Sdílet prostřednictvím

Zabezpečení identit úloh

  • Článek

Microsoft Entra ID Protection dokáže detekovat, zkoumat a opravovat pracovní identity pro ochranu aplikací a služebních jmen kromě identit uživatelů.

Identita úlohy je identita, která aplikaci umožňuje přístup k prostředkům, někdy v kontextu uživatele. Tyto identity úloh se liší od tradičních uživatelských účtů, protože:

  • Neumožňují provést vícefaktorové ověřování.
  • Často nemají žádný formální proces životního cyklu.
  • Potřebují někde ukládat svoje přihlašovací údaje nebo tajné kódy.

Tyto rozdíly znesnadňují správu identit úloh a vystavují je vyššímu riziku ohrožení.

Důležité

Úplné podrobnosti o riziku a řízení přístupu na základě rizik jsou k dispozici zákazníkům s Workload Identities Premium; zákazníci bez licencí Workload Identities Premium ale stále obdrží všechny detekce s omezenými podrobnostmi o reportování.

Poznámka:

Ochrana ID detekuje riziko u jednoho tenanta, saaS třetích stran a víceklientských aplikací. Spravované identity momentálně nejsou zahrnuty.

Požadavky

Pokud chcete používat sestavy rizik identit úloh, včetně panelu rizikové identity úloh a karty detekce identit úloh v panelu Detekce rizik v portálu, musíte mít následující.

  • Jedna z následujících přiřazených rolí správce

    • Správce zabezpečení
    • Operátor zabezpečení
    • Analytik zabezpečení

    Uživatelé s přiřazenou rolí Správce podmíněného přístupu můžou vytvářet zásady, které jako podmínku používají riziko.

Pokud chcete provést akce s rizikovými identitami úloh, doporučujeme nastavit zásady podmíněného přístupu založené na rizicích, které vyžadují licencování Identit úloh Premium: Můžete zobrazit, spustit zkušební verzi a získat licence na kartě Identit úloh.

Poznámka:

S Microsoft Security Copilot můžete pomocí výzev přirozeného jazyka získat přehled o rizikových identitách úloh. Přečtěte si další informace o tom, jak vyhodnotit rizika aplikací pomocí microsoft Security Copilotu v aplikaci Microsoft Entra.

Detekce rizik identit pracovních zátěží

Detekujeme riziko u identit pracovního zatížení na základě chování při přihlašování a offline indikátorů kompromitace.

Název detekce Typ detekce Popis typ rizikové události
Microsoft Entra vyhodnocení hrozeb Režim offline Tato detekce rizik označuje určitou aktivitu, která je konzistentní se známými vzory útoků na základě interních a externích zdrojů analýzy hrozeb Od Microsoftu. šetření zpravodajství o hrozbách
Podezřelé přihlášení Režim offline Tato detekce rizik signalizuje přihlašovací parametry nebo vzory, které jsou pro tento servisní principal neobvyklé. Detekce naučí základní vzorce přihlašovacího chování pro identity úloh ve vašem příjemci. Tato detekce trvá 2 až 60 dnů a aktivuje se, pokud se během pozdějšího přihlášení zobrazí jedna nebo více následujících neznámých vlastností: IP adresa / ASN, cílový prostředek, uživatelský agent, změna IP adresy, hostování nebo nehostování IP adresy, země IP adresy, typ přihlašovacích údajů. Vzhledem k programatické povaze přihlašování pomocí identity úloh poskytujeme časové razítko pro podezřelou aktivitu místo označení konkrétní přihlašovací události. Tuto detekci můžou aktivovat přihlášení iniciovaná po autorizované změně konfigurace. podezřelá přihlášení
Správce potvrdil kompromitaci služebního principu. Režim offline Tato detekce indikuje, že správce vybral v uživatelském rozhraní rizikových identit pracovních zátěží možnost Potvrdit kompromitaci nebo pomocí rozhraní API RiskyServicePrincipals. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto účtu, zkontrolujte historii rizik účtu (prostřednictvím uživatelského rozhraní nebo rozhraní API). Administrátor potvrdil kompromitaci služebního principálu
Uniklé přihlašovací údaje Režim offline Tato detekce rizik značí, že došlo k úniku platných přihlašovacích údajů účtu. K tomuto úniku může dojít, když někdo zkontroluje přihlašovací údaje v artefaktu veřejného kódu na GitHubu nebo když dojde k úniku přihlašovacích údajů prostřednictvím porušení zabezpečení dat. Když služba Microsoft pro únik přihlašovacích údajů získá přihlašovací údaje z GitHubu, dark webu, webů pro sdílení textu nebo jiných zdrojů, jsou porovnány s aktuálními platnými přihlašovacími údaji v Microsoft Entra ID, aby se našly platné shody. uniklé přihlašovací údaje
Škodlivá aplikace Režim offline Tato detekce kombinuje výstrahy ze služby ID Protection a Microsoft Defenderu for Cloud Apps, které indikují, kdy Microsoft zakáže aplikaci pro porušení našich podmínek služby. Doporučujeme provést šetření aplikace. Poznámka: Tyto aplikace se zobrazují DisabledDueToViolationOfServicesAgreement na disabledByMicrosoftStatus vlastnostech souvisejících s aplikací a hlavním objektem služby v Microsoft Graph. Pokud chcete zabránit tomu, aby se objekty znovu v budoucnu instanciovaly ve vaší organizaci, nemůžete je odstranit. škodlivá aplikace
Podezřelá aplikace Režim offline Tato detekce značí, že služba ID Protection nebo Microsoft Defender for Cloud Apps identifikovala aplikaci, která může narušit naše podmínky služby, ale nezakazovala ji. Doporučujeme provést šetření aplikace. podezřelá aplikace
Neobvyklá aktivita hlavního účtu služby Režim offline Tento systém detekce rizik stanoví základní úroveň normálního chování služebního hlavního objektu v Microsoft Entra ID a rozpoznává anomální vzory chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje vůči administrativnímu služebnímu principálu provádějícímu změnu nebo objektu, který byl změněn. AnomálníČinnostPrincipálaSlužby
Podezřelý provoz rozhraní API Režim offline Tato detekce rizik se hlásí, když se pozoruje neobvyklý provoz Graph API nebo výčet adresáře služebního principála. Detekce podezřelého provozu v rozhraní API může znamenat neobvyklý průzkum nebo exfiltraci dat entitou služby. podezřelý provoz API

Identifikace rizikových identit úloh

Organizace můžou najít identity úloh označené příznakem rizika na jednom ze dvou míst:

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Uživatel se čtenářskými právy zabezpečení.
  2. Projděte do sekce Ochrana>Ochrana identity>Identifikace rizikových úloh.

Snímek obrazovky zobrazující rizika zjištěná u identit úloh v sestavě

Rozhraní Microsoft Graph API

Pomocí rozhraní Microsoft Graph API můžete také dotazovat identity rizikových úloh. Jsou dvě nové kolekce v rozhraních API pro ochranu ID.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Export rizikových dat

Organizace můžou exportovat data tak, že nakonfigurují nastavení diagnostiky v ID Microsoft Entra tak, aby odesílala riziková data do pracovního prostoru služby Log Analytics, archivují je do účtu úložiště, streamují je do centra událostí nebo odesílají do řešení SIEM.

Prosazování kontroly přístupu pomocí podmíněného přístupu založeného na riziku

Pomocí podmíněného přístupu pro pracovní identity můžete blokovat přístup pro konkrétní účty, které zvolíte, když je Ochrana ID označí jako ohrožené. Tato politika může být aplikována na jednotenantové servisní principály zaregistrované ve vašem tenantovi. SaaS, víceklientské aplikace a spravované identity třetích stran jsou mimo rozsah.

Kvůli lepšímu zabezpečení a odolnosti identit úloh představuje funkce CaE (Continuous Access Evaluation) pro identity úloh výkonný nástroj, který nabízí okamžité vynucování zásad podmíněného přístupu a všechny zjištěné rizikové signály. Identity úloh s podporou CAE třetích stran přistupující k prostředkům první strany s podporou CAE jsou vybaveny 24hodinovými dlouhodobými tokeny (LLT), které podléhají průběžným kontrolám zabezpečení. Informace o konfiguraci klientů identit úloh pro CAE a aktuální obor funkcí najdete v dokumentaci ke službě CAE pro identity úloh.

Zkoumání rizikových identit pracovních úloh

Služba ID Protection poskytuje organizacím dvě hlášení, která mohou použít k prozkoumání rizika zatížení. Tyto sestavy obsahují rizikové identity pracovních úloh a detekce rizik pro tyto identity. Všechny sestavy umožňují stahování událostí ve formátu souboru CSV pro další analýzu.

Mezi klíčové otázky, které můžete během vyšetřování zodpovědět, patří:

  • Ukazují účty podezřelou přihlašovací aktivitu?
  • Došlo k neoprávněným změnám přihlašovacích údajů?
  • Došlo u účtů k podezřelým změnám konfigurace?
  • Získal účet neautorizované aplikační role?

Průvodce operacemi zabezpečení Microsoft Entra pro aplikace poskytuje podrobné pokyny k výše uvedeným oblastem šetření.

Jakmile zjistíte, jestli došlo k ohrožení identity pracovního zatížení, vyřešte riziko účtu nebo potvrďte, že účet byl kompromitován ve zprávě o rizikových identitách pracovního zatížení. Pokud chcete účtu zablokovat další přihlášení, můžete také vybrat možnost „Zakázat služební účet“.

Potvrďte kompromitování identity úloh nebo odmítněte riziko.

Odstranění rizikových identit pracovních úloh

  1. Přihlašovací údaje pro inventarizaci přiřazené k rizikové identitě zatížení, bez ohledu na to, zda se jedná o služebního principála nebo objekty aplikace.
  2. Přidejte nové přihlašovací údaje. Microsoft doporučuje používat certifikáty x509.
  3. Odeberte ohrožené přihlašovací údaje. Pokud se domníváte, že účet je ohrožen, doporučujeme odebrat všechny existující přihlašovací údaje.
  4. Opravte všechna tajemství Azure KeyVault, ke kterým má služební principál přístup, jejich otočením.

Microsoft Entra Toolkit je modul PowerShellu, který vám může pomoct provádět některé z těchto akcí.

Související obsah