Protegendo segredos no Defender para Nuvem
O Microsoft Defender para Nuvem ajuda a equipe de segurança a minimizar o risco de invasores explorarem segredos de segurança.
Depois de obter acesso inicial, os invasores podem se mover lateralmente entre redes, encontrar dados confidenciais e explorar vulnerabilidades para danificar sistemas de informações críticos acessando implantações de nuvem, recursos e cargas de trabalho voltadas para a Internet. A movimentação lateral geralmente envolve ameaças de credenciais que normalmente exploram dados confidenciais, como credenciais expostas e segredos, como senhas, chaves, tokens e cadeias de conexão para obter acesso a ativos adicionais. Os segredos geralmente são encontrados em arquivos, armazenados em discos de VM ou em contêineres, em implantações de várias nuvens. Os segredos expostos ocorrem por vários motivos:
- Falta de conscientização: as organizações podem não estar cientes dos riscos e consequências da exposição de segredos em seu ambiente de nuvem. Pode não haver uma política clara sobre como lidar e proteger segredos em arquivos de código e configuração.
- Falta de ferramentas de descoberta: as ferramentas podem não estar em vigor para detectar e corrigir vazamentos de segredos.
- Complexidade e velocidade: o desenvolvimento de software moderno é complexo e rápido, contando com várias plataformas de nuvem, software de software livre e código de terceiros. Os desenvolvedores podem usar segredos para acessar e integrar recursos e serviços em ambientes de nuvem. Eles podem armazenar segredos em repositórios de código-fonte para conveniência e reutilização. Isso pode levar à exposição acidental de segredos em repositórios públicos ou privados ou durante a transferência ou processamento de dados.
- Troca entre segurança e usabilidade: as organizações podem manter segredos expostos em ambientes de nuvem para facilitar o uso, para evitar a complexidade e a latência de criptografar e descriptografar dados inativos e em trânsito. Isso pode comprometer a segurança e a privacidade de dados e credenciais.
O Defender para Nuvem fornece verificação de segredos para máquinas virtuais e implantações de nuvem, para reduzir o risco de movimento lateral.
- Máquinas virtuais (VMs): Verificação de segredos sem agente em VMs de várias nuvens.
- implantações de nuvem: Verificação de segredos sem agente em recursos de implantação de infraestrutura como código multinuvem.
- Azure DevOps: Verificação para descobrir segredos expostos no Azure DevOps.
Pré-requisitos
Funções e permissões necessárias:
Leitor de segurança
Administrador de Segurança
Leitor
Colaborador
- Proprietário
Implantando a verificação de segredos
A verificação de segredos é fornecida como um recurso nos planos do Defender para Nuvem:
Verificação de VM: Fornecido com o plano CSPM (Gerenciamento de Postura do Defender para Segurança de Nuvem) ou com o Plano 2 do Defender para Servidores.
Verificação de recursos de implantação de nuvem: fornecida com o GPSN do Defender.
Verificação de repositório de código: fornecida com o GPSN do Defender e a Segurança Avançada para GitHub e Azure DevOps.
Revisão de descobertas de segredos
Você pode examinar e investigar as descobertas de segurança em busca de segredos de algumas maneiras:
- Examine o inventário de ativos. Na página Inventário, você pode obter uma exibição geral de seus segredos.
- Revise as recomendações de segredos: na página Recomendações do Defender para Nuvem, você pode examinar e corrigir recomendações de segredos. Saiba mais sobre recomendações e alertas de Investigação.
- Investigue os insights de segurança: você pode usar o gerenciador de segurança de nuvem para consultar o grafo de segurança de nuvem. Você pode criar suas próprias consultas ou usar modelos de consulta predefinidos.
- Use caminhos de ataque: você pode usar caminhos de ataque para investigar e corrigir o risco de segredos críticos. Saiba mais.
Suporte à descoberta
O Defender para Nuvem dá suporte à descoberta dos tipos de segredos resumidos na tabela.
| Tipo de segredos | Descoberta de segredos de VM | Descoberta de segredos de implantação na nuvem | Examinar o local |
|---|---|---|---|
| Chaves privadas SSH não seguras Compatível com o algoritmo RSA para arquivos PuTTy. Padrões PKCS#8 e PKCS#1 Padrão OpenSSH |
Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão SQL do Azure sem texto dão suporte a PAAS do SQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para PostgreSQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para MySQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para MariaDB. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Azure Cosmos DB em texto não criptografado, incluindo PostgreSQL, MySQL e MariaDB. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeia de conexão do RDS da AWS em texto não criptografado compatível com o PAAS do SQL: Amazon Aurora em texto não criptografado com variantes do Postgres e MySQL. RDS personalizado da Amazon em texto não criptografado com variantes do Oracle e do SQL Server. |
Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de contas de armazenamento do Azure em texto não criptografado | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de contas de armazenamento do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Tokens SAS de contas de armazenamento do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Chaves de acesso da AWS em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| URL pré-atribuída do AWS S3 de texto sem formatação. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| URL assinada do armazenamento do Google em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Segredo do cliente do Azure AD em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do Azure DevOps em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do GitHub em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso da Configuração de Aplicativos do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave do Serviço Cognitivo do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Credenciais de usuário do Azure AD em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Registro de Contêiner do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Senha de implantação do Serviço de Aplicativo do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do Azure Databricks em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Azure SignalR em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de assinatura do Gerenciamento de API do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave secreta do Bot Framework do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API do serviço Web do Azure Machine Learning em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso dos Serviços de Comunicação do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de Acesso à Grade de Eventos do Azure sem texto. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do MWS (Serviço Web do Marketplace) da Amazon em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de assinatura do Azure Mapas em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Azure Web PubSub em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API do OpenAI em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso compartilhado do Lote do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de autenticação do NPM em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Certificado de gerenciamento da assinatura do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API GCP de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Credenciais do Redshift do AWS de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave privada de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Cadeia de conexão ODBC de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Senha geral de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Credenciais de logon do usuário de texto não criptografado. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token pessoal do Travis de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso do Slack de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Texto ASP.NET chave de máquina sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Cabeçalho de autorização HTTP de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Senha do Cache Redis do Azure sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso compartilhado do Azure IoT sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Segredo do aplicativo Azure DevOps de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de API de Função do Azure de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de Acesso Compartilhado do Azure de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Assinatura de Acesso Compartilhado do Aplicativo Lógico do Azure de texto não criptografado. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso do Azure Active Directory sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Assinatura de acesso compartilhado do Barramento de Serviço do Azure sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |