Analisi dei segreti dei computer

Microsoft Defender per il cloud fornisce l'analisi dei segreti in diversi scenari, inclusa l'analisi dei segreti del computer.

L'analisi dei segreti dei computer è una delle funzionalità di analisi senza agente di Defender per il cloud che migliorano il comportamento di sicurezza del computer. L'analisi senza agente non richiede agenti installati o connettività di rete e non influisce sulle prestazioni del computer.

  • L'analisi dei segreti del computer senza agente consente di rilevare, classificare in ordine di priorità e correggere rapidamente i segreti in testo non crittografato esposti nell'ambiente in uso.
  • Se vengono rilevati segreti, i risultati aiutano i team di sicurezza a classificare in ordine di priorità le azioni e correggere per ridurre al minimo il rischio di spostamento laterale.
  • La scansione dei computer alla ricerca di segreti supportati è disponibile quando è abilitato Defender per server, piano 2, oppure il piano Defender Cloud Security Posture Management (CSPM).
  • La scansione dei segreti delle macchine può analizzare le VM di Azure e le istanze AWS/GCP connesse a Defender per il cloud.

Riduzione del rischio di sicurezza

L'analisi dei segreti consente di ridurre i rischi in base a:

  • Eliminazione dei segreti non necessari.
  • Applicazione del principio dei privilegi minimi.
  • Rafforzare la sicurezza dei segreti usando sistemi di gestione dei segreti, ad esempio Azure Key Vault.
  • Utilizzare segreti di breve durata, ad esempio sostituendo le stringhe di connessione di Archiviazione di Azure con token SAS con periodi di validità più brevi.

Come funziona la scansione dei segreti nelle macchine

L'analisi dei segreti per le macchine virtuali è senza agente e usa le API cloud. Ecco come funziona:

  1. L'analisi dei segreti acquisisce gli snapshot del disco e li analizza, senza alcun impatto sulle prestazioni delle macchine virtuali.
  2. Dopo che il motore di analisi dei segreti Microsoft raccoglie i metadati dei segreti dal disco, invia i dati a Defender per il cloud.
  3. Il motore di analisi dei segreti verifica se le chiavi private SSH possono essere usate per spostarsi in un secondo momento nella rete.
    • Le chiavi SSH non verificate correttamente vengono classificate come non verificate nella pagina Raccomandazioni Defender per il cloud.
    • Le directory contenenti contenuto correlato al test vengono escluse dall'analisi.

Consigli sui segreti del computer

Sono disponibili le raccomandazioni seguenti sulla sicurezza dei segreti del computer:

  • Risorse di Azure: le macchine devono avere risolto i risultati relativi ai segreti
  • Risorse AWS: le istanze EC2 devono avere le segnalazioni relative ai segreti risolte
  • Risorse GCP: le istanze VM devono avere risolti i rilevamenti relativi ai secret

Percorsi di attacco ai segreti delle macchine

La tabella riepiloga i percorsi di attacco supportati.

VM Percorsi di attacco
Azure La macchina virtuale vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in una macchina virtuale.
La macchina virtuale vulnerabile esposta ha segreti non sicuri usati per l'autenticazione in un account di archiviazione.
La macchina virtuale vulnerabile ha segreti non sicuri usati per l'autenticazione in un account di archiviazione.
La macchina virtuale vulnerabile esposta include segreti non sicuri usati per l'autenticazione in un server SQL.
AWS L'istanza EC2 vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in un'istanza EC2.
L'istanza di EC2 vulnerabile esposta ha un segreto non sicuro usato per l'autenticazione in un account di archiviazione.
L'istanza EC2 vulnerabile esposta include segreti non sicuri usati per l'autenticazione in un server AWS RDS.
L'istanza EC2 vulnerabile include segreti non sicuri usati per l'autenticazione in un server AWS RDS.
GCP L'istanza di macchina virtuale GCP vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in un'istanza di macchina virtuale GCP.

Query predefinite di Cloud Security Explorer

Defender per il cloud fornisce queste query predefinite per l'analisi dei problemi di sicurezza dei segreti:

  • VM con segreto in chiaro che può autenticarsi a un'altra VM - Restituisce tutte le VM di Azure, le istanze EC2 di AWS o le istanze VM di GCP dotate di un segreto in chiaro che possono accedere ad altre VM o istanze EC2.
  • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un account di archiviazione: restituisce tutte le macchine virtuali Azure, le istanze DI AWS EC2 o le istanze di VM GCP con segreto di testo non crittografato in grado di accedere agli account di archiviazione
  • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un database SQL: restituisce tutte le macchine virtuali Azure, le istanze DI AWS EC2 o le istanze di VM GCP con segreto di testo non crittografato che può accedere ai database SQL.

Analisi e correzione dei segreti del computer

È possibile esaminare i risultati relativi ai segreti delle macchine in Defender per il cloud con diversi metodi. Non tutti i metodi sono disponibili per tutti i segreti. Esaminare i metodi supportati per diversi tipi di segreti.

Analizzare e correggere i segreti del computer.