Dela via

Genomsökning av datorhemligheter

  • Artikel

Microsoft Defender för molnet tillhandahåller genomsökning av hemligheter i ett antal scenarier, inklusive genomsökning efter datorhemligheter.

Genomsökning av datorhemligheter tillhandahålls som en av Defender för molnet agentlösa genomsökningsfunktioner som förbättrar datorns säkerhetsstatus. Agentlös genomsökning behöver inga installerade agenter eller nätverksanslutningar och påverkar inte datorns prestanda.

  • Genomsökning av agentlösa datorhemligheter hjälper dig att snabbt identifiera, prioritera och åtgärda exponerade klartexthemligheter i din miljö.
  • Om hemligheter identifieras hjälper resultaten säkerhetsteamen att prioritera åtgärder och åtgärda för att minimera risken för lateral förflyttning.
  • Genomsökning av datorer efter hemligheter som stöds är tillgängligt när Defender för servrar, plan 2 eller CSPM-planen (Cloud Security Posture Management) är aktiverad.
  • Genomsökning av datorhemligheter kan skanna virtuella Azure-datorer och AWS/GCP-instanser som är anslutna till Defender för molnet.

Minska säkerhetsrisken

Genomsökning av hemligheter minskar risken genom att:

  • Eliminera hemligheter som inte behövs.
  • Tillämpa principen om lägsta behörighet.
  • Stärka säkerheten för hemligheter med hjälp av hanteringssystem för hemligheter, till exempel Azure Key Vault.
  • Använda kortlivade hemligheter som att ersätta Azure Storage-anslutningssträng med SAS-token som har kortare giltighetsperioder.

Så här fungerar genomsökning av datorhemligheter

Genomsökning av hemligheter efter virtuella datorer är agentlös och använder moln-API:er. Så här fungerar det:

  1. Genomsökning av hemligheter fångar upp diskögonblicksbilder och analyserar dem, utan att påverka vm-prestanda.
  2. När Microsofts genomsökningsmotor för hemligheter samlar in metadata för hemligheter från disken skickar den dem till Defender för molnet.
  3. Genomsökningsmotorn hemligheter verifierar om privata SSH-nycklar kan användas för att flytta i sidled i nätverket.
    • SSH-nycklar som inte har verifierats kategoriseras som overifierade på sidan Defender för molnet Rekommendationer.
    • Kataloger som identifieras som innehållande testrelaterat innehåll undantas från genomsökning.

Rekommendationer för datorhemligheter

Följande säkerhetsrekommendationer för datorhemligheter är tillgängliga:

  • Azure-resurser: Datorer bör lösa hemligheter
  • AWS-resurser: EC2-instanser bör ha lösta hemligheter
  • GCP-resurser: VM-instanser bör ha lösta hemligheter

Attackvägar för datorhemligheter

Tabellen sammanfattar attackvägar som stöds.

Virtuell dator Attackvägar
Azure Exponerad sårbar virtuell dator har en osäker privat SSH-nyckel som används för att autentisera till en virtuell dator.
Exponerad sårbar virtuell dator har osäkra hemligheter som används för att autentisera till ett lagringskonto.
Sårbara virtuella datorer har osäkra hemligheter som används för att autentisera till ett lagringskonto.
Exponerad sårbar virtuell dator har osäkra hemligheter som används för att autentisera till en SQL-server.
AWS Exponerad sårbar EC2-instans har en osäker privat SSH-nyckel som används för att autentisera till en EC2-instans.
Exponerad sårbar EC2-instans har en osäker hemlighet som används för att autentisera till ett lagringskonto.
Exponerad sårbar EC2-instans har osäkra hemligheter som används för att autentisera till en AWS RDS-server.
Sårbara EC2-instanser har osäkra hemligheter som används för att autentisera till en AWS RDS-server.
GCP Exponerad sårbar GCP VM-instans har en osäker privat SSH-nyckel som används för att autentisera till en GCP VM-instans.

Fördefinierade frågor för molnsäkerhetsutforskaren

Defender för molnet tillhandahåller dessa fördefinierade frågor för att undersöka säkerhetsproblem med hemligheter:

  • Virtuell dator med klartexthemlighet som kan autentiseras mot en annan virtuell dator – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som kan komma åt andra virtuella datorer eller EC2s.
  • Virtuell dator med klartexthemlighet som kan autentisera till ett lagringskonto – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till lagringskonton
  • Virtuell dator med klartexthemlighet som kan autentisera till en SQL-databas – Returnerar alla virtuella Azure-datorer, AWS EC2-instanser eller GCP VM-instanser med klartexthemlighet som har åtkomst till SQL-databaser.

Undersöka och åtgärda datorhemligheter

Du kan undersöka resultaten av maskinhemligheter i Defender för molnet med hjälp av ett antal metoder. Alla metoder är inte tillgängliga för alla hemligheter. Granska metoder som stöds för olika typer av hemligheter.

Relaterat innehåll

Undersöka och åtgärda datorhemligheter.