はじめに
Defender for Cloud のエージェントレス シークレット スキャンが GA しました。 なお、日本語ページはいまだに更新されていません... GA に伴って検出できるシークレットの種類が大幅に増えたようです。
英語ページ
日本語ページ
検証
前提条件などはドキュメントを確認いただくとして、Defender CSPM 無効、Defender for Servers P2 (DfS P2) 有効の場合でも使えるようなので、その構成で検証してみます。
DfS P2 を有効化します。
エージェントレス スキャンだけ有効化します。
VM のデスクトップに BLOB SAS を保管します。
エージェントレス スキャンは 24h ごとなので、すぐには検出できませんが、1 日後には検出できました。なお Defender CSPM を無効化しているので、確認方法は推奨事項の [マシンではシークレットの検出結果が解決されている必要がある] から、もしくは [インベントリ] > 対象リソース > [シークレット] タブ からになります。
ファイルパス、作成日、変更日、アクセス許可、対象サービスなどが確認可能です。
なお、Defender CSPM を有効化している場合は以下のように攻撃パス分析、クラウド セキュリティ エクスプローラーで分析が可能です。
備考など
- ホスト暗号化した VM で試しましたが、検出可能でした。https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-agentless-data-collection
- VM を定期的に停止している場合は正常に動作しないようです (検出した結果が消える)。
- BLOB の SAS は有効期限までチェックしているようです。
Discussion