Visão geral do Microsoft Defender para Key Vault

Azure Key Vault é um serviço de nuvem que protege chaves de encriptação e segredos como certificados, cadeias de conexão e senhas.

Ativar o Microsoft Defender para Key Vault para a Azure-nativa e avançada proteção contra ameaças para a Azure Key Vault, fornecendo uma camada adicional de inteligência de segurança.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Microsoft Defender para Key Vault é faturado como mostrado na página de preços
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet)

Quais são os benefícios do Microsoft Defender para Key Vault?

O Microsoft Defender para Key Vault deteta tentativas incomuns e potencialmente prejudiciais de aceder ou explorar contas Key Vault. Esta camada de proteção ajuda-o a lidar com ameaças mesmo que não seja um perito em segurança, e sem a necessidade de gerir sistemas de monitorização de segurança de terceiros.

Quando ocorrem atividades anómalas, o Defender para Key Vault mostra alertas e envia opcionalmente através de e-mail para membros relevantes da sua organização. Estes alertas incluem detalhes da atividade suspeita e recomendações sobre como investigar e remediar ameaças.

Alertas microsoft Defender para Key Vault

Quando receber um alerta do Microsoft Defender para Key Vault, recomendamos que investigue e responda ao alerta como descrito no "Responder ao Microsoft Defender" para Key Vault. O Microsoft Defender para Key Vault protege as aplicações e credenciais, por isso mesmo que esteja familiarizado com a aplicação ou utilizador que desencadeou o alerta, é importante verificar a situação em torno de cada alerta.

Os alertas aparecem na página de Segurança da Key Vault, nas proteções da carga de trabalho e na página de alertas da Defender para a Cloud.

Azure Key Vault's security page

Dica

Pode simular alertas de Key Vault do Microsoft Defender seguindo as instruções de validação de Key Vault deteção de ameaças em Microsoft Defender para a Cloud.

Responda ao Microsoft Defender para alertas de Key Vault

Quando receber um alerta do Microsoft Defender para Key Vault, recomendamos que investigue e responda ao alerta conforme descrito abaixo. O Microsoft Defender para Key Vault protege as aplicações e credenciais, pelo que mesmo que esteja familiarizado com a aplicação ou utilizador que desencadeou o alerta, é importante verificar a situação em torno de cada alerta.

Alertas do Microsoft Defender para Key Vault inclui estes elementos:

  • ID do Objeto
  • Nome principal do utilizador ou endereço IP do recurso suspeito

Dependendo do tipo de acesso que ocorreu, alguns campos podem não estar disponíveis. Por exemplo, se o cofre de chaves tiver sido acedido por uma aplicação, não verá um Nome Principal de Utilizador associado. Se o tráfego teve origem fora do Azure, não verá um ID de Objeto.

Dica

As máquinas virtuais Azure são atribuídas ao Microsoft IPs. Isto significa que um alerta pode conter um IP da Microsoft, mesmo que se relacione com a atividade realizada fora da Microsoft. Assim, mesmo que um alerta tenha um IP da Microsoft, você ainda deve investigar como descrito nesta página.

Passo 1. Identificar a fonte

  1. Verifique se o tráfego teve origem no seu inquilino Azure. Se a firewall do cofre está ativada, é provável que tenha dado acesso ao utilizador ou aplicação que desencadeou este alerta.
  2. Se não puder verificar a origem do tráfego, continue até ao passo 2. Responda em conformidade.
  3. Se conseguir identificar a origem do tráfego no seu inquilino, contacte o utilizador ou proprietário da aplicação.

Atenção

O Microsoft Defender for Key Vault foi concebido para ajudar a identificar atividades suspeitas causadas por credenciais roubadas. Não desprezem o alerta simplesmente porque reconhece o utilizador ou aplicação. Contacte o proprietário da aplicação ou o utilizador e verifique se a atividade era legítima. Pode criar uma regra de supressão para eliminar o ruído, se necessário. Saiba mais em alertas de segurança suprimindo.

Passo 2. Responda em conformidade

Se não reconhecer o utilizador ou aplicação, ou se acha que o acesso não deveria ter sido autorizado:

  • Se o tráfego veio de um endereço IP não reconhecido:

    1. Ativar a firewall Key Vault Azure, conforme descrito no Configure Azure Key Vault firewalls e redes virtuais.
    2. Configure a firewall com recursos fidedignos e redes virtuais.
  • Se a origem do alerta fosse uma aplicação não autorizada ou um utilizador suspeito:

    1. Abra as definições de política de acesso do cofre da chave.
    2. Remova o correspondente principal de segurança ou restringir as operações que o principal de segurança pode executar.
  • Se a fonte do alerta tiver um papel Azure Ative Directory no seu inquilino:

    1. Contacte o seu administrador.
    2. Determinar se há necessidade de reduzir ou revogar permissões Azure Ative Directory.

Passo 3. Medir o impacto

Quando o evento tiver sido atenuado, investigue os segredos no seu cofre chave que foram afetados:

  1. Abra a página de Segurança no cofre da chave Azure e veja o alerta desencadeado.
  2. Selecione o alerta específico que foi desencadeado e reveja a lista dos segredos que foram acedidos e a hora de se termos.
  3. Opcionalmente, se tiver registos de diagnóstico de cofre de chaves ativados, reveja as operações anteriores para o IP, o principal do utilizador ou o ID do objeto correspondente.

Passo 4: Tome medidas

Quando tiver compilado a sua lista de segredos, chaves e certificados que foram acedidos pelo utilizador ou aplicação suspeito, deverá rodar esses objetos imediatamente.

  1. Os segredos afetados devem ser desativados ou eliminados do cofre da chave.
  2. Se as credenciais forem utilizadas para uma aplicação específica:
    1. Contacte o administrador do pedido e peça-lhes que auditem o seu ambiente para qualquer utilização das credenciais comprometidas, uma vez que foram comprometidas.
    2. Se as credenciais comprometidas forem utilizadas, o titular da aplicação deve identificar as informações que foram acedidas e mitigar o impacto.

Passos seguintes

Neste artigo, aprendeu sobre o Microsoft Defender para Key Vault.

Para material relacionado, consulte os seguintes artigos: