حماية البيانات السرية في Defender for Cloud
يساعد Microsoft Defender for Cloud فرق الأمان على تقليل مخاطر استغلال المهاجمين للبيانات السرية للأمان.
بعد الوصول الأولي، يحاول المهاجمون التنقل أفقيا عبر الشبكات، والوصول إلى الموارد لاستغلال الثغرات الأمنية والإضرار بأنظمة المعلومات الهامة. غالبا ما تتضمن الحركة الجانبية تهديدات بيانات الاعتماد التي تستغل عادة البيانات الحساسة مثل بيانات الاعتماد والبيانات السرية المكشوفة مثل كلمات المرور والمفاتيح والرموز المميزة سلسلة الاتصال للوصول إلى أصول إضافية.
غالبا ما يتم العثور على الأسرار عبر عمليات النشر متعددة السحابات في الملفات أو على أقراص الجهاز الظاهري أو على الحاويات. تحدث الأسرار المكشوفة لعدة أسباب:
- نقص الوعي: قد لا تكون المنظمات على دراية بخطر وعواقب التعرض للبيانات السرية.
- عدم وجود نهج: قد لا يكون هناك نهج شركة واضح بشأن التعامل مع الأسرار وحمايتها في ملفات التعليمات البرمجية والتكوين.
- عدم وجود أدوات اكتشاف: قد لا تكون الأدوات في مكانها للكشف عن تسريبات الأسرار ومعالجتها.
- التعقيد والسرعة: البيئات المعقدة التي قد تتضمن أنظمة أساسية سحابية متعددة وبرامج مفتوحة المصدر ورمز جهة خارجية. قد يستخدم المطورون الأسرار للوصول إلى الموارد والخدمات ودمجها، وتخزين الأسرار في مستودعات التعليمات البرمجية المصدر للراحة وإعادة الاستخدام. يمكن أن يؤدي ذلك إلى التعرض العرضي للبيانات السرية في المستودعات العامة أو الخاصة، أو أثناء نقل البيانات أو معالجتها.
- المفاضلة بين الأمان وسهولة الاستخدام: قد تحتفظ المؤسسات بالبيانات السرية مكشوفة في بيئات السحابة لسهولة الاستخدام، لتجنب تعقيد وزمن الانتقال لتشفير البيانات وفك تشفيرها أثناء الراحة والنقل. يمكن أن يؤدي ذلك إلى اختراق أمان وخصوصية البيانات وبيانات الاعتماد.
أنواع المسح الضوئي والخطط
يوفر Defender for Cloud أنواعا مختلفة من مسح البيانات السرية.
| نوع المسح الضوئي | التفاصيل | تخطيط الدعم |
|---|---|---|
| مسح الجهاز ضوئيا | مسح البيانات السرية بدون عامل على أجهزة ظاهرية متعددة السحابة. | خطة Defender for Cloud Security Posture Management (CSPM)، أو خطة Defender for Servers الخطة 2. |
| فحص موارد النشر السحابي | مسح البيانات السرية بدون عامل عبر موارد نشر البنية الأساسية متعددة السحابة كتعلم برمجي. | إدارة وضع الأمان السحابي في Defender الخطة |
| فحص مستودع التعليمات البرمجية | المسح لاكتشاف الأسرار المكشوفة في Azure DevOps. | إدارة وضع الأمان السحابي في Defender الخطة |
أذونات المسح الضوئي
لاستخدام مسح البيانات السرية، هناك حاجة إلى الأذونات التالية:
قارئ معلومات الأمان
مسؤول الأمان
القارئ
المشارك
- المالك
مراجعة نتائج البيانات السرية
هناك عدد من الطرق المتاحة لتحديد وتخفيف مشكلات الأسرار. لا يتم دعم كل أسلوب لكل سر.
- مراجعة البيانات السرية في مخزون الأصول: يظهر المخزون حالة أمان الموارد المتصلة ب Defender for Cloud. من المخزون يمكنك عرض الأسرار المكتشفة على جهاز معين.
- مراجعة توصيات البيانات السرية: عند العثور على أسرار على الأصول، يتم تشغيل توصية ضمن التحكم في أمان معالجة الثغرات الأمنية في صفحة Defender for Cloud Recommendations. يتم تشغيل التوصيات على النحو التالي:
- راجع البيانات السرية باستخدام مستكشف أمان السحابة. استخدم مستكشف أمان السحابة للاستعلام عن الرسم البياني لأمان السحابة للحصول على رؤى البيانات السرية. يمكنك إنشاء استعلاماتك الخاصة، أو استخدام أحد القوالب المضمنة للاستعلام عن أسرار الجهاز الظاهري عبر بيئتك.
- مراجعة مسارات الهجوم: يفحص تحليل مسار الهجوم الرسم البياني لأمان السحابة لكشف المسارات القابلة للاستغلال التي قد تستخدمها الهجمات لخرق بيئتك والوصول إلى الأصول عالية التأثير. يدعم فحص أسرار الجهاز الظاهري عددا من سيناريوهات مسار الهجوم.
دعم البيانات السرية
يدعم Defender for Cloud اكتشاف أنواع الأسرار الملخصة في الجدول. يشير العمود Review using إلى الطرق التي يمكنك استخدامها للتحقيق في توصيات الأسرار ومعالجتها.
| نوع البيانات السرية | اكتشاف أسرار الجهاز الظاهري | اكتشاف أسرار نشر السحابة | المراجعة باستخدام |
|---|---|---|---|
| مفاتيح SSH الخاصة غير الآمنة يدعم خوارزمية RSA لملفات PuTTy. معايير PKCS#8 وPKCS#1 معيار OpenSSH |
نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| يدعم نص عادي Azure SQL سلسلة الاتصال SQL PAAS. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure نص عادي ل PostgreSQL. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure لنص عادي ل MySQL. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| قاعدة بيانات Azure للنص العادي ل MariaDB. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| نص عادي Azure Cosmos DB، بما في ذلك PostgreSQL وMySQL وMariaDB. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| يدعم نص عادي AWS RDS سلسلة الاتصال SQL PAAS: نص عادي Amazon Aurora مع نكهات Postgres وMySQL. نص عادي Amazon مخصص RDS مع نكهات Oracle وSQL Server. |
نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| سلسلة الاتصال حساب تخزين Plaintext Azure | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| سلسلة الاتصال حساب تخزين Azure للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| رموز SAS المميزة لحساب التخزين العادي في Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| مفاتيح الوصول إلى نص عادي AWS. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| نص عادي AWS S3 URL الموقع مسبقا. | نعم | نعم | المخزون، مستكشف أمان السحابة، التوصيات، مسارات الهجوم |
| عنوان URL موقع لتخزين Plaintext Google. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure AD Client Secret. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Azure DevOps للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Plaintext GitHub. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح الوصول إلى تكوين تطبيق Plaintext Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Cognitive Service Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد مستخدم Plaintext Azure AD. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Container Registry Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة مرور توزيع Plaintext Azure App Service. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول الشخصي ل Azure Databricks للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure SignalR Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح اشتراك Plaintext Azure API Management. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Bot Framework Secret Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي Azure التعلم الآلي Web Service API Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح الوصول إلى Plaintext Azure Communication Services. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Event Grid Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Amazon Marketplace Web Service (MWS) Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي خرائط Azure مفتاح الاشتراك. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Web PubSub Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح واجهة برمجة تطبيقات OpenAI للنص العادي. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Batch Shared Access Key. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز لمؤلف نص عادي NPM. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| شهادة إدارة اشتراك Plaintext Azure. | نعم | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح واجهة برمجة تطبيقات GCP لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد نص عادي AWS Redshift. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| مفتاح خاص لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| سلسلة الاتصال نص عادي ODBC. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة المرور العامة لنص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| بيانات اعتماد تسجيل دخول مستخدم نص عادي. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز الشخصي ل Plaintext Travis. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول إلى Plaintext Slack. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي ASP.NET مفتاح الجهاز. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| رأس تخويل نص عادي HTTP. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| كلمة مرور Plaintext Azure Redis Cache. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure IoT Shared Access Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي Azure DevOps App Secret. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Function API Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| Plaintext Azure Shared Access Key. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| توقيع الوصول المشترك لتطبيق Plaintext Azure Logic. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| الرمز المميز للوصول إلى Plaintext Azure Active Directory. | لا | نعم | المخزون، مستكشف أمان السحابة. |
| نص عادي ناقل خدمة Azure توقيع الوصول المشترك. | لا | نعم | المخزون، مستكشف أمان السحابة. |