Correggere i segreti del computer

Microsoft Defender per il cloud può scansionare computer e distribuzioni cloud per segreti supportati, per ridurre il rischio di spostamento laterale.

Questo articolo illustra come identificare e correggere i risultati dell'analisi dei segreti dei computer.

• È possibile esaminare e correggere i risultati usando le raccomandazioni sui segreti del computer.
• Visualizzare i segreti individuati in un computer specifico nell'inventario Defender per il cloud
• Approfondire i segreti delle macchine utilizzando le query di Esplorazione della sicurezza del cloud e i percorsi di attacco legati ai segreti delle macchine
• Non tutti i metodi sono supportati per ogni segreto. Esaminare i metodi supportati per diversi tipi di segreti.

È importante essere in grado di classificare in ordine di priorità i segreti e identificare quelli che necessitano di attenzione immediata. Per eseguire questa operazione, Defender per il cloud fornisce:

• Fornire metadati avanzati per ogni segreto, ad esempio l'ora dell'ultimo accesso per un file, una data di scadenza del token, un'indicazione se la risorsa di destinazione che i segreti forniscono l'accesso a esiste e altro ancora.
• Combinazione dei metadati dei segreti aziendali con il contesto delle risorse cloud. Ciò ti aiuta a iniziare con risorse esposte a Internet o che contengono segreti che potrebbero compromettere altre risorse sensibili. I risultati dell'analisi dei segreti vengono incorporati nella definizione delle priorità delle raccomandazioni basate sul rischio.
• Fornire più visualizzazioni per individuare i segreti più comuni o gli asset contenenti segreti.

Prerequisiti

• Un account Azure. Se non si ha già un account Azure, è possibile creare l'account gratuito Azure oggi.
• Defender per il cloud deve essere disponibile nella sottoscrizione Azure.
• È necessario abilitare almeno uno di questi piani:
  • Defender per Server Piano 2
  • Defender CSPM
• L'analisi automatica senza agente deve essere abilitata.

Correggere i segreti con le raccomandazioni

1. Accedere al portale Azure.

2. Passare a Microsoft Defender per il cloud>Recommendations.

3. Espandi il controllo di sicurezza Rimediazione delle vulnerabilità.

4. Selezionare una delle raccomandazioni pertinenti:

   • risorse Azure: Machines should have secrets findings resolved

   • Risorse AWS: EC2 instances should have secrets findings resolved

   • Risorse GCP: VM instances should have secrets findings resolved

     

5. Espandere Risorse interessate per esaminare l'elenco di tutte le risorse che contengono segreti.

6. Nella sezione Risultati selezionare un segreto per visualizzare informazioni dettagliate sul segreto.

   

7. Espandi Procedura di correzione e segui i passaggi elencati.

8. Espandi Risorse interessate per esaminare le risorse colpite da questo segreto.

9. (Facoltativo) È possibile selezionare una risorsa interessata per visualizzare le informazioni della risorsa.

I segreti che non dispongono di un percorso di attacco noto vengono definiti .secrets without an identified target resource

Correggere i segreti per un computer nell'inventario

1. Accedere al portale Azure.

2. Passare a Microsoft Defender per il cloud>Inventario.

3. Selezionare la macchina virtuale pertinente.

4. Passare alla scheda Segreti .

5. Esaminare ogni segreto di testo non crittografato visualizzato con i metadati pertinenti.

6. Selezionare un segreto per visualizzare dettagli aggiuntivi del segreto.

   Diversi tipi di segreti hanno set diversi di informazioni aggiuntive. Ad esempio, per le chiavi private SSH in testo semplice, le informazioni includono chiavi pubbliche correlate (mappatura dalla chiave privata verso il file delle chiavi autorizzate che abbiamo scoperto o mappatura verso una diversa macchina virtuale che contiene lo stesso identificatore di chiave privata SSH).

Correggere i segreti con percorsi di attacco

1. Accedere al portale Azure.

2. Vai a Microsoft Defender per il cloud>Raccomandazioni>Percorso di attacco.

   

3. Selezionare il percorso di attacco pertinente.

4. Seguire la procedura di correzione per correggere il percorso di attacco.

Correggere i segreti con Cloud Security Explorer

1. Accedere al portale Azure.

2. Vai a Microsoft Defender per il cloud>Cloud Security Explorer.

3. Selezionare uno dei modelli seguenti:

   • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un'altra macchina virtuale: restituisce tutte le macchine virtuali Azure, le istanze di AWS EC2 o le istanze di VM GCP con segreto di testo non crittografato che può accedere ad altre macchine virtuali o EC2.
   • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione a un account di archiviazione: restituisce tutte le macchine virtuali Azure, le istanze EC2 di AWS o le istanze di vm GCP con segreto non crittografato che può accedere agli account di archiviazione.
   • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un database SQL: restituisce tutte le macchine virtuali Azure, le istanze di AWS EC2 o le istanze di vm GCP con segreto di testo non crittografato che può accedere ai database SQL.

Se non si vuole usare uno dei modelli disponibili, è anche possibile creare una query personalizzata in Cloud Security Explorer.