Udostępnij przez

Eksplorowanie zagrożeń dla poufnych danych

Po odnalezieniu zasobów z danymi poufnymi usługa Microsoft Defender dla Chmury umożliwia eksplorowanie ryzyka poufnych danych dla tych zasobów z następującymi funkcjami:

  • Ścieżki ataków: po włączeniu odnajdywania poufnych danych w planie zarządzania stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) można użyć ścieżek ataków w celu wykrycia ryzyka naruszenia danych. Aby uzyskać więcej informacji, zobacz Zarządzanie stanem zabezpieczeń danych w CSPM w usłudze Defender.
  • Eksplorator zabezpieczeń: po włączeniu odnajdywania poufnych danych w planie programu Defender CSPM możesz użyć Eksploratora zabezpieczeń w chmurze, aby znaleźć poufne informacje o danych. Aby uzyskać więcej informacji, zobacz Zarządzanie stanem zabezpieczeń danych w CSPM w usłudze Defender.
  • Alerty zabezpieczeń: po włączeniu odnajdywania poufnych danych w planie usługi Defender for Storage można określić priorytety i eksplorować bieżące zagrożenia dla poufnych magazynów danych, stosując filtry poufności w ustawieniach alertów zabezpieczeń.

Eksplorowanie zagrożeń za pośrednictwem ścieżek ataków

Wyświetl wstępnie zdefiniowane ścieżki ataków, aby wykryć zagrożenia związane z naruszeniem zabezpieczeń danych i uzyskać zalecenia dotyczące korygowania w następujący sposób:

  1. W usłudze Defender for Cloud otwórz analizę ścieżki ataku.

  2. Filtruj według czynników ryzyka i wybierz pozycję Poufne dane , aby filtrować ścieżki ataków związane z danymi.

    Zrzut ekranu przedstawiający ścieżki ataków dla ryzyka związanego z danymi.

  3. Przejrzyj ścieżki ataków na dane.

  4. Aby wyświetlić poufne informacje wykryte w zasobach danych, wybierz nazwę > zasobu Insights. Następnie rozwiń wgląd zawierający poufne dane.

  5. W przypadku kroków ograniczania ryzyka otwórz aktywne zalecenia.

Inne przykłady ścieżek ataków dla poufnych danych to:

  • Kontener Azure Storage z poufnymi danymi, udostępniony w Internecie, jest publicznie dostępny.
  • Zarządzana baza danych z nadmierną widocznością w Internecie i poufnymi danymi umożliwia podstawowe uwierzytelnianie (przez użytkownika lokalnego/hasło).
  • Maszyna wirtualna ma poważne luki w zabezpieczeniach oraz uprawnienia do odczytu do magazynu danych zawierającego dane poufne.
  • Wiadro AWS S3 udostępnione w Internecie z danymi wrażliwymi jest publicznie dostępne.
  • "Prywatny zasobnik usługi AWS S3, który replikuje dane do Internetu, jest uwidoczniony i publicznie dostępny"
  • Migawka RDS jest ogólnie dostępna dla wszystkich kont AWS

Eksplorowanie zagrożeń za pomocą Eksploratora zabezpieczeń w chmurze

Zapoznaj się z ryzykiem i ekspozycją na wykresie zabezpieczeń w chmurze przy użyciu szablonu zapytania lub definiując zapytanie ręczne.

  1. W usłudze Defender for Cloud otwórz eksploratora zabezpieczeń w chmurze.

  2. Możesz utworzyć własne zapytanie lub wybrać jeden z szablonów > zapytań poufnych danych Otwórz zapytanie i zmodyfikować je zgodnie z potrzebami. Oto przykład:

    Zrzut ekranu przedstawiający zapytanie dotyczące danych Insights.

Korzystanie z szablonów zapytań

Alternatywą dla tworzenia własnego zapytania jest użycie wstępnie zdefiniowanych szablonów zapytań. Dostępnych jest kilka szablonów zapytań dotyczących danych poufnych. Przykład:

  • Kontenery pamięci masowej z poufnymi danymi są dostępne publicznie przez Internet.
  • Internet uwidocznił zasobniki S3 z poufnymi danymi, które zezwalają na dostęp publiczny

Po otwarciu wstępnie zdefiniowanego zapytania zostanie ono wypełnione automatycznie i będzie można je dostosować zgodnie z potrzebami. Oto na przykład wstępnie wypełnione pola dla "kontenerów do przechowywania udostępnionych w Internecie z poufnymi danymi, które zezwalają na dostęp publiczny".

Zrzut ekranu przedstawiający szablon zapytania o dane usługi Insights.

Eksplorowanie alertów zabezpieczeń danych poufnych

Po włączeniu odnajdywania danych poufnych w planie usługi Defender for Storage można nadać priorytety i skoncentrować się na alertach, które dotyczą zasobów z danymi poufnymi. Dowiedz się więcej o monitorowaniu alertów zabezpieczeń danych w usłudze Defender for Storage.

W przypadku baz danych PaaS i zasobników S3 wyniki są raportowane do Azure Resource Graph (ARG), co umożliwia filtrowanie i sortowanie według etykiet poufności i typów informacji poufnych w sekcjach Inwentarz, Alerty i Rekomendacje w usłudze Defender for Cloud.

Wyniki eksportu

Często zdarza się, że administrator bezpieczeństwa, który przegląda wyniki poufnych danych w ścieżkach ataków lub eksploratorze zabezpieczeń, nie ma bezpośredniego dostępu do magazynów danych. W związku z tym muszą podzielić się ustaleniami z właścicielami danych, którzy mogą następnie przeprowadzić dalsze dochodzenie.

W tym celu należy użyć funkcji Eksportuj w obszarze Zawiera szczegółowe informacje o poufnych danych .

Zrzut ekranu przedstawiający sposób eksportowania szczegółowych informacji.

Utworzony plik CSV zawiera następujące elementy:

  • Przykładowa nazwa — w zależności od typu zasobu może to być kolumna bazy danych, nazwa pliku lub nazwa kontenera.
  • Etykieta czułości — najwyżej sklasyfikowana etykieta znaleziona w tym zasobie (ta sama wartość dla wszystkich wierszy).
  • Zawarte w — przykładowa pełna ścieżka (ścieżka pliku lub pełna nazwa kolumny).
  • Typy informacji poufnych — odnalezione typy informacji na przykład. Jeśli wykryto więcej niż jeden typ informacji, dla każdego typu informacji zostanie dodany nowy wiersz. Umożliwia to łatwiejsze filtrowanie.

Uwaga / Notatka

Pobierz raport CSV na stronie Cloud Security Explorer eksportuje wszystkie szczegółowe informacje pobrane przez zapytanie w formacie nieprzetworzonym (json).

Dalsze kroki

  • Last updated on