Общие сведения о Microsoft Defender для Key Vault

Azure Key Vault — это облачная служба, которая обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей).

Включите Microsoft Defender для Key Vault для Azure, расширенную защиту от угроз для Azure Key Vault , обеспечивая еще один уровень аналитики безопасности.

Availability

Аспект	Сведения
Состояние выпуска:	Общедоступная версия
Цены.	Плата за использование Microsoft Defender для Key Vault начисляется по тарифам, приведенным на странице цен.
Облако.	Коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)

Каковы преимущества Microsoft Defender для Key Vault?

Microsoft Defender для Key Vault выявляет необычные и потенциально опасные попытки доступа к учетным записям Key Vault или их использования. Этот уровень защиты помогает устранять угрозы даже при отсутствии экспертных знаний по безопасности и избавляет от необходимости управлять сторонними системами мониторинга безопасности.

При возникновении аномальных действий Defender для Key Vault отображает оповещения и при необходимости отправляет их по электронной почте соответствующим членам вашей организации. Эти оповещения содержат сведения о подозрительных действиях и рекомендации о том, как определить причину угроз и устранить сами угрозы.

Оповещения Microsoft Defender для Key Vault

Если вы получите оповещение от Microsoft Defender для Key Vault, мы рекомендуем проанализировать его и отреагировать на это оповещение, как описано в статье Реагирование на оповещения Microsoft Defender для Key Vault. Microsoft Defender для Key Vault защищает приложения и учетные данные, но даже если вы знакомы с приложением или пользователем, активировавшим это оповещение, изучите причины возникновения для каждого оповещения.

Оповещения отображаются на странице "Безопасность Key Vault", на странице "Защита рабочей нагрузки" и на странице оповещений системы безопасности Defender для облака.

Совет

Вы можете имитировать оповещения Microsoft Defender для Key Vault, выполнив инструкции из записи блога Validating Azure Key Vault threat detection in Microsoft Defender for Cloud (Проверка обнаружения угроз Azure Key Vault в Microsoft Defender для облака).

Реагирование на оповещения Microsoft Defender для Key Vault

Если вы получите оповещение от Microsoft Defender для Key Vault, мы рекомендуем проанализировать его и отреагировать на это оповещение, как описано ниже. Microsoft Defender для Key Vault защищает приложения и учетные данные, но даже если вы знакомы с приложением или пользователем, активировавшим это оповещение, изучите причины возникновения для каждого оповещения.

Оповещения из Microsoft Defender для Key Vault включают следующие элементы:

• Идентификатор объекта
• Имя субъекта-пользователя или IP-адрес подозрительного ресурса.

В зависимости от типа доступа некоторые поля могут быть недоступны. Например, если доступ к хранилищу ключей был получен приложением, соответствующее имя участника-пользователя не будет отображаться. Если трафик поступает из за пределов Azure, идентификатор объекта не будет отображаться.

Совет

Виртуальным машинам Azure назначаются IP-адреса Майкрософт. Это означает, что предупреждение может содержать IP-адрес Майкрософт, даже если оно связано с действиями, выполненными за пределами среды Майкрософт. Поэтому, даже если у предупреждения есть IP-адрес Майкрософт, вы все равно должны изучить его, как описано на этой странице.

Шаг 1. Определение источника

1. Проверьте, поступил ли этот трафик из вашего клиента Azure. Если брандмауэр хранилища ключей включен, скорее всего, вы предоставили доступ пользователю или приложению, которое активировало это оповещение.
2. Если не удается подтвердить источник трафика, перейдите к этапу Шаг 2. Соответствующее реагирование.
3. Если вы можете узнать источник трафика в клиенте, обратитесь к пользователю или владельцу приложения.

Внимание

Microsoft Defender для Key Vault предназначен для выявления подозрительных действий, выполненных с использованием украденных учетных данных. Не закрывайте оповещение просто потому, что вам знакомы пользователь или приложение. Обратитесь к владельцу приложения или пользователю и убедитесь, что действие было правомерным. Можно создать правило подавления, чтобы при необходимости исключить шум. Дополнительные сведения см. в статье Скрытие оповещений системы безопасности.

Шаг 2. Соответствующее реагирование

Если вы не знаете этого пользователя или приложение или считаете, что доступ не должен быть авторизован:

• Если трафик поступил с неопознанного IP-адреса:

  1. Включите брандмауэр Azure Key Vault, как описано в статье Настройка брандмауэров Azure Key Vault и виртуальных сетей.
  2. Настройте брандмауэр с доверенными ресурсами и виртуальными сетями.

• Если источником предупреждения было несанкционированное приложение или подозрительный пользователь:

  1. Откройте параметры политики доступа для хранилища ключей.
  2. Удалите соответствующий субъект безопасности или ограничьте операции, которые может выполнять субъект безопасности.

• Если источник оповещения имеет роль Microsoft Entra в клиенте:

  1. Обратитесь к администратору.
  2. Определите, требуется ли уменьшить или отозвать разрешения Microsoft Entra.

Шаг 3. Измерение влияния

Если событие было устранено, проверьте затронутые секреты в хранилище ключей:

1. Откройте страницу Безопасность в хранилище ключей Azure и просмотрите активированное оповещение.
2. Выберите конкретное активированное оповещение и просмотрите список секретов, к которым осуществлялся доступ, и метку времени.
3. Кроме того, если включены журналы диагностики хранилища ключей, проверьте предыдущие операции для соответствующего IP-адреса вызывающего объекта, субъекта пользователя или идентификатора объекта.

Шаг 4. Выполнение действий

После компиляции списка секретов, ключей и сертификатов, к которым имели доступ подозрительный пользователь или приложение, следует немедленно сменить эти объекты.

1. Затронутые секреты должны быть отключены или удалены из хранилища ключей.
2. Если учетные данные использовались для конкретного приложения:
   1. Обратитесь к администратору приложения и попросите его проверить свою среду на предмет использования скомпрометированных учетных данных, так как они были скомпрометированы.
   2. Если были использованы скомпрометированные учетные данные, владелец приложения должен найти сведения, к которым осуществлялся доступ, и снизить влияние.

Следующие шаги

Из этой статьи вы узнали о том, что такое Microsoft Defender для Key Vault.

Связанные материалы см. в следующих статьях:

• Оповещения системы безопасности Key Vault — раздел Key Vault, в котором приведена справочная таблица со всеми оповещениями Microsoft Defender для облака.
• Непрерывный экспорт данных Defender для облака
• Скрытие оповещений системы безопасности