Verificação de segredos da máquina
O Microsoft Defender for Cloud fornece verificação de segredos em vários cenários, incluindo a verificação de segredos de máquina.
A verificação de segredos de máquina é fornecida como um dos recursos de verificação sem agente do Defender for Cloud que melhoram a postura de segurança da máquina. A verificação sem agente não precisa de agentes instalados ou conectividade de rede e não afeta o desempenho da máquina.
- A verificação de segredos de máquina sem agente ajuda você a detetar, priorizar e corrigir rapidamente segredos de texto sem formatação expostos em seu ambiente.
- Se segredos forem detetados, as descobertas ajudam as equipes de segurança a priorizar ações e corrigir para minimizar o risco de movimento lateral.
- A verificação de segredos suportados por máquinas está disponível quando o Plano 2 do Defender for Servers ou o plano CSPM (Defender Cloud Security Posture Management) está habilitado.
- A verificação de segredos de máquina pode verificar VMs do Azure e instâncias da AWS/GCP conectadas ao Defender for Cloud.
Reduzir o risco de segurança
A análise de segredos ajuda a reduzir o risco ao:
- Eliminar segredos que não são necessários.
- Aplicação do princípio do menor privilégio.
- Reforçar a segurança de segredos utilizando sistemas de gestão de segredos como o Azure Key Vault.
- Usando segredos de curta duração, como substituir cadeias de conexão do Armazenamento do Azure por tokens SAS que possuem períodos de validade mais curtos.
Como funciona a digitalização de segredos de máquina
A verificação de segredos para VMs é sem agente e usa APIs na nuvem. Eis como funciona:
- A varredura de segredos captura instantâneos de disco e os analisa, sem impacto no desempenho da VM.
- Depois que o mecanismo de verificação de segredos da Microsoft coleta metadados de segredos do disco, ele os envia para o Defender for Cloud.
- O mecanismo de varredura de segredos verifica se as chaves privadas SSH podem ser usadas para se mover lateralmente em sua rede.
- As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender for Cloud.
- Os diretórios reconhecidos como contendo conteúdo relacionado ao teste são excluídos da verificação.
Recomendações de segredos da máquina
As seguintes recomendações de segurança de segredos de máquina estão disponíveis:
- Recursos do Azure: as máquinas devem ter descobertas de segredos resolvidas
- Recursos da AWS: instâncias do EC2 devem ter descobertas de segredos resolvidas
- Recursos do GCP: as instâncias de VM devem ter descobertas de segredos resolvidas
Caminhos de ataque de segredos de máquina
A tabela resume os caminhos de ataque suportados.
| VM | Caminhos de ataque |
|---|---|
| Azure | VM vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma VM. A VM vulnerável exposta tem segredos inseguros que são usados para autenticar em uma conta de armazenamento. A VM vulnerável tem segredos inseguros que são usados para autenticar em uma conta de armazenamento. A VM vulnerável exposta tem segredos inseguros que são usados para autenticar em um servidor SQL. |
| AWS | A instância do EC2 vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma instância do EC2. A instância vulnerável exposta do EC2 tem um segredo inseguro que é usado para autenticar em uma conta de armazenamento. A instância vulnerável exposta do EC2 tem segredos inseguros que são usados para autenticar em um servidor do AWS RDS. A instância vulnerável do EC2 tem segredos inseguros que são usados para autenticar em um servidor do AWS RDS. |
| GCP | A instância de VM GCP vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma instância de VM GCP. |
Consultas predefinidas do explorador de segurança na nuvem
O Defender for Cloud fornece estas consultas predefinidas para investigar problemas de segurança de segredos:
- VM com segredo de texto simples que pode se autenticar em outra VM - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar outras VMs ou EC2s.
- VM com segredo de texto sem formatação que pode ser autenticado em uma conta de armazenamento - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar contas de armazenamento
- VM com segredo de texto simples que pode se autenticar em um banco de dados SQL - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar bancos de dados SQL.
Investigação e remediação de segredos de máquinas
Você pode investigar descobertas de segredos de máquina no Defender for Cloud usando vários métodos. Nem todos os métodos estão disponíveis para todos os segredos. Analise os métodos suportados para diferentes tipos de segredos.
Conteúdos relacionados
Investigue e corrija segredos de máquinas.