Memulihkan rahasia mesin

Microsoft Defender untuk Cloud dapat memindai mesin dan penyebaran cloud untuk rahasia yang didukung, untuk mengurangi risiko gerakan lateral.

Artikel ini membantu Anda mengidentifikasi dan memulihkan temuan pemindaian rahasia mesin.

• Anda dapat meninjau dan memulihkan temuan menggunakan rekomendasi rahasia mesin.
• Melihat rahasia yang ditemukan pada komputer tertentu di inventaris Defender untuk Cloud
• Telusuri paling detail temuan rahasia mesin menggunakan kueri penjelajah keamanan cloud dan jalur serangan rahasia mesin
• Tidak setiap metode didukung untuk setiap rahasia. Tinjau metode yang didukung untuk berbagai jenis rahasia.

Penting untuk dapat memprioritaskan rahasia dan mengidentifikasi rahasia mana yang membutuhkan perhatian segera. Untuk membantu Anda melakukan ini, Defender untuk Cloud menyediakan:

• Menyediakan metadata yang kaya untuk setiap rahasia, seperti waktu akses terakhir untuk file, tanggal kedaluwarsa token, indikasi apakah sumber daya target yang disediakan rahasia akses ke ada, dan banyak lagi.
• Menggabungkan metadata rahasia dengan konteks aset cloud. Ini membantu Anda memulai dengan aset yang terekspos ke internet, atau berisi rahasia yang mungkin membahayakan aset sensitif lainnya. Temuan pemindaian rahasia dimasukkan ke dalam prioritas rekomendasi berbasis risiko.
• Menyediakan beberapa tampilan untuk membantu Anda menentukan rahasia yang paling umum ditemukan, atau aset yang berisi rahasia.

Prasyarat

• Akun Azure. Jika Anda belum memiliki akun Azure, Anda dapat membuat akun gratis Azure sekarang.
• Defender untuk Cloud harus tersedia di langganan Azure Anda.
• Setidaknya salah satu paket ini harus diaktifkan:
  • Defender untuk Server Paket 2
  • Defender CSPM
• Pemindaian mesin tanpa agen harus diaktifkan.

Memulihkan rahasia dengan rekomendasi

1. Masuk ke portal Azure.

2. Buka Microsoft Defender untuk Cloud>Rekomendasi.

3. Perluas kontrol keamanan Remediasi kerentanan.

4. Pilih salah satu rekomendasi yang relevan:

   • Sumber daya Azure: Machines should have secrets findings resolved

   • Sumber daya AWS: EC2 instances should have secrets findings resolved

   • Sumber daya GCP: VM instances should have secrets findings resolved

     

5. Perluas sumber daya yang terpengaruh untuk meninjau daftar semua sumber daya yang berisi rahasia.

6. Di bagian Temuan, pilih rahasia untuk melihat informasi terperinci tentang rahasia tersebut.

   

7. Perluas langkah-langkah Remediasi dan ikuti langkah-langkah yang tercantum.

8. Perluas sumber daya yang terpengaruh untuk meninjau sumber daya yang terpengaruh oleh rahasia ini.

9. (Opsional) Anda dapat memilih sumber daya yang terpengaruh untuk melihat informasi sumber daya.

Rahasia yang tidak memiliki jalur serangan yang diketahui disebut sebagai secrets without an identified target resource.

Memulihkan rahasia untuk mesin dalam inventaris

1. Masuk ke portal Azure.

2. Navigasi ke Microsoft Defender untuk Cloud> Inventory.

3. Pilih VM yang relevan.

4. Buka tab Rahasia .

5. Tinjau setiap rahasia teks biasa yang muncul dengan metadata yang relevan.

6. Pilih rahasia untuk melihat detail tambahan rahasia tersebut.

   Berbagai jenis rahasia memiliki sekumpulan informasi tambahan yang berbeda. Misalnya, untuk kunci privat SSH teks biasa, informasi tersebut mencakup kunci publik terkait (pemetaan antara kunci privat ke file kunci resmi yang kami temukan atau pemetaan ke komputer virtual lain yang berisi pengidentifikasi kunci privat SSH yang sama).

Memulihkan rahasia dengan jalur serangan

1. Masuk ke portal Azure.

2. Navigasikan ke jalur Serangan Microsoft Defender untuk Cloud> Recommendations>.

   

3. Pilih jalur serangan yang relevan.

4. Ikuti langkah-langkah remediasi untuk memulihkan jalur serangan.

Memulihkan rahasia dengan penjelajah keamanan cloud

1. Masuk ke portal Azure.

2. Navigasi ke Microsoft Defender untuk Cloud> Cloud Security Explorer.

3. Pilih salah satu templat berikut:

   • VM dengan rahasia teks biasa yang dapat mengautentikasi ke VM lain - Mengembalikan semua instans Azure VM, AWS EC2, atau VM GCP dengan rahasia teks biasa yang dapat mengakses VM atau EC2 lainnya.
   • VM dengan rahasia teks biasa yang dapat mengautentikasi ke akun penyimpanan - Mengembalikan semua instans Azure VM, AWS EC2, atau VM GCP dengan rahasia teks biasa yang dapat mengakses akun penyimpanan.
   • VM dengan rahasia teks biasa yang dapat mengautentikasi ke database SQL - Mengembalikan semua VM Azure, instans AWS EC2, atau instans VM GCP dengan rahasia teks biasa yang dapat mengakses database SQL.

Jika Anda tidak ingin menggunakan salah satu templat yang tersedia, Anda juga dapat membuat kueri Anda sendiri di penjelajah keamanan cloud.