Åtgärda datorhemligheter
Microsoft Defender för molnet kan genomsöka datorer och molndistributioner efter hemligheter som stöds för att minska risken för lateral förflyttning.
Den här artikeln hjälper dig att identifiera och åtgärda genomsökningsresultat för datorhemligheter.
- Du kan granska och åtgärda resultat med hjälp av rekommendationer om datorhemligheter.
- Visa hemligheter som identifierats på en specifik dator i Defender för molnet-inventeringen
- Öka detaljnivån för upptäckter av datorhemligheter med hjälp av molnsäkerhetsutforskarens frågor och angreppsvägar för datorhemligheter
- Alla metoder stöds inte för varje hemlighet. Granska de metoder som stöds för olika typer av hemligheter.
Det är viktigt att kunna prioritera hemligheter och identifiera vilka som behöver omedelbar uppmärksamhet. För att hjälpa dig med detta tillhandahåller Defender för molnet:
- Tillhandahålla omfattande metadata för varje hemlighet, till exempel senaste åtkomsttid för en fil, ett förfallodatum för token, en indikation på om målresursen som hemligheterna ger åtkomst till finns med mera.
- Kombinera metadata för hemligheter med kontexten för molntillgångar. Detta hjälper dig att börja med tillgångar som exponeras för Internet eller innehåller hemligheter som kan äventyra andra känsliga tillgångar. Genomsökningsresultat för hemligheter införlivas i riskbaserad rekommendationsprioritering.
- Att tillhandahålla flera vyer som hjälper dig att hitta de vanligaste hemligheterna eller tillgångar som innehåller hemligheter.
Förutsättningar
- Ett Azure-konto. Om du inte redan har ett Azure-konto kan du skapa ditt kostnadsfria Azure-konto i dag.
- Defender för molnet måste vara tillgängligt i din Azure-prenumeration.
- Minst en av dessa planer måste vara aktiverad:
- Agentlös datorgenomsökning måste vara aktiverad.
Åtgärda hemligheter med rekommendationer
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet> Rekommendationer.
Expandera säkerhetskontrollen Åtgärda säkerhetsrisker.
Välj någon av de relevanta rekommendationerna:
Expandera Berörda resurser för att granska listan över alla resurser som innehåller hemligheter.
I avsnittet Resultat väljer du en hemlighet för att visa detaljerad information om hemligheten.
Expandera Reparationsstegen och följ stegen i listan.
Expandera Berörda resurser för att granska de resurser som påverkas av den här hemligheten.
(Valfritt) Du kan välja en berörd resurs för att se resursinformationen.
Hemligheter som inte har en känd attackväg kallas .secrets without an identified target resource
Åtgärda hemligheter för en dator i inventeringen
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet> Inventory.
Välj relevant virtuell dator.
Gå till fliken Hemligheter .
Granska varje klartexthemlighet som visas med relevanta metadata.
Välj en hemlighet för att visa extra information om den hemligheten.
Olika typer av hemligheter har olika uppsättningar med ytterligare information. För privata SSH-nycklar i klartext innehåller informationen till exempel relaterade offentliga nycklar (mappning mellan den privata nyckeln till filen för auktoriserade nycklar som vi identifierade eller mappade till en annan virtuell dator som innehåller samma privata SSH-nyckelidentifierare).
Åtgärda hemligheter med attackvägar
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet> Kommandon>Attacksökväg.
Välj relevant attackväg.
Följ reparationsstegen för att åtgärda attacksökvägen.
Åtgärda hemligheter med Cloud Security Explorer
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet> Cloud Security Explorer.
Välj någon av följande mallar:
- Virtuell dator med klartexthemlighet som kan autentiseras mot en annan virtuell dator – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som kan komma åt andra virtuella datorer eller EC2s.
- Virtuell dator med klartexthemlighet som kan autentisera till ett lagringskonto – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till lagringskonton.
- Virtuell dator med klartexthemlighet som kan autentisera till en SQL-databas – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till SQL-databaser.
Om du inte vill använda någon av de tillgängliga mallarna kan du också skapa en egen fråga i molnsäkerhetsutforskaren.