Microsoft Defender for Cloudは、サポートされているシークレットの検出のために、マシンとクラウドのデプロイをスキャンし、横移動のリスクを軽減することができます。
この記事は、マシンのシークレット スキャン結果を特定して修復するのに役立ちます。
注
このページでは、Defender for Cloudの従来の推奨事項ビューについて説明します。 Depender ポータルの最新のエクスペリエンスについては、「セキュリティに 関する推奨事項の確認」を参照してください。
- マシン シークレットの推奨事項を使用して、結果を確認および修復できます。
Defender for Cloud インベントリ内の特定のコンピューターで検出されたシークレット - クラウド セキュリティ エクスプローラーのクエリとマシン シークレットの攻撃パスを使用して、マシン シークレットの結果をドリルダウンします
- 一部のメソッドは、すべてのシークレットではサポートされません。 さまざまな種類のシークレットに対してサポートされている方法を確認してください。
シークレットに優先順位を付け、すぐに注意が必要なシークレットを特定できるようにすることが重要です。 これを行うために、Defender for Cloudには次の機能があります。
- ファイルの最終アクセス時刻、トークンの有効期限、シークレットがアクセスを付与するターゲット リソースが存在するかどうかを示す情報など、すべてのシークレットに豊富なメタデータを提供します。
- シークレット メタデータとクラウド アセット コンテキストの組み合わせ。 これにより、インターネットに公開されている資産や、他の機密性の高い資産を危険にさらす可能性のあるシークレットを含む資産に最初に取り組むことができます。 シークレット スキャンの結果は、リスクベースの推奨事項の優先順位付けに組み込まれます。
- よく見られるシークレットや、シークレットを含むアセットを特定するのに役立つ複数のビューを提供します。
前提条件
- Azure アカウント。 Azureアカウントをまだお持ちでない場合は、今すぐAzure無料アカウントを作成できます。
- Defender for Cloudは、Azure サブスクリプションで使用できる必要があります。
- 次のプランのうち 1 つ以上を 有効にする必要があります。
- エージェントレス マシンのスキャンは有効でなければなりません。
推奨事項を使用してシークレットを修復する
Azure ポータルにサインインします。
Microsoft Defender for Cloud>Recommendations に移動します。
[脆弱性の修復] セキュリティ コントロールを展開します。
次のうち該当する推奨事項を 1 つ選択します。
Azure リソース:
Machines should have secrets findings resolvedAWS リソース:
EC2 instances should have secrets findings resolvedGCP リソース:
VM instances should have secrets findings resolved![[脆弱性の修復] セキュリティ コントロールで、いずれかを選択した結果を示すスクリーンショット。](media/secret-scanning/recommendation-findings.png)
[影響を受けるリソース] を展開して、シークレットを含むリソースすべての一覧を確認します。
[結果] セクションで、シークレットを選択して、シークレットに関する詳細情報を表示します。
![[結果] セクションでシークレットを選択すると表示される、シークレットの詳細情報を示すスクリーンショット。](media/secret-scanning/select-findings.png)
[修復手順] を展開し、表示される手順に従います。
[影響を受けるリソース] を展開して、このシークレットの影響を受けるリソースを確認します。
(省略可能) 影響を受けるリソースを選択すると、そのリソースの情報を確認できます。
![[脆弱性の修復] セキュリティ コントロールで、いずれかを選択した結果を示すスクリーンショット。](media/secret-scanning/recommendation-findings.png#lightbox)
![[結果] セクションでシークレットを選択すると表示される、シークレットの詳細情報を示すスクリーンショット。](media/secret-scanning/select-findings.png#lightbox)
既知の攻撃パスを持たないシークレットは、secrets without an identified target resource と呼ばれます。
インベントリ内のマシンのシークレットを修復する
Azure ポータルにサインインします。
Microsoft Defender for Cloud>Inventory に移動します。
関連する VM を選択します。
[シークレット] タブに移動します。
関連するメタデータと共に表示される各プレーンテキスト シークレットを確認します。
シークレットを選択すると、そのシークレットの追加情報が表示されます。
シークレットの種類によって、追加情報のセットが異なります。 たとえば、プレーンテキスト SSH 秘密キーの場合、情報には関連する公開キーが含まれます (秘密キーと、検出した承認されたキーのファイルへのマッピング、または同じ SSH 秘密キー識別子を含む別の仮想マシンへのマッピング)。
攻撃パスのあるシークレットを修復する
Azure ポータルにサインインします。
Microsoft Defender for Cloud>Recommendations>Attack path に移動します。
関連する攻撃パスを選択します。
修復手順に従って、攻撃パスを修復します。
クラウド セキュリティ エクスプローラーを使用してシークレットを修復する
Azure ポータルにサインインします。
Microsoft Defender for Cloud>Cloud セキュリティ エクスプローラーに移動します。
以下のテンプレートの 1 つを選択します。
- 別の VM に対して認証できるプレーンテキスト シークレットを持つ VM - 他の VM または EC2 にアクセスできるプレーンテキスト シークレットを持つすべてのAzure VM、AWS EC2 インスタンス、または GCP VM インスタンスを返します。
- ストレージ アカウントに対して認証できるプレーンテキスト シークレットを持つ VM - ストレージ アカウントにアクセスできるプレーンテキスト シークレットを持つすべてのAzure VM、AWS EC2 インスタンス、または GCP VM インスタンスを返します。
- VM と、SQL データベースに対して認証できるプレーンテキスト シークレット - SQL データベースにアクセスできるプレーンテキスト シークレットを持つすべてのAzure VM、AWS EC2 インスタンス、または GCP VM インスタンスを返します。
使用可能なテンプレートを使用しない場合は、クラウド セキュリティ エクスプローラー内で独自のクエリを作成することもできます。