Översikt över Microsoft Defender för Key Vault
Azure Key Vault är en molntjänst som skyddar krypteringsnycklar och hemligheter som certifikat, niska veze och lösenord.
Aktivera Microsoft Defender för Key Vault för Azure-inbyggt, avancerat skydd mot hot för Azure Key Vault, vilket ger ytterligare ett lager med säkerhetsinformation.
Tillgänglighet
Vilka är fördelarna med Microsoft Defender för Key Vault?
Microsoft Defender för Key Vault identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Key Vault-konton. Det här skyddsskiktet hjälper dig att hantera hot även om du inte är säkerhetsexpert och utan att behöva hantera säkerhetsövervakningssystem från tredje part.
När avvikande aktiviteter inträffar visar Defender för Key Vault aviseringar och skickar dem eventuellt via e-post till relevanta medlemmar i organisationen. Dessa aviseringar innehåller information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot.
Microsoft Defender för Key Vault-aviseringar
När du får en avisering från Microsoft Defender för Key Vault rekommenderar vi att du undersöker och svarar på aviseringen enligt beskrivningen i Svara på Microsoft Defender för Key Vault. Microsoft Defender för Key Vault skyddar program och autentiseringsuppgifter, så även om du är bekant med programmet eller användaren som utlöste aviseringen är det viktigt att kontrollera situationen kring varje avisering.
Aviseringarna visas på key vault-sidan Säkerhet , sidan Arbetsbelastningsskydd och Defender för molnets säkerhetsaviseringar.
Dricks
Du kan simulera Microsoft Defender för Key Vault-aviseringar genom att följa anvisningarna i Verifiera hotidentifiering i Azure Key Vault i Microsoft Defender för molnet.
Svara på Aviseringar om Microsoft Defender för Key Vault
När du får en avisering från Microsoft Defender för Key Vault rekommenderar vi att du undersöker och svarar på aviseringen enligt beskrivningen nedan. Microsoft Defender för Key Vault skyddar program och autentiseringsuppgifter, så även om du är van vid det program eller den användare som utlöste aviseringen är det viktigt att kontrollera situationen som omger varje avisering.
Aviseringar från Microsoft Defender för Key Vault innehåller följande element:
- Objekt-ID
- Användarens huvudnamn eller IP-adress för den misstänkta resursen
Beroende på vilken typ av åtkomst som inträffade kanske vissa fält inte är tillgängliga. Om ditt nyckelvalv till exempel har öppnats av ett program ser du inte ett associerat User Principal Name. Om trafiken kommer från en plats utanför Azure visas inget objekt-ID.
Dricks
Virtuella Azure-datorer tilldelas Microsoft-IP-adresser. Det innebär att en avisering kan innehålla en Microsoft IP-adress även om det gäller en aktivitet som utförs utanför Microsoft. Så även om en avisering har en Microsoft IP-adress bör du fortfarande undersöka enligt beskrivningen på den här sidan.
Steg 1: Identifiera källan
- Kontrollera om trafiken kommer från din Azure-klientorganisation. Om nyckelvalvsbrandväggen är aktiverad är det troligt att du har gett åtkomst till den användare eller det program som utlöste aviseringen.
- Om du inte kan verifiera trafikkällan fortsätter du till steg 2. Svara därefter.
- Om du kan identifiera källan till trafiken i klientorganisationen kontaktar du programmets användare eller ägare.
Varning
Microsoft Defender för Key Vault är utformat för att identifiera misstänkt aktivitet som orsakas av stulna autentiseringsuppgifter. Stäng inte aviseringen bara för att du känner igen användaren eller programmet. Kontakta ägaren av programmet eller användaren och kontrollera att aktiviteten var legitim. Du kan skapa en undertryckningsregel för att eliminera brus om det behövs. Läs mer i Ignorera säkerhetsaviseringar.
Steg 2: Svara därefter
Om du inte känner igen användaren eller programmet eller om du anser att åtkomsten inte borde ha auktoriserats:
Om trafiken kom från en okänd IP-adress:
- Aktivera Azure Key Vault-brandväggen enligt beskrivningen i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.
- Konfigurera brandväggen med betrodda resurser och virtuella nätverk.
Om källan till aviseringen var ett otillåtet program eller misstänkt användare:
- Öppna nyckelvalvets inställningar för åtkomstprincip.
- Ta bort motsvarande säkerhetsobjekt eller begränsa de åtgärder som säkerhetsobjektet kan utföra.
Om källan till aviseringen har en Microsoft Entra-roll i din klientorganisation:
- Kontakta administratören.
- Ta reda på om det finns ett behov av att minska eller återkalla Microsoft Entra-behörigheter.
Steg 3: Mäta effekten
När händelsen har åtgärdats undersöker du hemligheterna i ditt nyckelvalv som påverkades:
- Öppna sidan Säkerhet i ditt Azure-nyckelvalv och visa den utlösta aviseringen.
- Välj den specifika avisering som utlöstes och granska listan över de hemligheter som användes och tidsstämpeln.
- Om du har aktiverat diagnostikloggar för nyckelvalvet kan du granska de tidigare åtgärderna för motsvarande anropar-IP, användarens huvudnamn eller objekt-ID.
Steg 4: Vidta åtgärder
När du har kompilerat listan över hemligheter, nycklar och certifikat som har använts av den misstänkta användaren eller programmet bör du rotera objekten omedelbart.
- Berörda hemligheter ska inaktiveras eller tas bort från ditt nyckelvalv.
- Om autentiseringsuppgifterna användes för ett specifikt program:
- Kontakta programmets administratör och be dem att granska miljön för all användning av de komprometterade autentiseringsuppgifterna eftersom de har komprometterats.
- Om de komprometterade autentiseringsuppgifterna användes bör programägaren identifiera den information som användes och minimera effekten.
Nästa steg
I den här artikeln har du lärt dig om Microsoft Defender för Key Vault.
För relaterat material, se följande artiklar:
- Key Vault-säkerhetsaviseringar – Avsnittet Key Vault i referenstabellen för alla Microsoft Defender för molnaviseringar
- Exportera kontinuerligt Defender for Cloud-data
- Ignorera säkerhetsaviseringar