Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud bietet geheime Überprüfungen in einer Reihe von Szenarien, einschließlich des Scannens auf computerschlüsselte Schlüssel.
Das Scannen von geheimen Computerschlüsseln ist eine der agentlosen Scanfunktionen Defender for Cloud, die den Sicherheitsstatus des Computers verbessern. Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.
- Das Scannen von geheimen Computerschlüsseln ohne Agenten hilft Ihnen, offengelegte Geheimschlüssel in Ihrer Umgebung schnell zu erkennen, zu priorisieren und zu beheben.
- Wenn geheime Schlüssel erkannt werden, helfen Sicherheitsteams, Aktionen zu priorisieren und zu beheben, um das Risiko der lateralen Bewegung zu minimieren.
- Das Scannen von Computern nach unterstützten Geheimnissen ist verfügbar, wenn Defender für Server Plan 2 oder der Plan „Defender Cloud Security Posture Management (CSPM)“ aktiviert ist.
- Das Scannen von Computerschlüsseln kann Azure VMs und AWS/GCP-Instanzen scannen, die mit Defender for Cloud verbunden sind.
Verringern des Sicherheitsrisikos
Das Scannen von Geheimschlüsseln trägt dazu bei, risiken zu reduzieren, indem:
- Entfernen nicht benötigter Geheimnisse.
- Anwenden des Prinzips der geringsten Rechte.
- Stärkung der Sicherheit von Geheimnissen mithilfe von geheimen Verwaltungssystemen wie Azure Key Vault.
- Verwenden sie kurzlebige Geheimschlüssel, z. B. das Ersetzen von Azure Storage Verbindungszeichenfolgen mit SAS-Token, die kürzere Gültigkeitszeiträume besitzen.
Funktionsweise des Scannens von geheimen Computerschlüsseln
Die Suche nach Geheimnissen für VMs ist agentlos und verwendet Cloud-APIs. So funktioniert es:
- Geheime Überprüfung erfasst Momentaufnahmen von Datenträgern und analysiert sie, ohne dass sich dies auf die Vm-Leistung auswirkt.
- Nachdem das Microsoft Geheime Überprüfungsmodul geheime Metadaten vom Datenträger erfasst hat, sendet es die Daten an Defender for Cloud.
- Die Secrets-Scanning-Engine überprüft, ob SSH-Privatschlüssel für laterale Bewegungen in Ihrem Netzwerk verwendet werden können.
- SSH-Schlüssel, die nicht erfolgreich überprüft wurden, werden auf der Seite Defender for Cloud Empfehlungen als nicht überprüft kategorisiert.
- Verzeichnisse, die testbezogene Inhalte enthalten, werden vom Scannen ausgeschlossen.
Empfehlungen für Computergeheimnisse
Die folgenden Sicherheitsempfehlungen für geheime Computerschlüssel sind verfügbar:
- Azure Ressourcen: Computer sollten geheime Erkenntnisse aufgelöst haben
- AWS-Ressourcen: EC2-Instanzen sollten geheime Erkenntnisse aufgelöst haben
- GCP-Ressourcen: VM-Instanzen sollten geheime Erkenntnisse aufgelöst haben
Angriffspfade für Maschinengeheimnisse
In der Tabelle werden unterstützte Angriffspfade zusammengefasst.
| VM | Angriffspfade |
|---|---|
| Azure | Die öffentlich erreichbare verwundbare VM verfügt über einen unsicheren SSH-Privatschlüssel, der zur Authentifizierung gegenüber einer VM verwendet wird. Die offengelegte anfällige VM enthält unsichere Geheimnisse, die verwendet werden, um sich bei einem Speicherkonto zu authentifizieren. Anfällige VM verfügt über unsichere Geheimschlüssel, die für die Authentifizierung bei einem Speicherkonto verwendet werden. Die verfügbar gemachte anfällige VM verfügt über unsichere Geheimschlüssel, die für die Authentifizierung bei einem SQL-Server verwendet werden. |
| AWS | Die anfällige EC2-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer EC2-Instanz verwendet wird. Die anfällige EC2-Instanz verfügt über einen unsicheren Geheimschlüssel, der für die Authentifizierung bei einem Speicherkonto verwendet wird. Die anfällige EC2-Instanz verfügt über unsichere Geheimschlüssel, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden. Anfällige EC2-Instanz verfügt über unsichere Geheimschlüssel, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden. |
| GCP | Die anfällige GCP-VM-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer GCP-VM-Instanz verwendet wird. |
Vordefinierte Cloudsicherheits-Explorer-Abfragen
Defender for Cloud stellt diese vordefinierten Abfragen zum Untersuchen geheimer Sicherheitsprobleme bereit:
- VM mit Nur-Text-Schlüssel, der sich bei einer anderen VM authentifizieren kann – gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Nur-Text-Schlüssel zurück, die auf andere VMs oder EC2s zugreifen können.
- VM mit Nur-Text-Schlüssel, der sich bei einem Speicherkonto authentifizieren kann – Gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Nur-Text-Schlüssel zurück, die auf Speicherkonten zugreifen können
- VM mit Nur-Text-Schlüssel, der sich bei einer SQL-Datenbank authentifizieren kann – Gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Nur-Text-Schlüssel zurück, die auf SQL-Datenbanken zugreifen können.
Untersuchen und Beheben von Maschinengeheimnissen
Sie können Erkenntnisse zu Computergeheimnissen in Defender for Cloud mit mehreren Methoden untersuchen. Nicht alle Methoden sind für alle Geheimnisse verfügbar. Überprüfen Sie unterstützte Methoden für verschiedene Arten von geheimen Schlüsseln.