Corrigir segredos da máquina

O Microsoft Defender for Cloud pode verificar máquinas e implantações na nuvem em busca de segredos suportados, para reduzir o risco de movimentação lateral.

Esse artigo ajuda você a identificar e corrigir descobertas de verificação de segredos de máquina.

• Você pode revisar e corrigir descobertas usando recomendações de segredos de máquina.
• Veja os segredos descobertos em uma máquina específica no inventário do Defender para Nuvem
• Analise detalhadamente as descobertas de segredos de máquina usando consultas do Cloud Security Explorer e caminhos de ataque de segredos de máquina
• Nem todos os métodos são compatíveis com cada segredo. Revise os métodos suportados para diferentes tipos de segredos.

É importante poder priorizar segredos e identificar quais deles precisam de atenção imediata. Para ajudá-lo a fazer isso, o Defender para Nuvem:

• Fornece metadados avançados para cada segredo, como a hora do último acesso de um arquivo, uma data de expiração do token, uma indicação se o recurso de destino ao qual os segredos fornecem acesso existe e muito mais.
• Combina metadados de segredos com o contexto de ativos de nuvem. Isso ajuda você a começar com ativos expostos à Internet ou a conter segredos que possam comprometer outros ativos confidenciais. As descobertas de verificação de segredos são incorporadas à priorização de recomendação baseada em risco.
• Fornece várias exibições para ajudar na identificação dos segredos mais comumente encontrados ou ativos que contêm segredos.

Pré-requisitos

• Uma conta do Azure. Caso ainda não tenha uma conta do Azure, crie hoje mesmo sua conta gratuita do Azure.
• O Defender para Nuvem deve estar disponível em sua assinatura do Azure.
• Pelo menos um desses planos deve estar habilitado:
  • Plano 2 do Defender para Servidores
  • GPSN do Defender
• A verificação de computador sem agente deve estar habilitada.

Corrigir segredos com recomendações

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Recomendações.

3. Expanda o controle de segurança Corrigir vulnerabilidades.

4. Selecione uma das recomendações relevantes:

   • Recursos do Azure: Machines should have secrets findings resolved

   • Recursos da AWS: EC2 instances should have secrets findings resolved

   • Recursos da GCP: VM instances should have secrets findings resolved

     

5. Expanda Recursos afetados para examinar a lista de todos os recursos que contêm segredos.

6. Na seção Descobertas, selecione um segredo para exibir informações detalhadas sobre o segredo.

   

7. Expanda Etapas de correção e siga as etapas listadas.

8. Expanda Recursos afetados para examinar os recursos afetados por esse segredo.

9. (Opcional) Você pode selecionar um recurso afetado para ver suas informações.

Os segredos que não têm um caminho de ataque conhecido são chamados de secrets without an identified target resource.

Corrigir segredos para uma máquina no inventário

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Inventário.

3. Selecione a VM relevante.

4. Acesse a guia Segredos.

5. Examine cada segredo de texto não criptografado que aparece com os metadados relevantes.

6. Selecione um segredo para exibir seus detalhes adicionais.

   Diferentes tipos de segredos têm diferentes conjuntos de informações adicionais. Por exemplo, para chaves privadas SSH de texto não criptografado, as informações incluem chaves públicas relacionadas (mapeamento entre a chave privada e o arquivo de chaves autorizadas que descobrimos ou mapeamento para uma máquina virtual diferente que contém o mesmo identificador de chave privada SSH).

Corrigir segredos com o caminho do ataque

1. Entre no portal do Azure.

2. Vá para Microsoft Defender para Nuvem>Recomendações>Caminho do ataque.

   

3. Selecione o caminho de ataque relevante.

4. Siga as etapas de correção para corrigir o caminho de ataque.

Corrigir segredos com o Cloud Security Explorer

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Cloud Security Explorer.

3. Selecione um dos seguintes modelos:

   • VM com segredo de texto não criptografado que pode se autenticar em outra VM: retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar outras VMs ou EC2s.
   • VM com segredo de texto não criptografado que pode se autenticar em uma conta de armazenamento: retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar contas de armazenamento.
   • VM com segredo de texto não criptografado que pode se autenticar em um banco de dados SQL – Retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar bancos de dados SQL.

Se não quiser usar nenhum dos modelos disponíveis, também poderá criar sua própria consulta no Cloud Security Explorer.