Corrigir os segredos da máquina

O Microsoft Defender para Nuvem pode escanear máquinas e implantações na nuvem para encontrar segredos suportados, para reduzir o risco de movimento lateral.

Esse artigo ajuda você a identificar e corrigir descobertas de verificação de segredos de máquina.

• Você pode revisar e corrigir descobertas usando recomendações de segurança para segredos de máquinas.
• Exibir segredos descobertos em um computador específico no inventário Defender para Nuvem
• Analise detalhadamente as descobertas de segredos de máquina usando consultas do Cloud Security Explorer e caminhos de ataque de segredos de máquina
• Nem todos os métodos são compatíveis com cada segredo. Revise os métodos suportados para diferentes tipos de segredos.

É importante poder priorizar segredos e identificar quais deles precisam de atenção imediata. Para ajudá-lo a fazer isso, Defender para Nuvem fornece:

• Fornece metadados avançados para cada segredo, como a hora do último acesso de um arquivo, uma data de expiração do token, uma indicação se o recurso de destino ao qual os segredos fornecem acesso existe e muito mais.
• Combina metadados de segredos com o contexto de ativos de nuvem. Isso ajuda você a começar com ativos expostos à Internet ou a conter segredos que possam comprometer outros ativos confidenciais. As descobertas do escaneamento de segredos são incorporadas à priorização de recomendações baseadas em risco.
• Fornece várias exibições para ajudar na identificação dos segredos mais comumente encontrados ou ativos que contêm segredos.

Pré-requisitos

• Uma conta Azure. Se você ainda não tiver uma conta Azure, poderá criar sua conta gratuita Azure hoje.
• Defender para Nuvem deve estar disponível em sua assinatura Azure.
• Pelo menos um desses planos deve estar habilitado:
  • Defender para Servidores Plano 2
  • GPSN do Defender
• A verificação de computador sem agente deve estar habilitada.

Corrigir segredos com recomendações

1. Entre no portal Azure.

2. Navegue até Microsoft Defender para Nuvem>Recommendations.

3. Expanda o controle de segurança Corrigir vulnerabilidades.

4. Selecione uma das recomendações relevantes:

   • Recursos do Azure: Machines should have secrets findings resolved

   • Recursos da AWS: EC2 instances should have secrets findings resolved

   • Recursos da GCP: VM instances should have secrets findings resolved

     

5. Expanda Recursos afetados para examinar a lista de todos os recursos que contêm segredos.

6. Na seção Descobertas, selecione um segredo para exibir informações detalhadas sobre o segredo.

   

7. Expanda Etapas de correção e siga as etapas listadas.

8. Expanda Recursos afetados para examinar os recursos afetados por esse segredo.

9. (Opcional) Você pode selecionar um recurso afetado para ver suas informações.

Os segredos que não têm um caminho de ataque conhecido são chamados de secrets without an identified target resource.

Corrija os segredos de uma máquina no inventário

1. Entre no portal Azure.

2. Navegue até Microsoft Defender para Nuvem>Inventory.

3. Selecione a VM relevante.

4. Vá para a aba Segredos.

5. Examine cada segredo de texto não criptografado que aparece com os metadados relevantes.

6. Selecione um segredo para exibir seus detalhes adicionais.

   Diferentes tipos de segredos têm diferentes conjuntos de informações adicionais. Por exemplo, para chaves privadas SSH de texto não criptografado, as informações incluem chaves públicas relacionadas (mapeamento entre a chave privada e o arquivo de chaves autorizadas que descobrimos ou mapeamento para uma máquina virtual diferente que contém o mesmo identificador de chave privada SSH).

Corrigir segredos com o caminho do ataque

1. Entre no portal Azure.

2. Navegue até Microsoft Defender para Nuvem>Recomendações>Caminho de ataque.

   

3. Selecione o caminho de ataque relevante.

4. Siga as etapas de correção para corrigir o caminho de ataque.

Corrigir segredos com o Cloud Security Explorer

1. Entre no portal Azure.

2. Navegue até Microsoft Defender para Nuvem>Cloud Security Explorer.

3. Selecione um dos seguintes modelos:

   • Máquina virtual com segredo em texto simples que pode autenticar em outra máquina virtual - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo em texto simples que podem acessar outras VMs ou instâncias do EC2.
   • VM com segredo em texto não criptografado que pode acessar uma conta de armazenamento - retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo em texto não criptografado que podem acessar contas de armazenamento.
   • Máquina virtual com segredo em texto simples que pode autenticar em um banco de dados SQL - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo em texto simples que podem acessar bancos de dados SQL.

Se não quiser usar nenhum dos modelos disponíveis, também poderá criar sua própria consulta no Cloud Security Explorer.