Bulut için Defender'da gizli dizileri koruma
Bulut için Microsoft Defender, güvenlik ekibinin saldırganların güvenlik gizli dizilerinden yararlanma riskini en aza indirmesine yardımcı olur.
İlk erişim elde ettikten sonra saldırganlar bulut dağıtımlarına, kaynaklara ve İnternet'e yönelik iş yüklerine erişerek ağlar arasında yanlı olarak hareket edebilir, hassas verileri bulabilir ve kritik bilgi sistemlerine zarar vermek için güvenlik açıklarından yararlanabilir. Yanal hareket genellikle kullanıma sunulan kimlik bilgileri ve parolalar, anahtarlar, belirteçler ve ek varlıklara erişmek için bağlantı dizesi gibi gizli diziler gibi hassas verilerden yararlanan kimlik bilgileri tehditlerini içerir. Gizli diziler genellikle çok bulutlu dağıtımlarda vm disklerinde veya kapsayıcılarda depolanan dosyalarda bulunur. Açığa çıkarılma gizli dizileri çeşitli nedenlerle gerçekleşir:
- Farkındalık eksikliği: Kuruluşlar, bulut ortamlarında gizli dizilerin açığa çıkabilecek risklerinin ve sonuçlarının farkında olmayabilir. Kod ve yapılandırma dosyalarında gizli dizileri işleme ve koruma konusunda net bir ilke olmayabilir.
- Bulma araçlarının olmaması: Gizli dizi sızıntılarını algılamak ve düzeltmek için araçlar kullanılamayabilir.
- Karmaşıklık ve hız: Modern yazılım geliştirme, birden çok bulut platformuna, açık kaynak yazılıma ve üçüncü taraf koda dayanan karmaşık ve hızlı bir süreçtir. Geliştiriciler, bulut ortamlarındaki kaynaklara ve hizmetlere erişmek ve bunları tümleştirmek için gizli dizileri kullanabilir ve kolaylık sağlamak ve yeniden kullanmak için gizli dizileri kaynak kod depolarında depolayabilir. Bu, gizli dizilerin genel veya özel depolarda ya da veri aktarımı veya işleme sırasında yanlışlıkla açığa çıkmasına neden olabilir.
- Güvenlik ve kullanılabilirlik arasında denge: Kuruluşlar, bekleyen ve aktarımdaki verilerin şifrelenmesi ve şifresinin çözülmesinin karmaşıklığını ve gecikme süresini önlemek amacıyla kullanım kolaylığı için bulut ortamlarında açığa çıkarılmış gizli dizileri tutabilir. Bu, verilerin ve kimlik bilgilerinin güvenliğini ve gizliliğini tehlikeye atabilir.
Bulut için Defender, yanal hareket riskini azaltmak amacıyla sanal makineler ve bulut dağıtımları için gizli dizi taraması sağlar.
- Sanal makineler (VM'ler):Çok bulutlu VM'lerde aracısız gizli dizi tarama.
- Bulut dağıtımları: Çok bulutlu kod olarak altyapı dağıtım kaynakları arasında aracısız gizli dizi taraması.
- Azure DevOps: Azure DevOps'ta kullanıma sunulan gizli dizileri bulmak için tarama.
Önkoşullar
Gerekli roller ve izinler:
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Okuyucu
Katılımcı
- Sahip
Gizli dizi taramayı dağıtma
Gizli dizi tarama, Bulut için Defender planlarında bir özellik olarak sağlanır:
- VM tarama: Bulut için Defender Güvenlik Duruş Yönetimi (CSPM) planı veya Sunucular için Defender Plan 2 ile sağlanır.
- Bulut dağıtım kaynağı taraması Defender CSPM ile sağlanır.
- DevOps tarama: Defender CSPM ile sağlanır.
Gizli dizi bulgularını gözden geçirme
Gizli diziler için güvenlik bulgularını birkaç şekilde gözden geçirebilir ve araştırabilirsiniz:
- Varlık envanterini gözden geçirin. Envanter sayfasında gizli dizilerinizin tamamını görüntüleyebilirsiniz.
- Gizli dizi önerilerini gözden geçirme: Bulut için Defender Önerileri sayfasında gizli dizi önerilerini gözden geçirebilir ve düzeltebilirsiniz. Önerileri ve uyarıları araştırma hakkında daha fazla bilgi edinin.
- Güvenlik içgörülerini araştırma: Bulut güvenlik grafiğini sorgulamak için bulut güvenlik gezginini kullanabilirsiniz. Kendi sorgularınızı oluşturabilir veya önceden tanımlanmış sorgu şablonlarını kullanabilirsiniz.
- Saldırı yollarını kullanma: Kritik gizli dizi riskini araştırmak ve düzeltmek için saldırı yollarını kullanabilirsiniz. Daha fazla bilgi edinin.
Bulma desteği
Bulut için Defender tabloda özetlenen gizli dizi türlerinin bulunmasını destekler.
| Gizli dizi türü | VM gizli dizileri bulma | Bulut dağıtımı gizli dizileri bulma | Konumu gözden geçirme |
|---|---|---|---|
| Güvenli olmayan SSH özel anahtarları PuTTy dosyaları için RSA algoritmasını destekler. PKCS#8 ve PKCS#1 standartları OpenSSH standardı |
Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure SQL bağlantı dizesi, SQL PAAS'ı destekler. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| PostgreSQL için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| MySQL için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| MariaDB için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| PostgreSQL, MySQL ve MariaDB dahil düz metin Azure Cosmos DB. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS RDS bağlantı dizesi SQL PAAS'ı destekler: Postgres ve MySQL aromalı Düz Metin Amazon Aurora. Oracle ve SQL Server aromalı Düz metin Amazon özel RDS. |
Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı bağlantı dizesi | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı bağlantı dizesi. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı SAS belirteçleri. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS erişim anahtarları. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS S3 ön imzalı URL. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Google depolama imzalı URL. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure AD İstemci Gizli Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure DevOps Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin GitHub Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Uygulaması Yapılandırma Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Bilişsel Hizmet Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure AD Kullanıcı Kimlik Bilgileri. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Container Registry Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Uygulaması Hizmet Dağıtım Parolası. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Databricks Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure SignalR Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure API Management Abonelik Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Bot Framework Gizli Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Machine Learning Web Hizmeti API Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure İletişim Hizmetleri Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Event Grid Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Plaintext Amazon Market Web Hizmeti (MWS) Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Haritalar Abonelik Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Web PubSub Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin OpenAI API Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Batch Paylaşılan Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin NPM Yazar Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Abonelik Yönetimi Sertifikası. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin GCP API Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin AWS Redshift kimlik bilgileri. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Özel anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin ODBC bağlantı dizesi. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Genel parolası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Kullanıcı oturum açma kimlik bilgileri. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Travis kişisel belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Slack erişim belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin ASP.NET Makine Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin HTTP Yetkilendirme Üst Bilgisi. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Redis Cache parolası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure IoT Paylaşılan Erişim Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure DevOps Uygulama Gizli Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure İşlevi API Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Paylaşılan Erişim Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Mantıksal Uygulaması Paylaşılan Erişim İmzası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Active Directory Erişim Belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Service Bus Paylaşılan Erişim İmzası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |