Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud kann auf Computern und in Cloud-Bereitstellungen nach unterstützten Geheimnissen suchen, um das Risiko von Lateral Movement zu verringern.
In diesem Artikel erfahren Sie, wie Sie Ergebnisse von Lösungen zur Überprüfung von Computergeheimnissen anzeigen und entsprechende Maßnahmen ergreifen.
Hinweis
Auf dieser Seite wird die klassische Empfehlungsansicht in Defender for Cloud beschrieben. Die neueste Erfahrung im Depender-Portal finden Sie unter "Überprüfen von Sicherheitsempfehlungen".
- Sie können Ergebnisse mithilfe Empfehlungen für Computergeheimnisse überprüfen und beheben.
- Anzeigen von Geheimnissen, die auf einem bestimmten Computer im Defender for Cloud-Bestand ermittelt wurden
- Vertiefte Analyse von Maschinengeheimnissen durch Cloud-Sicherheits-Explorer-Abfragen und Maschinengeheimnis-Angriffspfade
- Nicht jede Methode wird für jedes Geheimnis unterstützt. Überprüfen Sie die unterstützten Methoden für verschiedene Arten von Geheimnissen.
Es ist wichtig, Geheimnisse priorisieren und erkennen zu können, für welche Schlüssel sofort Maßnahmen erforderlich sind. Um dies zu unterstützen, bietet Defender for Cloud Folgendes:
- Umfangreiche Metadaten für jedes Geheimnis. Hierzu zählen unter anderem der Zeitpunkt des letzten Zugriffs für eine Datei, ein Tokenablaufdatum sowie die Angabe, ob die Zielressource vorhanden ist, auf die die Geheimnisse Zugriff gewähren.
- Kombination von Geheimnismetadaten mit Cloudressourcenkontext. Dadurch können Sie mit Ressourcen beginnen, die über das Internet verfügbar sind oder Geheimnisse enthalten, die ggf. weitere vertrauliche Ressourcen gefährden. Die Ergebnisse der Geheimnisüberprüfung fließen in die risikobasierte Empfehlungspriorisierung ein.
- Mehrere Ansichten, um Ihnen dabei zu helfen, die am häufigsten gefundenen Geheimnisse oder Ressourcen mit Geheimnissen zu lokalisieren.
Voraussetzungen
- Ein Azure Konto. Wenn Sie noch kein Azure Konto haben, können Sie noch heute Ihr kostenloses Azure-Konto erstellen.
- Defender for Cloud muss in Ihrem Azure-Abonnement verfügbar sein.
- Mindestens einer dieser Pläne muss aktiviert sein:
- Computerüberprüfung ohne Agent muss aktiviert sein.
Beheben von Geheimnissen mit Empfehlungen
Melden Sie sich beim portal Azure an.
Navigieren Sie zu Microsoft Defender for Cloud>Recommendations.
Erweitern Sie die Sicherheitskontrolle Sicherheitsrisiken beheben.
Wählen Sie eine der entsprechenden Empfehlungen aus:
Azure-Ressourcen:
Machines should have secrets findings resolvedAWS-Ressourcen:
EC2 instances should have secrets findings resolvedGCP-Ressourcen:
VM instances should have secrets findings resolved
Erweitern Sie Betroffene Ressourcen, um die Liste aller Ressourcen zu überprüfen, die Geheimnisse enthalten.
Wählen Sie im Abschnitt „Ergebnisse“ ein Geheimnis aus, um detaillierte Informationen darüber anzuzeigen.
Erweitern Sie Korrekturmaßnahmen, und führen Sie die aufgeführten Schritte aus.
Erweitern Sie Betroffene Ressourcen, um die von diesem Geheimnis betroffenen Ressourcen zu überprüfen.
(Optional) Sie können eine betroffene Ressource auswählen, um die Informationen der Ressource anzuzeigen.
Geheimnisse ohne bekannten Angriffspfad werden als „secrets without an identified target resource“ bezeichnet.
Beheben von Geheimnisfunden für einen Computer im Inventar
Melden Sie sich beim portal Azure an.
Navigieren Sie zu Microsoft Defender for Cloud>Inventory.
Wählen Sie die relevante VM aus.
Navigieren Sie zur Registerkarte Geheimnisse.
Überprüfen Sie jedes Klartextgeheimnis, das in den relevanten Metadaten angezeigt wird.
Wählen Sie ein Geheimnis aus, um zusätzliche Details darüber anzuzeigen.
Verschiedene Arten von Geheimnissen verfügen über unterschiedliche zusätzliche Informationen. Bei privaten SSH-Klartextschlüsseln umfassen die Informationen beispielsweise verwandte öffentliche Schlüssel (die Zuordnung erfolgt zwischen dem privaten Schlüssel und der ermittelten Datei der autorisierten Schlüssel oder einem anderen virtuellen Computer, der denselben privaten SSH-Schlüsselbezeichner enthält).
Beheben von Geheimnissen mit Angriffspfaden
Melden Sie sich beim portal Azure an.
Navigieren Sie zu Microsoft Defender for Cloud>Recommendations>Attack path.
Wählen Sie den relevanten Angriffspfad aus.
Führen Sie die Korrekturschritte aus, um den Angriffspfad zu remediieren.
Beheben von Geheimnissen mit dem Cloudsicherheits-Explorer
Melden Sie sich beim portal Azure an.
Navigieren Sie zu Microsoft Defender for Cloud>Cloud Security Explorer.
Wählen Sie eine der folgenden Vorlagen aus:
- VM mit Klartext-Geheimnis, das sich bei einer anderen VM authentifizieren kann – Gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen zurück, die mit einem Klartext-Geheimnis auf andere VMs oder EC2s zugreifen und sich authentifizieren können.
- VM mit Klartext-Geheimnis, das sich bei einem Speicherkonto authentifizieren kann – Gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen zurück, die sich mit einem Klartext-Geheimnis bei Speicherkonten authentifizieren können.
- VM mit Geheimnis im Klartext, das sich bei einer SQL-Datenbank authentifizieren kann – Gibt alle Azure VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen zurück, die auf SQL-Datenbanken zugreifen können.
Wenn Sie keine der verfügbaren Vorlagen verwenden möchten, können Sie auch eigene Abfragen im Cloudsicherheits-Explorer erstellen.