Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Microsoft Defender for Cloud können Sicherheitsteams das Risiko minimieren, dass Angreifer Sicherheitsgeheimnisse ausnutzen.
Nach dem ersten Zugriff versuchen Angreifer, sich lateral über Netzwerke zu bewegen und auf Ressourcen zuzugreifen, um Sicherheitsrisiken auszunutzen und kritische Informationssysteme zu beschädigen. Laterale Bewegungen umfassen häufig Bedrohungen von Anmeldeinformationen, die in der Regel vertrauliche Daten ausnutzen, wie verfügbare Anmeldeinformationen und Geheimnisse wie Kennwörter, Schlüssel, Tokens und Verbindungszeichenfolgen. So wird versucht, Zugriff auf weitere Ressourcen zu erhalten.
Geheimnisse befinden sich häufig in Bereitstellungen auf mehreren Clouds in Dateien, auf VM-Datenträgern oder in Containern. Die Offenlegung von Geheimnissen kann verschiedene Ursachen haben:
- Fehlendes Bewusstsein: Organisationen sind sich möglicherweise nicht über die Risiken und Folgen offengelegter Geheimnisse im Klaren.
- Fehlende Richtlinien: Möglicherweise gibt es keine klare Unternehmensrichtlinie für den Umgang mit und den Schutz von Geheimnissen in Code- und Konfigurationsdateien.
- Fehlende Ermittlungstools: Es sind möglicherweise keine Tools vorhanden, um Geheimnislecks zu erkennen und zu beheben.
- Komplexität und Geschwindigkeit: Komplexe Umgebungen, die mehrere Cloudplattformen, Open-Source-Software und Drittanbietercode enthalten können. Entwickler verwenden möglicherweise Geheimnisse, um auf Ressourcen und Dienste zuzugreifen und sie zu integrieren, und sie speichern Geheimnisse der Einfachheit halber sowie zur Wiederverwendung in Quellcoderepositorys. Dies kann zur ungewollten Offenlegung von Geheimnissen in öffentlichen oder privaten Repositorys oder bei der Datenübertragung oder -verarbeitung führen.
- Abwägung zwischen Sicherheit und Benutzerfreundlichkeit: Organisationen nutzen möglicherweise der Einfachheit halber in Cloudumgebungen verfügbar gemachte Geheimnisse, um Komplexität und Wartezeiten bei der Ver- und Entschlüsselung ruhender und übertragener Daten zu vermeiden. Dies kann die Sicherheit und den Datenschutz von Daten und Anmeldeinformationen gefährden.
Scannertypen und Scanpläne
Defender for Cloud bietet verschiedene Arten der Überprüfung von Secrets.
| Scan-Typ | Details | Unterstützung bei der Planung |
|---|---|---|
| Computerüberprüfung | Agentenloses Secrets-Scanning bei Multicloud-VMs. | Plan „Defender for Cloud Security Posture Management“ (CSPM) oder „Defender for Servers Plan 2“. |
| Ressourcenüberprüfung für Cloudbereitstellungen | Agentenloses Scannen nach geheimen Informationen in Infrastructure-as-Code-Bereitstellungsressourcen über mehrere Clouds hinweg. | Defender CSPM-Plan. |
| Überprüfung von Code-Repositories | Überprüfung auf offengelegte Geheimnisse in Azure DevOps. | Defender CSPM-Plan. |
Berechtigungen für Scannen
Für die Geheimnisüberprüfung sind die folgenden Berechtigungen erforderlich:
Sicherheitsleseberechtigter
Sicherheitsadministrator
Leser
Mitwirkender
- Besitzer
Überprüfung von Geheimnisfunden
Es gibt mehrere Methoden, mit denen Probleme bei Geheimnissen identifiziert und abgemildert werden können. Nicht jede Methode wird für jedes Geheimnis unterstützt.
- Überprüfen von Secrets im Bestand: Der Bestand zeigt den Sicherheitsstatus der mit Defender for Cloud verbundenen Ressourcen an. Über das Inventar können Sie die entdeckten Geheimnisse auf einer bestimmten Maschine anzeigen.
- Empfehlungen zur Überprüfung von Secrets: Wenn Secrets auf Assets gefunden werden, wird eine Empfehlung unter der Sicherheitskontrolle Remediate vulnerabilities auf der Seite Defender for Cloud Recommendations ausgelöst. Empfehlungen werden wie folgt ausgelöst:
- Überprüfen Sie Secrets mit dem Cloud-Sicherheits-Explorer. Verwenden Sie den Cloudsicherheits-Explorer, um den Cloudsicherheitsgraphen auf Erkenntnisse zu Geheimnissen abzufragen. Sie können eigene Abfragen erstellen oder eine der integrierten Vorlagen verwenden, um VM-Geheimnisse in Ihrer Umgebung abzufragen.
- Überprüfen von Angriffspfaden: Die Angriffspfadanalyse überprüft den Cloudsicherheitsgraphen, um Pfade aufzudecken, die von Angreifern verwendet werden können, um in Ihre Umgebung einzudringen und zu wichtigen Ressourcen zu gelangen. Die Überprüfung auf VM-Geheimnisse unterstützt eine Reihe von Angriffspfadszenarien.
Secrets-Unterstützung
Defender for Cloud unterstützt die Ermittlung der Arten von Geheimnissen, die in der Tabelle zusammengefasst sind. Die Spalte Überprüfen mit gibt die Methoden an, die Sie zur Untersuchung und Korrektur von Secrets-Empfehlungen verwenden können.
| Geheimnistyp | Ermittlung von VM-Geheimnissen | Ermittlung von Cloudbereitstellungsgeheimnissen | Überprüfung mittels |
|---|---|---|---|
| Unsichere private SSH-Schlüssel Unterstützt RSA-Algorithmus für PuTTy-Dateien. PKCS#8- und PKCS#1-Standards OpenSSH-Standard |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure SQL-Verbindungszeichenfolgen in Klartext unterstützen SQL-PaaS. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for PostgreSQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MySQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MariaDB im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Cosmos DB im Klartext, einschließlich PostgreSQL, MySQL und MariaDB. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS RDS-Verbindungszeichenfolge in Klartext unterstützt SQL-PaaS: Amazon Aurora im Klartext, inklusive Postgres und MySQL. Amazon: benutzerdefiniertes RDS im Klartext, inklusive Oracle- und SQL Server. |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Klartext-Verbindungszeichenfolgen des Azure-Speicherkontos | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Verbindungszeichenfolgen für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| SAS-Token für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Vorab signierte URL für AWS S3 in Klartext | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Signierte Google-Speicher-URL im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Klartext Microsoft Entra ID-Clientgeheimnis. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Persönliche Zugriffstoken für Azure DevOps im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Persönliche GitHub-Zugriffstoken im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Azure App Configuration-Zugriffsschlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Azure Cognitive Services-Schlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Klartext Microsoft Entra Benutzeranmeldeinformationen. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Zugriffsschlüssel für Azure Container Registry im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Bereitstellungskennwörter für Azure App Service im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Persönliche Zugriffstoken für Azure Databricks im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Azure SignalR-Zugriffsschlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Azure API Management-Abonnementschlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Geheime Azure Bot Framework-Schlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| API-Schlüssel für den Azure Machine Learning-Webdienst im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Azure Communication Services-Zugriffsschlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Azure Event Grid-Zugriffsschlüssel in Klartext | Ja | Ja | Bestandsübersicht, Cloud-Sicherheits-Explorer |
| Zugriffsschlüssel für Amazon Marketplace Web Service (MWS) im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Azure Maps-Abonnementschlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Azure Web PubSub-Zugriffsschlüssel im Klartext. | Ja | Ja | Inventar, Cloudsicherheits-Explorer |
| OpenAI-API-Schlüssel im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Shared Access-Schlüssel für Azure Batch im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| NPM-Autorentoken im Klartext. | Ja | Ja | Bestandsverzeichnis, Cloud-Sicherheits-Explorer |
| Verwaltungszertifikate für Azure-Abonnements im Klartext. | Ja | Ja | Inventar, Cloud-Sicherheitsexplorer |
| GCP-API-Schlüssel in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| AWS Redshift-Anmeldeinformationen in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Privater Schlüssel in Klartext | Nein | Ja | Bestandsverzeichnis, Cloud-Sicherheitsüberwachung |
| ODBC-Verbindungszeichenfolge in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Allgemeines Kennwort in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Benutzeranmeldeinformationen in Klartext | Nein | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Persönliches Travis-Token in Klartext | Nein | Ja | Inventar, Cloudsicherheits-Explorer |
| Slack-Zugriffstoken in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| ASP.NET-Computerschlüssel in Klartext | Nein | Ja | Bestandsverwaltung, Cloud Security Explorer |
| HTTP-Autorisierungsheader in Klartext | Nein | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Azure Redis Cache-Kennwort in Klartext | Nein | Ja | Inventar, Cloudsicherheits-Explorer |
| Azure IoT Shared Access Key im Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| App-Geheimnis für Azure DevOps in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Schlüssel für Azure-Funktions-API in Klartext | Nein | Ja | Inventar, Cloud-Sicherheitsexplorer |
| Azure-Freigegebener Zugriffsschlüssel im Klartext | Nein | Ja | Inventar, Cloudsicherheits-Explorer |
| Shared Access Signature für Azure-Logik-App in Klartext | Nein | Ja | Bestandsübersicht, Cloud-Sicherheits-Explorer |
| Zugriffstoken für Azure Active Directory in Klartext | Nein | Ja | Inventar, Cloud-Sicherheits-Explorer |
| Shared Access Signature für Azure Service Bus in Klartext | Nein | Ja | Bestandsverwaltung, Cloudsicherheitsexplorer |