Skydda hemligheter i Defender för molnet
Microsoft Defender för molnet hjälper säkerhetsteam att minimera risken för att angripare utnyttjar säkerhetshemligheter.
Efter att ha fått den första åtkomsten försöker angripare flytta i sidled över nätverk och komma åt resurser för att utnyttja sårbarheter och skada kritiska informationssystem. Lateral förflyttning omfattar ofta hot om autentiseringsuppgifter som vanligtvis utnyttjar känsliga data, till exempel exponerade autentiseringsuppgifter och hemligheter som lösenord, nycklar, token och anslutningssträng för att få åtkomst till ytterligare tillgångar.
Hemligheter finns ofta i flera molndistributioner i filer, på virtuella datordiskar eller i containrar. Exponerade hemligheter inträffar av flera orsaker:
- Brist på medvetenhet: Organisationer kanske inte är medvetna om risken och konsekvenserna av exponering av hemligheter.
- Brist på princip: Det kanske inte finns någon tydlig företagsprincip för hantering och skydd av hemligheter i kod- och konfigurationsfiler.
- Brist på identifieringsverktyg: Verktyg kanske inte finns på plats för att identifiera och åtgärda hemligheter.
- Komplexitet och hastighet: Komplexa miljöer som kan innehålla flera molnplattformar, programvara med öppen källkod och kod från tredje part. Utvecklare kan använda hemligheter för att komma åt och integrera resurser och tjänster och lagra hemligheter i källkodslagringsplatser för att underlätta och återanvända dem. Detta kan leda till oavsiktlig exponering av hemligheter i offentliga eller privata lagringsplatser, eller under dataöverföring eller bearbetning.
- Kompromiss mellan säkerhet och användbarhet: Organisationer kan hålla hemligheter exponerade i molnmiljöer för enkel användning, för att undvika komplexiteten och svarstiden för kryptering och dekryptering av data i vila och under överföring. Detta kan äventyra säkerheten och sekretessen för data och autentiseringsuppgifter.
Genomsökningstyper och planer
Defender för molnet tillhandahåller olika typer av genomsökning av hemligheter.
| Genomsökningstyp | Detaljer | Planera support |
|---|---|---|
| Datorgenomsökning | Genomsökning av agentlösa hemligheter på virtuella datorer med flera moln. | Defender för molnet CSPM-plan (Security Posture Management) eller Defender for Servers Plan 2. |
| Resursgenomsökning för molndistribution | Agentlösa hemligheter genomsöker flera infrastruktur-som-kod-distributionsresurser i flera moln. | Defender CSPM-plan. |
| Genomsökning av kodlagringsplats | Genomsökning för att identifiera exponerade hemligheter i Azure DevOps. | Defender CSPM-plan. |
Genomsökningsbehörigheter
Om du vill använda genomsökning av hemligheter krävs följande behörigheter:
Säkerhetsläsare
Säkerhetsadministratör
Läsare
Deltagare
- Ägare
Granska hemligheter
Det finns ett antal tillgängliga metoder för att identifiera och åtgärda problem med hemligheter. Alla metoder stöds inte för varje hemlighet.
- Granska hemligheter i tillgångsinventeringen: Inventeringen visar säkerhetstillståndet för resurser som är anslutna till Defender för molnet. Från inventeringen kan du visa hemligheterna som identifierats på en specifik dator.
- Granska rekommendationerna om hemligheter: När hemligheter hittas på tillgångar utlöses en rekommendation under säkerhetskontrollen Åtgärda säkerhetsrisker på sidan Defender för molnet rekommendationer. Rekommendationer utlöses på följande sätt:
- Granska hemligheter med Cloud Security Explorer. Använd Cloud Security Explorer för att fråga molnsäkerhetsgrafen om hemligheter. Du kan skapa egna frågor eller använda någon av de inbyggda mallarna för att fråga efter VM-hemligheter i hela miljön.
- Granska attackvägar: Analys av attackvägar söker igenom molnsäkerhetsdiagrammet för att exponera exploaterbara sökvägar som attacker kan använda för att bryta mot din miljö och nå tillgångar med hög påverkan. Genomsökning av VM-hemligheter stöder ett antal scenarier för attackvägar.
Stöd för hemligheter
Defender för molnet stöder identifiering av de typer av hemligheter som sammanfattas i tabellen. Kolumnen Granska med hjälp av anger de metoder som du kan använda för att undersöka och åtgärda hemligheters rekommendationer.
| Typ av hemligheter | Identifiering av VM-hemligheter | Identifiering av molndistributionshemligheter | Granska med hjälp av |
|---|---|---|---|
| Osäkra privata SSH-nycklar Stöder RSA-algoritm för PuTTy-filer. PKCS#8- och PKCS#1-standarder OpenSSH-standard |
Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Azure SQL-anslutningssträng i klartext stöder SQL PAAS. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Plaintext Azure database for PostgreSQL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Plaintext Azure database for MySQL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Plaintext Azure database for MariaDB. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Plaintext Azure Cosmos DB, inklusive PostgreSQL, MySQL och MariaDB. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Plaintext AWS RDS anslutningssträng stöder SQL PAAS: Plaintext Amazon Aurora med Postgres och MySQL smaker. Plaintext Amazon custom RDS med Oracle- och SQL Server-smaker. |
Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Azure Storage-anslutningssträng i klartext | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Azure Storage-anslutningssträng i klartext. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| SAS-token för Azure Storage-konto i klartext. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Oformaterade AWS-åtkomstnycklar. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Klartext AWS S3 försignerad URL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
| Klartext Google Storage signerad URL. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Azure AD-klienthemlighet i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Enkeltext Azure DevOps Personlig åtkomsttoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
| GitHub Personlig åtkomsttoken i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Åtkomstnyckel för Azure App Configuration i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Azure Cognitive Service Key i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Autentiseringsuppgifter för Azure AD-användare i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Åtkomstnyckel för Azure Container Registry i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Distributionslösenord för Azure App Service i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Enkeltext azure databricks personlig åtkomsttoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Azure SignalR-åtkomstnyckel i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Prenumerationsnyckel för Azure API Management i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Hemlig nyckel för Azure Bot Framework i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Api-nyckel för Azure Machine Learning-webbtjänsten i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Åtkomstnyckel för Azure Communication Services i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Åtkomstnyckel för Azure Event Grid i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Åtkomstnyckel för Amazon Marketplace Web Service (MWS) i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Prenumerationsnyckel för Azure Maps i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Enkeltext Azure Web PubSub-åtkomstnyckel. | Ja | Ja | Inventering, Cloud Security Explorer. |
| OpenAI API-nyckel i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Azure Batch-nyckel för delad åtkomst i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Oformaterad NPM-redigeringstoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
| Certifikat för azure-prenumerationshantering i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
| GCP API-nyckel i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Klartext AWS Redshift-autentiseringsuppgifter. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Privat nyckel i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| ODBC-anslutningssträng i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Allmänt lösenord i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Inloggningsuppgifter för klartextanvändare. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Plaintext Travis personliga token. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Slack-åtkomsttoken i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Oformaterad ASP.NET datornyckel. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Http-auktoriseringshuvud i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Lösenord för Azure Redis Cache i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Azure IoT-nyckel för delad åtkomst i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Azure DevOps-apphemlighet i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Api-nyckel för Azure-funktion i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Azure-nyckel för delad åtkomst i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Signatur för delad åtkomst i Azure Logic App i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Azure Active Directory-åtkomsttoken i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
| Signatur för delad åtkomst i Azure Service Bus i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |