Поделиться через

Сканирование секретов компьютера

  • Статья

Microsoft Defender для облака предоставляет сканирование секретов в нескольких сценариях, включая сканирование секретов компьютера.

Сканирование секретов компьютера предоставляется в качестве одной из функций без агента Defender для облака, которые повышают уровень безопасности компьютера. Сканирование без агента не требует установленных агентов или сетевых подключений и не влияет на производительность компьютера.

  • Сканирование секретов без агента для компьютеров помогает быстро обнаруживать, определять приоритеты и устранять открытые секреты открытого текста в вашей среде.
  • Если обнаружены секреты, результаты помогают командам безопасности определять приоритеты действий и устранять риски бокового перемещения.
  • Сканирование компьютеров для поддерживаемых секретов доступно при включении плана Defender для серверов 2 или плана управления облачной безопасностью Defender (CSPM).
  • Сканирование секретов компьютеров может сканировать виртуальные машины Azure и экземпляры AWS/GCP, подключенные к Defender для облака.

Снижение риска безопасности

Сканирование секретов помогает снизить риск на следующие факторы:

  • Устранение секретов, которые не нужны.
  • Применение принципа наименьшей привилегии.
  • Укрепление безопасности секретов с помощью систем управления секретами, таких как Azure Key Vault.
  • Использование коротких секретов, таких как замена служба хранилища Azure строка подключения маркерами SAS, которые имеют более короткие сроки действия.

Как работает сканирование секретов компьютера

Сканирование секретов для виртуальных машин является безагентным и использует облачные API. Вот как это работает:

  1. Сканирование секретов записывает моментальные снимки дисков и анализирует их, не влияя на производительность виртуальной машины.
  2. После того как модуль сканирования секретов Майкрософт собирает метаданные секретов с диска, он отправляет их в Defender для облака.
  3. Модуль сканирования секретов проверяет, можно ли использовать закрытые ключи SSH для бокового перемещения в сети.
    • Ключи SSH, которые не успешно проверены, классифицируются как непроверенные на странице рекомендаций Defender для облака.
    • Каталоги, распознанные как содержащие содержимое, связанное с тестом, исключаются из сканирования.

Рекомендации по секретам компьютера

Доступны следующие рекомендации по безопасности секретов компьютера:

  • Ресурсы Azure: компьютеры должны иметь результаты секретов, разрешенные
  • Ресурсы AWS: экземпляры EC2 должны иметь результаты секретов, разрешенные
  • Ресурсы GCP: экземпляры виртуальных машин должны иметь результаты секретов, разрешенные

Пути атак на секреты компьютера

В таблице перечислены поддерживаемые пути атаки.

Виртуальная машина Пути атаки
Azure Доступная уязвимая виртуальная машина имеет небезопасный закрытый ключ SSH, используемый для проверки подлинности на виртуальной машине.
Доступная уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности в учетной записи хранения.
Уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности в учетной записи хранения.
Доступная уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности на сервере SQL Server.
AWS У открытого экземпляра EC2 небезопасный закрытый ключ SSH, используемый для проверки подлинности в экземпляре EC2.
В уязвимом экземпляре EC2 есть небезопасный секрет, используемый для проверки подлинности в учетной записи хранения.
Открытый уязвимый экземпляр EC2 содержит небезопасные секреты, используемые для проверки подлинности на сервере AWS RDS.
Уязвимый экземпляр EC2 содержит небезопасные секреты, используемые для проверки подлинности на сервере AWS RDS.
GCP У открытого экземпляра виртуальной машины GCP уязвимого GCP есть небезопасный закрытый ключ SSH, используемый для проверки подлинности в экземпляре виртуальной машины GCP.

Предопределенные запросы облачного обозревателя безопасности

Defender для облака предоставляет эти предопределенные запросы для изучения проблем безопасности секретов:

  • Виртуальная машина с секретным текстом, которая может проходить проверку подлинности на другой виртуальной машине. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к другим виртуальным машинам или EC2.
  • Виртуальная машина с секретом открытого текста, которая может проходить проверку подлинности в учетной записи хранения. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к учетным записям хранения.
  • Виртуальная машина с секретным текстом, которая может проходить проверку подлинности в базе данных SQL. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к базам данных SQL.

Изучение и исправление секретов компьютера

Вы можете исследовать результаты секретов компьютера в Defender для облака с помощью ряда методов. Не все методы доступны для всех секретов. Просмотрите поддерживаемые методы для различных типов секретов.

Связанный контент

Изучение и исправление секретов компьютера.