Catégorie : Azure

Advanced Threat Protection pour Azure Key Vault (AKV)

Bonjour,

Dans cet article, je vais vous présenter comment activer le service Advanced Threat Protection pour Azure Key Vault (AKV), dans Azure Security Center. Ceci service est public preview au moment où j’écris cet article.

L’objectif du service Advanced Threat Protection (ATP) est de vous fournir une série d’alertes de sécurité pour le service Key Vault. Nous pouvons retrouver par exemple.

AlerteDescription
Accès à partir d’un nœud de sortie TOR dans un coffre de clés Key VaultL’accès au coffre de clés Key Vault a été effectué par une personne qui utilise le système d’anonymisation IP pour masquer son emplacement. Les utilisateurs malveillants essaient souvent de masquer leur emplacement lorsqu’ils tentent d’accéder de façon non autorisée aux ressources connectées à Internet.
Modification de stratégie suspecte et requête secrète dans un coffre de clés Key VaultDes opérations destinés à répertorier et/ou obtenir des clés secrètes ont eu lieu après une modification apportée à la stratégie Key Vault. En outre, ce modèle d’opération n’est généralement pas exécuté par l’utilisateur sur ce coffre. Cela indique clairement que le coffre de clés Azure Key Vault est compromis et que les clés secrètes ont été volées par un acteur malveillant.
Liste des clés et requête suspectes auprès d’un coffre de clés Key VaultUne opération de liste secrète a été suivie de nombreuses opérations d’extraction de secret. En outre, ce modèle d’opération n’est généralement pas exécuté par l’utilisateur sur ce coffre. Cela indique qu’un utilisateur peut vider les secrets stockés dans le coffre de clés Key Vault à des fins malveillantes.
Une paire utilisateur-application inhabituelle a accédé à un coffre de clés Key VaultUn jumelage utilisateur-application a accédé au coffre de clés Key Vault alors qu’il n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, après une mise à jour d’infrastructure ou de code). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Une application inhabituelle a accédé à un coffre de clés Key VaultUne application a accédé au coffre de clés Key Vault alors qu’elle n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, après une mise à jour d’infrastructure ou de code). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Un utilisateur inhabituel a accédé à un coffre de clés Key VaultUn utilisateur a accédé au coffre de clés Key Vault alors qu’il n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, un nouvel utilisateur ayant besoin d’un accès a rejoint l’organisation). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Modèle d’opération inhabituelle dans un coffre de clés Key VaultUn ensemble inhabituel d’opérations Key Vault a été effectué par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.
Volume élevé d’opérations dans un coffre de clés Key VaultUne plus grande quantité d’opérations Key Vault a été effectuée par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.
L’utilisateur a accédé à un grand nombre de coffres de clésLe nombre de coffres auxquels accède un utilisateur ou une application a changé par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.

Afin d’activer cette fonctionnalité au sein de Azure Security Center, je vous donne rendez-vous au sein du service. Puis je vous invite à sélectionner « Pricing & settings », ainsi que vous souscription Azure.

Enfin sélectionner le plan « Standard » et cliquer sur « Enabled » pour le type de ressource: Key Vaults (Preview).

Maxime.

AKS | Générer des alertes de sécurité pour Azure Security Center

Bonjour,

Si vous avez lu mon article sur comment active Azure Advanced Threat Protection pour vos cluster AKS. Vous vous posez très certainement la question sur comment générer des alertes de sécurité qui soient fictives.

Pour cela Microsoft, nous propose d’uiliser la commande: kubectl get pods –namespace=asc-alerttest-662jfi039n

Après quelques minutes, vous allez pouvoir consulter votre alertes de sécurité directement depuis Azure Security Center:

Maxime.

Slides | Azure Security – Microsoft Reactor Toronto

Hello,

J’ai eu le plaisir d’animer une conférence sur la sécurité de l’éco-système Azure au sein du Microsoft Reactor Toronto.

Ci-dessous les slides de la conférence:

N’hésitez pas à me solliciter si vous avez des questions.

Maxime.