Panoramica di Microsoft Defender per Key Vault

  • Articolo

Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password.

Abilitare Microsoft Defender per Key Vault per la protezione avanzata dalle minacce nativa di Azure per Azure Key Vault , offrendo un altro livello di intelligence per la sicurezza.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per Key Vault viene fatturato come illustrato nella pagina dei prezzi
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

Quali sono i vantaggi offerti da Microsoft Defender per Key Vault?

Microsoft Defender per Key Vault rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di Key Vault. Questo livello di protezione consente di affrontare le minacce anche se non si è esperti di sicurezza e senza la necessità di gestire sistemi di monitoraggio della sicurezza di terze parti.

Quando si verificano attività anomale, Defender per Key Vault mostra gli avvisi e, facoltativamente, li invia tramite posta elettronica ai membri pertinenti dell'organizzazione. Questi avvisi includono i dettagli delle attività sospette e raccomandazioni su come analizzare e risolvere le minacce.

Avvisi di Microsoft Defender per Key Vault

Quando si riceve un avviso da Microsoft Defender per Key Vault, è consigliabile analizzare e rispondere all'avviso come descritto in Rispondere a Microsoft Defender per Key Vault. Microsoft Defender per Key Vault protegge le applicazioni e le credenziali, quindi, anche se si ha familiarità con l'applicazione o l'utente che ha attivato l'avviso, è importante controllare la situazione che circonda ogni avviso.

Gli avvisi vengono visualizzati nella pagina Sicurezza di Key Vault, nelle protezioni del carico di lavoro e nella pagina degli avvisi di sicurezza di Defender per il cloud.

Screenshot that shows the Azure Key Vault's security page

Suggerimento

È possibile simulare gli avvisi di Microsoft Defender per Key Vault seguendo le istruzioni riportate in Convalida del rilevamento delle minacce di Azure Key Vault in Microsoft Defender per il cloud.

Rispondere agli avvisi di Microsoft Defender per Key Vault

Quando si riceve un avviso da Microsoft Defender per Key Vault, è consigliabile analizzare e rispondere all'avviso come descritto di seguito. Microsoft Defender per Key Vault protegge le applicazioni e le credenziali, quindi anche se si conosce l'applicazione o l'utente che ha attivato l'avviso, è importante verificare la situazione di ogni avviso.

Gli avvisi di Microsoft Defender per Key Vault includono questi elementi:

  • ID dell'oggetto.
  • Nome dell'entità utente o indirizzo IP della risorsa sospetta

A seconda del tipo di accesso che si è verificato, alcuni campi potrebbero non essere disponibili. Ad esempio, se l'accesso a Key Vault è stato eseguito mediante un'applicazione, non verrà visualizzato il nome dell'entità utente associato. Se il traffico proviene dall'esterno di Azure, non viene visualizzato l'ID oggetto.

Suggerimento

Alle macchine virtuali di Azure vengono assegnati indirizzi IP Microsoft. Ciò significa che un avviso potrebbe contenere un IP Microsoft anche se si riferisce ad attività svolte all'esterno di Microsoft. Pertanto, anche se un avviso ha un indirizzo IP Microsoft, è comunque consigliabile esaminare come descritto in questa pagina.

Passaggio 1: Identificare l'origine

  1. Verificare se il traffico è stato originato dal tenant di Azure. Se il firewall di Key Vault è abilitato, è probabile che sia stato concesso l'accesso all'utente o all'applicazione che ha attivato l'avviso.
  2. Se non è possibile verificare l'origine del traffico, continuare con il passaggio 2. Rispondere di conseguenza.
  3. Se è possibile identificare l'origine del traffico nel tenant, contattare l'utente o il proprietario dell'applicazione.

Attenzione

Microsoft Defender per Key Vault è progettato per identificare le attività sospette causate da credenziali rubate. Non ignorare l'avviso semplicemente perché si riconosce l'utente o l'applicazione. Contattare il proprietario dell'applicazione o dell'utente e verificare che l'attività sia stata legittima. È possibile creare una regola di eliminazione per eliminare il rumore, se necessario. Per altre informazioni, vedere Eliminare gli avvisi di sicurezza.

Passaggio 2: Rispondere di conseguenza

Se non si riconosce l'utente o l'applicazione o se si ritiene che l'accesso non avrebbe dovuto essere autorizzato:

  • Se il traffico proviene da un indirizzo IP non riconosciuto:

    1. Abilitare il firewall di Azure Key Vault come descritto in Configurare firewall e reti virtuali di Azure Key Vault.
    2. Configurare il firewall con risorse attendibili e reti virtuali.

  • Se l'origine dell'avviso è un'applicazione non autorizzata o un utente sospetto:

    1. Aprire le impostazioni dei criteri di accesso dell'insieme di credenziali delle chiavi.
    2. Rimuovere l'entità di sicurezza corrispondente o limitare le operazioni che questa può eseguire.

  • Se l'origine dell'avviso ha un ruolo Microsoft Entra nel tenant:

    1. Contattare l'amministratore.
    2. Stabilire se è necessario ridurre o revocare le autorizzazioni di Microsoft Entra.

Passaggio 3: Misurare l'impatto

Quando l'evento è stato mitigato, esaminare i segreti nell'insieme di credenziali delle chiavi interessati:

  1. Aprire la pagina Sicurezza nell'insieme di credenziali delle chiavi di Azure e visualizzare l'avviso attivato.
  2. Selezionare l'avviso specifico attivato ed esaminare l'elenco dei segreti a cui è stato eseguito l'accesso e il timestamp.
  3. Facoltativamente, se i log di diagnostica dell'insieme di credenziali delle chiavi sono abilitati, esaminare le operazioni precedenti per l'IP chiamante, l'entità utente o l'ID oggetto corrispondente.

Passaggio 4: Eseguire un'azione

Dopo aver compilato l'elenco dei segreti, delle chiavi e dei certificati a cui si accede dall'utente o dall'applicazione sospetta, è necessario ruotare immediatamente tali oggetti.

  1. I segreti interessati devono essere disabilitati o eliminati dall'insieme di credenziali delle chiavi.
  2. Se le credenziali sono state usate per un'applicazione specifica:
    1. Contattare l'amministratore dell'applicazione e chiedere di controllare l'ambiente per identificare qualsiasi uso delle credenziali compromesse successivamente alla violazione.
    2. Se le credenziali compromesse sono state usate, il proprietario dell'applicazione deve identificare le informazioni a cui è stato eseguito l'accesso e mitigare l'impatto.

Passaggi successivi

In questo articolo sono state fornite informazioni su Microsoft Defender per Key Vault.

Per i materiali correlati, vedere gli articoli seguenti: