Verificação de segredos do computador
O Microsoft Defender para Nuvem fornece verificação de segredos em vários cenários, incluindo a verificação de segredos do computador.
A verificação de segredos do computador é fornecida como um dos recursos de verificação sem agente do Defender para Nuvem que melhoram a postura de segurança do computador. A verificação sem agente não precisa de agentes instalados ou conectividade de rede e não afeta o desempenho do computador.
- A verificação de segredos de máquina sem agente ajuda você a detectar, priorizar e corrigir rapidamente os segredos de texto sem formatação expostos em seu ambiente.
- Se forem detectados segredos, as descobertas ajudarão as equipes de segurança a priorizar ações e a corrigir para minimizar o risco de movimentação lateral.
- Os computadores de verificação para segredos compatíveis estiverem disponíveis quando o Plano 2 do Defender para Servidores ou o plano CSPM (Gerenciamento de Postura de Segurança de Nuvem) do Defender estiver habilitado.
- A verificação de segredos do computador pode verificar as VMs do Azure e as instâncias do AWS/GCP conectadas ao Defender para Nuvem.
Reduzindo o risco de segurança
A verificação de segredos ajuda a reduzir o risco:
- Elimina segredos que não são necessários.
- Aplica o princípio de privilégios mínimos.
- Fortalece a segurança de segredos usando sistemas de gerenciamento de segredos, como o Azure Key Vault.
- Usa segredos de curta duração, como substituir cadeias de conexão do Armazenamento do Microsoft Azure com tokens SAS que possuem períodos de validade mais curtos.
Como funciona a verificação de segredos do computador
A verificação de segredos para VMs não tem agente e usa APIs de nuvem. Veja como ela funciona:
- A verificação de segredos captura instantâneos de disco e os analisa, sem impacto no desempenho da VM.
- Depois que o mecanismo de verificação de segredos da Microsoft coleta metadados de segredos do disco, ele os envia para o Defender para Nuvem.
- O mecanismo de verificação de segredos verifica se as chaves privadas SSH podem ser usadas para movimentação lateral na rede.
- As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender para Nuvem.
- Os diretórios reconhecidos como conteúdo relacionado ao teste são excluídos da verificação.
Recomendações de segredos de máquina
As seguintes recomendações de segurança de segredos do computador estão disponíveis:
- Recursos do Azure: os computadores devem ter as descobertas de segredos resolvidas
- Recursos do AWS: as instâncias EC2 devem ter as descobertas de segredos resolvidas
- Recursos do GCP: as instâncias de VM devem ter as descobertas de segredos resolvidas
Caminhos de ataque de segredos de máquina
A tabela resume os caminhos de ataque com suporte.
| VM | Caminhos de ataque |
|---|---|
| Azure | A VM vulnerável exposta tem uma chave privada SSH inseguros que é usada para autenticação em uma VM. A VM vulnerável exposta tem segredos inseguros que são usados para autenticação em uma conta de armazenamento. A VM vulnerável tem segredos inseguros usados para autenticação em uma conta de armazenamento. A VM vulnerável exposta tem segredos inseguros que são usados para autenticação em um SQL Server. |
| AWS | A instância EC2 vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticação em uma instância EC2. A instância EC2 vulnerável exposta tem um segredo inseguro que é usado para autenticação em uma conta de armazenamento. A instância EC2 vulnerável exposta tem segredos inseguros que são usados para autenticação em um servidor AWS RDS. A instância EC2 vulnerável tem segredos inseguros que são usados para autenticação em um servidor AWS RDS. |
| GCP | A instância de VM do GCP vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticação em uma instância de VM do GCP. |
Consultas predefinidas do Cloud Security Explorer
O Defender para Nuvem fornece estas consultas predefinidas para investigar problemas de segurança de segredos:
- VM com segredo de texto não criptografado que pode se autenticar em outra VM: retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar outras VMs ou EC2s.
- VM com segredo de texto não criptografado que pode se autenticar em uma conta de armazenamento: retorna todas as VMs do Azure, instâncias EC2 do AWS ou instâncias de VM do GCP com segredo de texto não criptografado que podem acessar contas de armazenamento
- VM com segredo de texto não criptografado que pode se autenticar em um banco de dados SQL – Retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar bancos de dados SQL.
Investigando e corrigindo segredos do computador
Você pode investigar as descobertas de segredos de máquina no Defender para Nuvem usando vários métodos. Nem todos os métodos estão disponíveis para todos os segredos. Examinar métodos com suporte para diferentes tipos de segredos.