Corrección de secretos de máquina

Microsoft Defender for Cloud puede analizar máquinas e implementaciones en la nube en busca de secretos admitidos, para reducir el riesgo de desplazamiento lateral.

Este artículo le ayuda a identificar y corregir los resultados del análisis de secretos de máquina.

• Puede revisar y corregir los resultados mediante recomendaciones de secretos de máquina.
• Ver secretos detectados en una máquina específica en el inventario de Defender for Cloud
• Investiga en profundidad los hallazgos de secretos de máquina mediante consultas de Cloud Security Explorer y caminos de ataque de secretos de máquina
• No todos los métodos son compatibles con todos los secretos. Revise los métodos admitidos para los distintos tipos de secretos.

Es importante poder priorizar los secretos e identificar cuáles necesitan atención inmediata. Para ayudarle a hacerlo, Defender for Cloud proporciona:

• Proporcionar metadatos enriquecidos para cada secreto, como la hora de último acceso para un archivo, la fecha de expiración de un token, una indicación de si el recurso de destino al que los secretos proporcionan acceso existe, etc.
• Combinar metadatos de secretos con el contexto de activos en la nube. Esto le ayuda a empezar con los recursos que se exponen a Internet o contienen secretos que podrían poner en peligro otros recursos confidenciales. Los hallazgos del examen de secretos se incorporan a la priorización de recomendaciones basadas en riesgos.
• Proporcionar varias vistas para ayudarle a identificar los secretos más comunes o los recursos que contienen secretos.

Requisitos previos

• Una cuenta de Azure. Si aún no tiene una cuenta de Azure, puede crear su cuenta gratuita de Azure hoy.
• Defender for Cloud debe estar disponible en la suscripción de Azure.
• Al menos uno de estos planes debe estar habilitado:
  • Defender for Servers Plan 2
  • Defender CSPM
• El escaneo de máquinas sin agente debe estar habilitado.

Corrección de secretos con recomendaciones

1. Inicie sesión en el portal Azure.

2. Vaya a Microsoft Defender for Cloud>Recommendations.

3. Ampliar el control de seguridad Remediar vulnerabilidades.

4. Seleccione una de las recomendaciones pertinentes:

   • Azure resources: Machines should have secrets findings resolved

   • Recursos de AWS: EC2 instances should have secrets findings resolved

   • Recursos de GCP: VM instances should have secrets findings resolved

     

5. Expanda Recursos afectados para revisar la lista de todos los recursos que contienen secretos.

6. En la sección Resultados, seleccione un secreto para ver información detallada sobre el secreto.

   

7. Expanda Pasos de corrección y siga los pasos indicados.

8. Expanda Recursos afectados para revisar los recursos afectados por este secreto.

9. (Opcional) Puede seleccionar un recurso afectado para ver la información del recurso.

Los secretos que no tienen una ruta de acceso de ataque conocida se conocen como secrets without an identified target resource.

Corrección de secretos de una máquina en el inventario

1. Inicie sesión en el portal Azure.

2. Vaya a Microsoft Defender for Cloud>Inventory.

3. Seleccione la máquina virtual correspondiente.

4. Vaya a la pestaña Secretos.

5. Revise cada secreto de texto no cifrado que aparezca con los metadatos pertinentes.

6. Seleccione un secreto para ver detalles adicionales de ese secreto.

   Los distintos tipos de secretos tienen diferentes conjuntos de información adicional. Por ejemplo, para las claves privadas SSH de texto no cifrado, la información incluye claves públicas relacionadas (la asignación entre la clave privada al archivo de claves autorizadas que hemos detectado o la asignación a una máquina virtual diferente que contiene el mismo identificador de clave privada SSH).

Corrección de secretos con rutas de acceso de ataque

1. Inicie sesión en el portal Azure.

2. Vaya a Microsoft Defender for Cloud>Recomendaciones>Ruta de ataque.

   

3. Seleccione la ruta de ataque pertinente.

4. Siga los pasos de remediación para remediar la ruta de ataque.

Corrección de secretos con el Explorador de seguridad en la nube

1. Inicie sesión en el portal Azure.

2. Vaya a Microsoft Defender for Cloud>Cloud Security Explorer.

3. Seleccione una de las siguientes plantillas:

   • VM con secreto de texto no cifrado que se puede autenticar en otra máquina virtual: devuelve todas las máquinas virtuales Azure, las instancias de AWS EC2 o las instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a otras máquinas virtuales o EC2.
   • VM con secreto de texto no cifrado que se puede autenticar en una cuenta de almacenamiento: devuelve todas las máquinas virtuales Azure, las instancias de AWS EC2 o las instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a las cuentas de almacenamiento.
   • VM con secreto de texto no cifrado que se puede autenticar en una base de datos SQL: devuelve todas las máquinas virtuales de Azure, instancias de AWS EC2 o instancias de máquina virtual de GCP con secreto de texto no cifrado que puede acceder a bases de datos SQL.

Si no quiere usar ninguna de las plantillas disponibles, también puedecrear su propia consulta en el Explorador de seguridad en la nube.