare of privéopslagplaatsen, of tijdens gegevensoverdracht of verwerking.
- Afweging tussen beveiliging en bruikbaarheid: organisaties kunnen geheimen beschikbaar houden in cloudomgevingen voor gebruiksgemak, om de complexiteit en latentie van het versleutelen en ontsleutelen van data-at-rest en in-transit te voorkomen. Hierdoor kunnen de beveiliging en privacy van gegevens en referenties worden aangetast.
Scantypen en plannen
Defender voor Cloud biedt verschillende soorten geheimenscans.
| Scantype | DETAILS | Ondersteuning plannen |
|---|---|---|
| Machinescans | Geheimen scannen zonder agent op VM's met meerdere clouds. | Defender voor Cloud CSPM-abonnement (Security Posture Management) of Defender for Servers Plan 2. |
| Scannen van resources voor cloudimplementatie | Geheimen zonder agent scannen op resources voor implementatie van infrastructuur als code in meerdere clouds. | Defender CSPM-abonnement. |
| Scannen van codeopslagplaats | Scannen om blootgestelde geheimen in Azure DevOps te detecteren. | Defender CSPM-abonnement. |
Scanmachtigingen
Als u geheimen wilt scannen, zijn de volgende machtigingen nodig:
Beveiligingslezer
Beveiligingsbeheerder
Lezer
Inzender
- Eigenaar
Geheimenresultaten bekijken
Er zijn een aantal methoden beschikbaar om problemen met geheimen te identificeren en te verhelpen. Niet elke methode wordt ondersteund voor elk geheim.
- Geheimen controleren in de inventaris van assets: De inventaris toont de beveiligingsstatus van resources die zijn verbonden met Defender voor Cloud. Vanuit de inventaris kunt u de geheimen bekijken die zijn gedetecteerd op een specifieke computer.
- Aanbevelingen voor geheimen controleren: wanneer geheimen op assets worden gevonden, wordt een aanbeveling geactiveerd onder het beveiligingsbeheer beveiligingsproblemen herstellen op de pagina Defender voor Cloud Aanbevelingen. Aanbevelingen worden als volgt geactiveerd:
- Geheimen controleren met Cloud Security Explorer. Gebruik Cloud Security Explorer om een query uit te voeren op de cloudbeveiligingsgrafiek voor geheimeninzichten. U kunt uw eigen query's bouwen of een van de ingebouwde sjablonen gebruiken om query's uit te voeren op VM-geheimen in uw omgeving.
- Aanvalspaden bekijken: Analyse van aanvalspaden scant de cloudbeveiligingsgrafiek om exploiteerbare paden beschikbaar te maken die aanvallen kunnen gebruiken om uw omgeving te schenden en assets met een hoge impact te bereiken. Scannen van VM-geheimen ondersteunt een aantal scenario's voor aanvalspaden.
Ondersteuning voor geheimen
Defender voor Cloud ondersteunt detectie van de typen geheimen die in de tabel worden samengevat. De kolom Beoordelen met behulp van geeft de methoden aan die u kunt gebruiken om aanbevelingen voor geheimen te onderzoeken en op te heffen.
| Geheimentype | Detectie van VM-geheimen | Detectie van geheimen voor cloudimplementatie | Controleren met |
|---|---|---|---|
| Onveilige persoonlijke SSH-sleutels Ondersteunt RSA-algoritme voor PuTTy-bestanden. PKCS#8- en PKCS#1-standaarden OpenSSH-standaard |
Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure SQL verbindingsreeks s bieden ondersteuning voor SQL PAAS. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure-database voor PostgreSQL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure-database voor MySQL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure database for MariaDB. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure Cosmos DB, waaronder PostgreSQL, MySQL en MariaDB. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext AWS RDS verbindingsreeks ondersteunt SQL PAAS: Plaintext Amazon Aurora met Postgres- en MySQL-smaken. Plaintext Amazon aangepaste RDS met Oracle- en SQL Server-smaken. |
Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Azure Storage-account zonder opmaak verbindingsreeks s | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext Azure Storage-account verbindingsreeks s. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext SAS-tokens voor Azure Storage-account. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext AWS-toegangssleutels. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Plaintext AWS S3 presigned URL. | Ja | Ja | Inventaris, Cloud Security Explorer, aanbevelingen, aanvalspaden |
| Ondertekende URL van Google Storage zonder opmaak. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure AD-clientgeheim. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure DevOps Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext GitHub Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure-app Configuratietoegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Cognitive Service-sleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure AD-gebruikersreferenties. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Container Registry-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure-app Service Deployment Password. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Databricks Personal Access Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure SignalR Access Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure API Management Subscription Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Bot Framework Secret Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Machine Learning-webservice-API-sleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Communication Services-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Event Grid-toegangssleutel. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Toegangssleutel voor Plaintext Amazon Marketplace Web Service (MWS). | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Maps Subscription Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Web PubSub Access Key. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| OpenAI API-sleutel voor plaintext. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Gedeelde toegangssleutel van Azure Batch. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext NPM Author Token. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Subscription Management Certificate. | Ja | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext GCP API-sleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext AWS Redshift-referenties. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Persoonlijke sleutel zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| ODBC-verbindingsreeks zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Algemeen wachtwoord voor tekst zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Aanmeldingsreferenties van plaintext-gebruiker. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Travis persoonlijk token. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Slack-toegangstoken. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext ASP.NET machinesleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext HTTP Authorization Header. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Wachtwoord voor Azure Redis Cache zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Gedeelde toegangssleutel van Azure IoT. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure DevOps App Secret. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Function API-sleutel. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Gedeelde toegangssleutel van Azure. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Shared Access Signature van Azure Logic App zonder opmaak. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Active Directory-toegangstoken. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |
| Plaintext Azure Service Bus Shared Access Signature. | Nr. | Ja | Inventaris, cloudbeveiligingsverkenner. |