計算機秘密掃描
適用於雲端的 Microsoft Defender 提供一些案例中的秘密掃描,包括掃描計算機秘密。
計算機秘密掃描是作為 適用於雲端的 Defender 無代理程序掃描功能的其中一個,可改善計算機安全性狀態。 無代理程序掃描不需要任何已安裝的代理程式或網路連線,而且不會影響機器效能。
- 無代理程式電腦秘密掃描可協助您快速偵測、排定優先順序,以及補救環境中公開的純文本秘密。
- 如果偵測到秘密,結果可協助安全性小組排定動作的優先順序,並補救以將橫向移動的風險降到最低。
- 當適用於伺服器的 Defender 方案 2,或啟用 Defender 雲端安全性狀態管理 (CSPM) 方案時,即可掃描電腦是否有 支援的秘密 。
- 計算機秘密掃描可以掃描 Azure VM,以及連線至 適用於雲端的 Defender 的 AWS/GCP 實例。
降低安全性風險
秘密掃描可透過:
- 消除不需要的秘密。
- 套用最低權限原則。
- 使用 Azure Key Vault 等秘密管理系統來加強秘密安全性。
- 使用短期的秘密,例如使用有效期較短的 SAS 權杖來取代 Azure 儲存體連接字串。
計算機秘密掃描的運作方式
掃描 VM 的秘密無需代理程式,而是使用雲端 API。 以下說明其運作方式:
- 掃描的秘密會擷取磁碟快照集並加以分析,而不會影響 VM 效能。
- 在 Microsoft 秘密掃描引擎從磁碟收集秘密中繼資料之後,它會將其傳送至「適用於雲端的 Defender」。
- 該秘密掃描引擎會驗證 SSH 私鑰是否可用於在您的網路中橫向移動。
- 未成功驗證的 SSH 金鑰會在 [適用於雲端的 Defender 建議] 頁面上分類為未驗證。
- 被辨識為包含測試相關內容的目錄會從掃描中排除。
計算機秘密建議
下列電腦密碼安全性建議可供使用:
- Azure 資源:機器應已解決了秘密發現問題
- AWS 資源:EC2 執行個體應已解決了秘密發現問題
- GCP 資源:VM 執行個體應已解決了秘密發現問題
計算機秘密攻擊路徑
下表總結了支援的攻擊路徑。
| VM | 攻擊路徑 |
|---|---|
| Azure | 暴露易受攻擊的 VM 具有不安全的 SSH 私鑰,用於向 VM 進行驗證。 暴露易受攻擊的 VM 具有不安全的秘密,用於向儲存體帳戶進行驗證。 易受攻擊的 VM 具有不安全的秘密,用於向儲存體帳戶進行驗證。 暴露易受攻擊的 VM 具有不安全的秘密,用於向 SQL 伺服器進行驗證。 |
| AWS | 暴露易受攻擊的 EC2 執行個體具有不安全的 SSH 私鑰,用於向 EC2 執行個體進行驗證。 暴露易受攻擊的 EC2 執行個體具有不安全的秘密,用於向儲存體帳戶進行驗證。 暴露易受攻擊的 EC2 執行個體具有不安全的秘密,用於向 AWS RDS 伺服器進行驗證。 易受攻擊的 EC2 執行個體具有不安全的秘密,用於向 AWS RDS 伺服器進行驗證。 |
| GCP | 暴露易受攻擊的 GCP VM 執行個體具有不安全的 SSH 私鑰,用於向 GCP VM 執行個體進行驗證。 |
預先定義的雲端安全性總管查詢
「適用於雲端的 Defender」提供以下這些預先定義的查詢來調查秘密安全性問題:
- 可以向另一個 VM 驗證的純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 執行個體或具有可存取其他 VM 或 EC2 的純文字密碼 GCP VM 執行個體。
- 可以向儲存體帳戶進行驗證的純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 執行個體或具有可存取儲存體帳戶之純文字密碼的 GCP VM 執行個體
- 可以向 SQL 資料庫驗證的純文字密碼的 VM - 傳回所有可存取 SQL 資料庫的純文字密碼、AWS EC2 執行個體或 GCP VM 執行個體。
調查和補救計算機秘密
您可以使用數種方法來調查 適用於雲端的 Defender 中的電腦秘密結果。 並非所有方法都適用於所有秘密。 檢閱不同類型的秘密支援方法 。