Bulut için Defender'da gizli dizileri koruma
Bulut için Microsoft Defender, güvenlik ekiplerinin saldırganların güvenlik gizli dizilerinden yararlanma riskini en aza indirmesine yardımcı olur.
İlk erişim elde ettikten sonra saldırganlar, güvenlik açıklarından yararlanmak ve kritik bilgi sistemlerine zarar vermek için kaynaklara erişerek ağlar arasında geçiş yapmayı dener. Yanal hareket genellikle kullanıma sunulan kimlik bilgileri ve parolalar, anahtarlar, belirteçler ve ek varlıklara erişmek için bağlantı dizesi gibi gizli diziler gibi hassas verilerden yararlanan kimlik bilgileri tehditlerini içerir.
Gizli diziler genellikle dosyalarda, VM disklerinde veya kapsayıcılarda çok bulutlu dağıtımlarda bulunur. Açığa çıkarılma gizli dizileri çeşitli nedenlerle gerçekleşir:
- Farkındalık eksikliği: Kuruluşlar gizli dizilerin açığa çıkabilecek risk ve sonuçlarının farkında olmayabilir.
- İlke eksikliği: Kod ve yapılandırma dosyalarındaki gizli dizileri işleme ve koruma konusunda net bir şirket ilkesi olmayabilir.
- Bulma araçlarının olmaması: Gizli dizi sızıntılarını algılamak ve düzeltmek için araçlar kullanılamayabilir.
- Karmaşıklık ve hız: Birden çok bulut platformu, açık kaynak yazılım ve üçüncü taraf kodu içerebilen karmaşık ortamlar. Geliştiriciler, kaynaklara ve hizmetlere erişmek ve bunları tümleştirmek için gizli dizileri kullanabilir ve kolaylık sağlamak ve yeniden kullanmak için gizli dizileri kaynak kod depolarında depolayabilir. Bu, gizli dizilerin genel veya özel depolarda ya da veri aktarımı veya işleme sırasında yanlışlıkla açığa çıkmasına neden olabilir.
- Güvenlik ve kullanılabilirlik arasında denge: Kuruluşlar, bekleyen ve aktarımdaki verilerin şifrelenmesi ve şifresinin çözülmesinin karmaşıklığını ve gecikme süresini önlemek amacıyla kullanım kolaylığı için gizli dizileri bulut ortamlarında açık tutabilir. Bu, verilerin ve kimlik bilgilerinin güvenliğini ve gizliliğini tehlikeye atabilir.
Tarama türleri ve planları
Bulut için Defender, farklı türlerde gizli dizi taraması sağlar.
| Tarama türü | Ayrıntılar | Plan desteği |
|---|---|---|
| Makine tarama | Çok bulutlu VM'lerde aracısız gizli dizi taraması. | Güvenlik Duruş Yönetimi (CSPM) planını veya Sunucular için Defender Plan 2'yi Bulut için Defender. |
| Bulut dağıtımı kaynak tarama | Çok bulutlu kod olarak altyapı dağıtım kaynakları arasında aracısız gizli dizi taraması. | Defender CSPM planı. |
| Kod deposu tarama | Azure DevOps'ta kullanıma sunulan gizli dizileri bulmak için tarama. | Defender CSPM planı. |
Tarama izinleri
Gizli dizi taramasını kullanmak için aşağıdaki izinler gereklidir:
Güvenlik Okuyucusu
Güvenlik Yöneticisi
Okuyucu
Katılımcı
- Sahip
Gizli dizi bulgularını gözden geçirme
Gizli dizi sorunlarını tanımlamak ve azaltmak için kullanılabilecek bir dizi yöntem vardır. Her yöntem her gizli dizi için desteklenmez.
- Varlık envanterindeki gizli dizileri gözden geçirme: Envanter, Bulut için Defender bağlı kaynakların güvenlik durumunu gösterir. Envanterde belirli bir makinede bulunan gizli dizileri görüntüleyebilirsiniz.
- Gizli dizi önerilerini gözden geçirme: Varlıklarda gizli diziler bulunduğunda, Bulut için Defender Önerileri sayfasındaki Güvenlik açıklarını düzeltme güvenlik denetimi altında bir öneri tetiklenir. Öneriler aşağıdaki gibi tetiklenir:
- Bulut güvenlik gezgini ile gizli dizileri gözden geçirin. Gizli dizi içgörüleri için bulut güvenlik grafını sorgulamak için bulut güvenlik gezginini kullanın. Kendi sorgularınızı oluşturabilir veya ortamınızdaki VM gizli dizilerini sorgulamak için yerleşik şablonlardan birini kullanabilirsiniz.
- Saldırı yollarını gözden geçirme: Saldırı yolu analizi, bulut güvenlik grafiğini tarar ve saldırıların ortamınızı ihlal etmek ve yüksek etkili varlıklara ulaşmak için kullanabileceği açıklardan yararlanılabilir yolları kullanıma sunar. VM gizli dizilerini tarama, bir dizi saldırı yolu senaryolarını destekler.
Gizli dizi desteği
Bulut için Defender tabloda özetlenen gizli dizi türlerinin bulunmasını destekler. Kullanarak gözden geçir sütunu, gizli dizi önerilerini araştırmak ve düzeltmek için kullanabileceğiniz yöntemleri gösterir.
| Gizli dizi türü | VM gizli dizileri bulma | Bulut dağıtımı gizli dizileri bulma | Kullanarak gözden geçirme |
|---|---|---|---|
| Güvenli olmayan SSH özel anahtarları PuTTy dosyaları için RSA algoritmasını destekler. PKCS#8 ve PKCS#1 standartları OpenSSH standardı |
Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure SQL bağlantı dizesi, SQL PAAS'ı destekler. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| PostgreSQL için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| MySQL için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| MariaDB için Düz Metin Azure veritabanı. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| PostgreSQL, MySQL ve MariaDB dahil düz metin Azure Cosmos DB. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS RDS bağlantı dizesi SQL PAAS'ı destekler: Postgres ve MySQL aromalı Düz Metin Amazon Aurora. Oracle ve SQL Server aromalı Düz metin Amazon özel RDS. |
Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı bağlantı dizesi | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı bağlantı dizesi. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Azure depolama hesabı SAS belirteçleri. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS erişim anahtarları. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin AWS S3 ön imzalı URL. | Yes | Yes | Envanter, bulut güvenlik gezgini, öneriler, saldırı yolları |
| Düz metin Google depolama imzalı URL. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure AD İstemci Gizli Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure DevOps Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin GitHub Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Uygulaması Yapılandırma Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Bilişsel Hizmet Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure AD Kullanıcı Kimlik Bilgileri. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Container Registry Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Uygulaması Hizmet Dağıtım Parolası. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Databricks Kişisel Erişim Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure SignalR Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure API Management Abonelik Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Bot Framework Gizli Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Machine Learning Web Hizmeti API Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure İletişim Hizmetleri Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Event Grid Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Plaintext Amazon Market Web Hizmeti (MWS) Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Haritalar Abonelik Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Web PubSub Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz Metin OpenAI API Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Batch Paylaşılan Erişim Anahtarı. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin NPM Yazar Belirteci. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Abonelik Yönetimi Sertifikası. | Yes | Yes | Envanter, bulut güvenlik gezgini. |
| Düz metin GCP API Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin AWS Redshift kimlik bilgileri. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Özel anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin ODBC bağlantı dizesi. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Genel parolası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Kullanıcı oturum açma kimlik bilgileri. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Travis kişisel belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Slack erişim belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin ASP.NET Makine Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin HTTP Yetkilendirme Üst Bilgisi. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Redis Cache parolası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure IoT Paylaşılan Erişim Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure DevOps Uygulama Gizli Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure İşlevi API Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Paylaşılan Erişim Anahtarı. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Mantıksal Uygulaması Paylaşılan Erişim İmzası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz metin Azure Active Directory Erişim Belirteci. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |
| Düz Metin Azure Service Bus Paylaşılan Erişim İmzası. | Hayır | Evet | Envanter, bulut güvenlik gezgini. |