Delen via

Scannen van machinegeheimen

  • Artikel

Microsoft Defender voor Cloud biedt geheimenscans in een aantal scenario's, waaronder scannen op machinegeheimen.

Scannen van machinegeheimen wordt geleverd als een van de functies voor scannen zonder agents van Defender voor Cloud die de beveiligingsstatus van de machine verbeteren. Scannen zonder agent heeft geen geïnstalleerde agents of netwerkconnectiviteit nodig en heeft geen invloed op de computerprestaties.

  • Scannen van machinegeheimen zonder agent helpt u bij het snel detecteren, prioriteren en herstellen van blootgestelde geheimen zonder opmaak in uw omgeving.
  • Als er geheimen worden gedetecteerd, helpen bevindingen beveiligingsteams prioriteit te geven aan acties en herstel ze om het risico op laterale verplaatsing te minimaliseren.
  • Scannen op ondersteunde geheimen is beschikbaar wanneer Defender for Servers Plan 2 of het ABONNEMENT Defender Cloud Security Posture Management (CSPM) is ingeschakeld.
  • Scannen van machinegeheimen kan virtuele Azure-machines scannen en AWS/GCP-exemplaren die zijn verbonden met Defender voor Cloud.

Beveiligingsrisico's verminderen

Het scannen van geheimen helpt het risico te verminderen door:

  • Geheimen elimineren die niet nodig zijn.
  • Het principe van minimale bevoegdheden toepassen.
  • Het verbeteren van de beveiliging van geheimen met behulp van geheimenbeheersystemen zoals Azure Key Vault.
  • Gebruik van kortdurende geheimen, zoals het vervangen van Azure Storage-verbindingsreeks s met SAS-tokens die kortere geldigheidsperioden hebben.

Hoe scannen van machinegeheimen werkt

Geheimen scannen op VM's is zonder agent en maakt gebruik van cloud-API's. Dit werkt als volgt:

  1. Bij het scannen van geheimen worden momentopnamen van schijven vastgelegd en geanalyseerd, zonder dat dit van invloed is op de prestaties van de VIRTUELE machine.
  2. Nadat de Scan-engine voor Geheimen van Microsoft geheimen metagegevens van de schijf verzamelt, worden deze verzonden naar Defender voor Cloud.
  3. De scanengine voor geheimen controleert of persoonlijke SSH-sleutels kunnen worden gebruikt om lateraal in uw netwerk te worden verplaatst.
    • SSH-sleutels die niet zijn geverifieerd, worden gecategoriseerd als niet-geverifieerd op de pagina Defender voor Cloud Aanbevelingen.
    • Mappen die worden herkend als die testgerelateerde inhoud bevatten, worden uitgesloten van scannen.

Aanbevelingen voor machinegeheimen

De volgende aanbevelingen voor beveiliging van machinegeheimen zijn beschikbaar:

  • Azure-resources: op machines moeten geheimen zijn opgelost
  • AWS-resources: EC2-exemplaren moeten geheimen hebben opgelost
  • GCP-resources: VM-exemplaren moeten geheimen hebben opgelost

Aanvalspaden voor machinegeheimen

De tabel bevat een overzicht van ondersteunde aanvalspaden.

VM Aanvalspaden
Azure Blootgestelde kwetsbare VM heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt voor verificatie bij een VIRTUELE machine.
Blootgestelde kwetsbare VM heeft onveilige geheimen die worden gebruikt om te verifiëren bij een opslagaccount.
Kwetsbare VM heeft onveilige geheimen die worden gebruikt voor verificatie bij een opslagaccount.
Blootgestelde kwetsbare VM heeft onveilige geheimen die worden gebruikt om te verifiëren bij een SQL-server.
AWS Kwetsbaar EC2-exemplaar heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt om te verifiëren bij een EC2-exemplaar.
Blootgesteld kwetsbaar EC2-exemplaar heeft een onveilig geheim dat wordt gebruikt voor verificatie bij een opslagaccount.
Kwetsbaar EC2-exemplaar heeft onveilige geheimen die worden gebruikt voor verificatie bij een AWS RDS-server.
Het kwetsbare EC2-exemplaar heeft onveilige geheimen die worden gebruikt voor verificatie bij een AWS RDS-server.
GCP Kwetsbaar GCP VM-exemplaar heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt om te verifiëren bij een GCP VM-exemplaar.

Vooraf gedefinieerde cloudbeveiligingsverkenner-query's

Defender voor Cloud biedt deze vooraf gedefinieerde query's voor het onderzoeken van beveiligingsproblemen met geheimen:

  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een andere VIRTUELE machine: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met geheim zonder tekst dat toegang heeft tot andere VM's of EC2's.
  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een opslagaccount: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met een geheim zonder tekst dat toegang heeft tot opslagaccounts
  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een SQL-database: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met een geheim zonder tekst dat toegang heeft tot SQL-databases.

Machinegeheimen onderzoeken en herstellen

U kunt de bevindingen van machinegeheimen in Defender voor Cloud onderzoeken met behulp van een aantal methoden. Niet alle methoden zijn beschikbaar voor alle geheimen. Bekijk ondersteunde methoden voor verschillende typen geheimen.

Gerelateerde inhoud

Machinegeheimen onderzoeken en herstellen.