Skydda hemligheter i Defender för molnet
Microsoft Defender för molnet hjälper säkerhetsteamet att minimera risken för att angripare utnyttjar säkerhetshemligheter.
När de har fått den första åtkomsten kan angripare flytta i sidled mellan nätverk, hitta känsliga data och utnyttja sårbarheter för att skada kritiska informationssystem genom att komma åt molndistributioner, resurser och internetuppkopplade arbetsbelastningar. Lateral förflyttning omfattar ofta hot om autentiseringsuppgifter som vanligtvis utnyttjar känsliga data, till exempel exponerade autentiseringsuppgifter och hemligheter som lösenord, nycklar, token och anslutningssträng för att få åtkomst till ytterligare tillgångar. Hemligheter finns ofta i filer, lagrade på virtuella datordiskar eller i containrar, i flera molndistributioner. Exponerade hemligheter inträffar av flera orsaker:
- Brist på medvetenhet: Organisationer kanske inte är medvetna om riskerna och konsekvenserna av exponering av hemligheter i sin molnmiljö. Det kanske inte finns någon tydlig princip för hantering och skydd av hemligheter i kod- och konfigurationsfiler.
- Brist på identifieringsverktyg: Verktyg kanske inte finns på plats för att identifiera och åtgärda hemligheter.
- Komplexitet och hastighet: Modern programvaruutveckling är komplex och snabb och förlitar sig på flera molnplattformar, programvara med öppen källkod och kod från tredje part. Utvecklare kan använda hemligheter för att komma åt och integrera resurser och tjänster i molnmiljöer. De kan lagra hemligheter i källkodslagringsplatser för att underlätta och återanvända dem. Detta kan leda till oavsiktlig exponering av hemligheter i offentliga eller privata lagringsplatser, eller under dataöverföring eller bearbetning.
- Kompromiss mellan säkerhet och användbarhet: Organisationer kan hålla hemligheter exponerade i molnmiljöer för enkel användning, för att undvika komplexiteten och svarstiden för kryptering och dekryptering av data i vila och under överföring. Detta kan äventyra säkerheten och sekretessen för data och autentiseringsuppgifter.
Defender för molnet tillhandahåller genomsökning av hemligheter för virtuella datorer och för molndistributioner för att minska risken för lateral förflyttning.
- Virtuella datorer (VM): Agentlösa hemligheter genomsöker på virtuella datorer med flera moln.
- Molndistributioner: Agentlösa hemligheter genomsöker distributionsresurser för infrastruktur som kod i flera moln.
- Azure DevOps: Genomsökning för att identifiera exponerade hemligheter i Azure DevOps.
Förutsättningar
Nödvändiga roller och behörigheter:
Säkerhetsläsare
Säkerhetsadministratör
Läsare
Deltagare
- Ägare
Distribuera genomsökning av hemligheter
Genomsökning av hemligheter tillhandahålls som en funktion i Defender för molnet planer:
VM-genomsökning: Tillhandahålls med Defender för molnet CSPM-plan (Security Posture Management) eller med Defender for Servers Plan 2.
Genomsökning av molndistributionsresurser: Tillhandahålls med Defender CSPM.
Genomsökning av kodlagringsplats: Tillhandahålls med Defender CSPM och Avancerad säkerhet för GitHub och Azure DevOps.
Granska hemligheter
Du kan granska och undersöka säkerhetsresultaten för hemligheter på ett par olika sätt:
- Granska tillgångsinventeringen. På sidan Inventering kan du få en översikt över dina hemligheter.
- Granska rekommendationerna om hemligheter: På sidan Defender för molnet rekommendationer kan du granska och åtgärda rekommendationer för hemligheter. Läs mer om Undersöka rekommendationer och aviseringar.
- Undersöka säkerhetsinsikter: Du kan använda Cloud Security Explorer för att fråga molnsäkerhetsdiagrammet. Du kan skapa egna frågor eller använda fördefinierade frågemallar.
- Använd attackvägar: Du kan använda attackvägar för att undersöka och åtgärda kritiska hemligheter. Läs mer.
Identifieringsstöd
Defender för molnet stöder identifiering av de typer av hemligheter som sammanfattas i tabellen.
Typ av hemligheter | Identifiering av VM-hemligheter | Identifiering av molndistributionshemligheter | Granska plats |
---|---|---|---|
Osäkra privata SSH-nycklar Stöder RSA-algoritm för PuTTy-filer. PKCS#8- och PKCS#1-standarder OpenSSH-standard |
Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Azure SQL-anslutningssträng i klartext stöder SQL PAAS. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Plaintext Azure database for PostgreSQL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Plaintext Azure database for MySQL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Plaintext Azure database for MariaDB. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Plaintext Azure Cosmos DB, inklusive PostgreSQL, MySQL och MariaDB. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Plaintext AWS RDS anslutningssträng stöder SQL PAAS: Plaintext Amazon Aurora med Postgres och MySQL smaker. Plaintext Amazon custom RDS med Oracle- och SQL Server-smaker. |
Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Azure Storage-anslutningssträng i klartext | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Azure Storage-anslutningssträng i klartext. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
SAS-token för Azure Storage-konto i klartext. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Oformaterade AWS-åtkomstnycklar. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Klartext AWS S3 försignerad URL. | Ja | Ja | Inventering, molnsäkerhetsutforskaren, rekommendationer, attackvägar |
Klartext Google Storage signerad URL. | Ja | Ja | Inventering, Cloud Security Explorer. |
Azure AD-klienthemlighet i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Enkeltext Azure DevOps Personlig åtkomsttoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
GitHub Personlig åtkomsttoken i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Åtkomstnyckel för Azure App Configuration i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Azure Cognitive Service Key i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Autentiseringsuppgifter för Azure AD-användare i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Åtkomstnyckel för Azure Container Registry i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Distributionslösenord för Azure App Service i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Enkeltext azure databricks personlig åtkomsttoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
Azure SignalR-åtkomstnyckel i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Prenumerationsnyckel för Azure API Management i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Hemlig nyckel för Azure Bot Framework i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Api-nyckel för Azure Machine Learning-webbtjänsten i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Åtkomstnyckel för Azure Communication Services i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Åtkomstnyckel för Azure Event Grid i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Åtkomstnyckel för Amazon Marketplace Web Service (MWS) i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Prenumerationsnyckel för Azure Maps i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Enkeltext Azure Web PubSub-åtkomstnyckel. | Ja | Ja | Inventering, Cloud Security Explorer. |
OpenAI API-nyckel i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Azure Batch-nyckel för delad åtkomst i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
Oformaterad NPM-redigeringstoken. | Ja | Ja | Inventering, Cloud Security Explorer. |
Certifikat för azure-prenumerationshantering i klartext. | Ja | Ja | Inventering, Cloud Security Explorer. |
GCP API-nyckel i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Klartext AWS Redshift-autentiseringsuppgifter. | Nej | Ja | Inventering, Cloud Security Explorer. |
Privat nyckel i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
ODBC-anslutningssträng i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Allmänt lösenord i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Inloggningsuppgifter för klartextanvändare. | Nej | Ja | Inventering, Cloud Security Explorer. |
Plaintext Travis personliga token. | Nej | Ja | Inventering, Cloud Security Explorer. |
Slack-åtkomsttoken i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Oformaterad ASP.NET datornyckel. | Nej | Ja | Inventering, Cloud Security Explorer. |
Http-auktoriseringshuvud i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Lösenord för Azure Redis Cache i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Azure IoT-nyckel för delad åtkomst i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Azure DevOps-apphemlighet i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Api-nyckel för Azure-funktion i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Azure-nyckel för delad åtkomst i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Signatur för delad åtkomst i Azure Logic App i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Azure Active Directory-åtkomsttoken i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |
Signatur för delad åtkomst i Azure Service Bus i klartext. | Nej | Ja | Inventering, Cloud Security Explorer. |