Corrigir credenciais da máquina

Microsoft Defender para a Cloud pode verificar máquinas e implementações na cloud em busca de segredos suportados, para reduzir o risco de movimento lateral.

Este artigo ajuda-o a identificar e corrigir as conclusões da varredura de segredos de máquinas.

• Você pode revisar e corrigir descobertas usando recomendações de segredos de máquina.
• Ver segredos descobertos numa máquina específica no inventário Defender para a Cloud
• Analise detalhadamente as descobertas de segredos de máquina usando consultas do explorador de segurança na nuvem e caminhos de ataque de segredos de máquina
• Nem todos os métodos são suportados para todos os segredos. Analise os métodos suportados para diferentes tipos de segredos.

É importante ser capaz de priorizar segredos e identificar quais precisam de atenção imediata. Para o ajudar a fazer isto, o Defender para a Cloud oferece:

• Fornecer metadados avançados para cada segredo, como a hora do último acesso para um arquivo, uma data de expiração do token, uma indicação se o recurso de destino ao qual os segredos fornecem acesso existe e muito mais.
• Combinação de metadados secretos com contexto de ativos na nuvem. Isso ajuda você a começar com ativos que estão expostos à Internet ou contêm segredos que podem comprometer outros ativos confidenciais. Os resultados da varredura de segredos são incorporados à priorização de recomendações com base no risco.
• Fornecer várias visualizações para ajudá-lo a identificar os segredos mais comumente encontrados ou ativos que contêm segredos.

Pré-requisitos

• Uma conta no Azure. Se ainda não tem uma conta Azure, pode criar a sua conta gratuita Azure hoje mesmo.
• Defender para a Cloud deve estar disponível na sua subscrição Azure.
• Pelo menos um destes planos deve ser habilitado:
  • Plano 2 do Defender para Servidores
  • GPSC do Defender
• A verificação de máquinas sem agente deve ser habilitada.

Corrigir segredos com recomendações

1. Inicie sessão no portal Azure.

2. Navegue até Microsoft Defender para a Cloud>Recomendações.

3. Expanda o controlo de segurança Remediação de Vulnerabilidades.

4. Selecione uma das recomendações relevantes:

   • Recursos do Azure: Machines should have secrets findings resolved

   • Recursos da AWS: EC2 instances should have secrets findings resolved

   • Recursos do GCP: VM instances should have secrets findings resolved

     

5. Expanda Recursos afetados para revisar a lista de todos os recursos que contêm segredos.

6. Na seção Descobertas, selecione um segredo para exibir informações detalhadas sobre o segredo.

   

7. Expanda as etapas de correção e siga as etapas listadas.

8. Expanda Recursos afetados para revisar os recursos afetados por esse segredo.

9. (Opcional) Você pode selecionar um recurso afetado para ver as informações do recurso.

Os segredos que não têm um caminho de ataque conhecido são referidos como secrets without an identified target resource.

Remediar segredos para uma máquina no inventário

1. Inicie sessão no portal Azure.

2. Navegue até Microsoft Defender para a Cloud>Inventário.

3. Selecione a VM relevante.

4. Vá para a Guia Segredos.

5. Revise cada segredo em texto simples que aparece com os metadados relevantes.

6. Selecione um segredo para ver detalhes adicionais desse segredo.

   Diferentes tipos de segredos têm diferentes conjuntos de informações adicionais. Por exemplo, para chaves privadas SSH de texto simples, as informações incluem chaves públicas relacionadas (mapeamento entre a chave privada para o arquivo de chaves autorizadas que descobrimos ou mapeamento para uma máquina virtual diferente que contém o mesmo identificador de chave privada SSH).

Remediar segredos com caminhos de ataque

1. Inicie sessão no portal Azure.

2. Navegue até Microsoft Defender para a Cloud>Recomendações>Caminho de ataque.

   

3. Selecione o caminho de ataque relevante.

4. Siga as etapas de correção para corrigir o caminho de ataque.

Corrija segredos com o explorador de segurança na nuvem

1. Inicie sessão no portal Azure.

2. Navegue até Microsoft Defender para a Cloud>Cloud Security Explorer.

3. Selecione um dos seguintes modelos:

   • com segredo de texto simples que pode autenticar noutra VM - Devolve todas as VMs Azure, instâncias AWS EC2 ou instâncias de VM GCP com segredo de texto simples que podem aceder a outras VMs ou EC2s.
   • VM com segredo em texto simples que pode autenticar-se numa conta de armazenamento - Devolve todas as VMs Azure, instâncias AWS EC2 ou instâncias GCP VM com segredo em texto simples que podem aceder a uma conta de armazenamento.
   • VM com segredo de texto simples que pode autenticar numa base de dados SQL - Devolve todas as VMs da Azure, as instâncias de EC2 da AWS e as instâncias de VM do GCP com segredo de texto simples que podem aceder a bases de dados SQL.

Se não quiser usar nenhum dos modelos disponíveis, você também pode criar sua própria consulta no explorador de segurança na nuvem.