Udostępnij za pośrednictwem


Skanowanie wpisów tajnych maszyny

Microsoft Defender dla Chmury zapewnia skanowanie wpisów tajnych w wielu scenariuszach, w tym skanowanie pod kątem wpisów tajnych maszyny.

Skanowanie wpisów tajnych maszyn jest udostępniane jako jedna z funkcji skanowania bez agentów Defender dla Chmury, które zwiększają stan zabezpieczeń maszyny. Skanowanie bez agenta nie wymaga żadnych zainstalowanych agentów ani łączności sieciowej i nie wpływa na wydajność maszyny.

  • Skanowanie wpisów tajnych maszyn bez agenta ułatwia szybkie wykrywanie, określanie priorytetów i korygowanie uwidocznionych wpisów tajnych w postaci zwykłego tekstu w środowisku.
  • W przypadku wykrycia wpisów tajnych wyniki ułatwiają zespołom ds. zabezpieczeń ustalanie priorytetów akcji i korygowanie w celu zminimalizowania ryzyka ruchu bocznego.
  • Skanowanie maszyn pod kątem obsługiwanych wpisów tajnych jest dostępne, gdy usługa Defender for Servers (plan 2) lub plan zarządzania stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) jest włączony.
  • Skanowanie wpisów tajnych maszyn może skanować maszyny wirtualne platformy Azure, a wystąpienia platformy AWS/GCP połączone z Defender dla Chmury.

Zmniejszanie ryzyka związanego z bezpieczeństwem

Skanowanie wpisów tajnych pomaga zmniejszyć ryzyko przez:

  • Eliminowanie wpisów tajnych, które nie są potrzebne.
  • Stosowanie zasady najniższych uprawnień.
  • Wzmacnianie zabezpieczeń wpisów tajnych przy użyciu systemów zarządzania wpisami tajnymi, takich jak usługa Azure Key Vault.
  • Używanie krótkożytnych wpisów tajnych, takich jak podstawianie parametry połączenia usługi Azure Storage z tokenami SAS, które mają krótsze okresy ważności.

Jak działa skanowanie wpisów tajnych maszyny

Wpisy tajne skanowane pod kątem maszyn wirtualnych są bez agenta i używają interfejsów API w chmurze. Oto, jak to działa:

  1. Skanowanie wpisów tajnych przechwytuje migawki dysków i analizuje je bez wpływu na wydajność maszyny wirtualnej.
  2. Gdy aparat skanowania wpisów tajnych firmy Microsoft zbiera metadane wpisów tajnych z dysku, wysyła je do Defender dla Chmury.
  3. Aparat skanowania wpisów tajnych sprawdza, czy można używać kluczy prywatnych SSH do późniejszego przenoszenia w sieci.
    • Klucze SSH, które nie zostały pomyślnie zweryfikowane, są kategoryzowane jako niezweryfikowane na stronie Defender dla Chmury Zalecenia.
    • Katalogi rozpoznawane jako zawierające zawartość związaną z testami są wykluczone ze skanowania.

Zalecenia dotyczące wpisów tajnych maszyny

Dostępne są następujące zalecenia dotyczące zabezpieczeń wpisów tajnych maszyn:

  • Zasoby platformy Azure: maszyny powinny mieć rozpoznane wyniki wpisów tajnych
  • Zasoby platformy AWS: wystąpienia usługi EC2 powinny mieć rozpoznane wyniki wpisów tajnych
  • Zasoby GCP: wystąpienia maszyn wirtualnych powinny mieć rozpoznane wyniki wpisów tajnych

Ścieżki ataków wpisów tajnych maszyny

Tabela zawiera podsumowanie obsługiwanych ścieżek ataków.

VM Ścieżki ataków
Azure Uwidoczniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania na maszynie wirtualnej.
Ujawniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na koncie magazynu.
Podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na koncie magazynu.
Ujawniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze SQL.
AWS Uwidocznione wystąpienie narażone na zagrożenia EC2 ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania w wystąpieniu usługi EC2.
Uwidocznione wystąpienie narażone na zagrożenia EC2 ma niezabezpieczony wpis tajny używany do uwierzytelniania na koncie magazynu.
Uwidocznione wystąpienie usługi EC2 narażone na zagrożenia ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze usług pulpitu zdalnego platformy AWS.
Wystąpienie usługi EC2 podatne na zagrożenia ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze usług pulpitu zdalnego platformy AWS.
GCP Uwidocznione narażone wystąpienie maszyny wirtualnej GCP ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania w wystąpieniu maszyny wirtualnej GCP.

Wstępnie zdefiniowane zapytania eksploratora zabezpieczeń w chmurze

Defender dla Chmury udostępnia te wstępnie zdefiniowane zapytania dotyczące badania problemów z zabezpieczeniami wpisów tajnych:

  • Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się na innej maszynie wirtualnej — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, które mogą uzyskiwać dostęp do innych maszyn wirtualnych lub ec2s.
  • Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się na koncie magazynu — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, które mogą uzyskiwać dostęp do kont magazynu
  • Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się w bazie danych SQL — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, który może uzyskiwać dostęp do baz danych SQL.

Badanie i korygowanie wpisów tajnych maszyny

Możesz zbadać wyniki wpisów tajnych maszyny w Defender dla Chmury przy użyciu wielu metod. Nie wszystkie metody są dostępne dla wszystkich wpisów tajnych. Przejrzyj obsługiwane metody dla różnych typów wpisów tajnych.

Badanie i korygowanie wpisów tajnych maszyny.