Condividi tramite


Protezione delle identità dei carichi di lavoro

Microsoft Entra ID Protection è in grado di rilevare, analizzare e correggere le identità dei carichi di lavoro per proteggere le applicazioni e le entità servizio oltre alle identità utente.

Un'identità dei carichi di lavoro è un'identità che consente a un'applicazione di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:

  • Non è possibile eseguire l'autenticazione a più fattori.
  • Spesso non hanno un processo del ciclo di vita formale.
  • Devono archiviare le credenziali o i segreti da qualche parte.

Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.

Importante

I dettagli completi dei rischi e i controlli di accesso basati sul rischio sono disponibili per i clienti di Workload Identities Premium; tuttavia, i clienti senza licenze Workload Identities Premium ricevono comunque tutti i rilevamenti con dettagli di segnalazione limitati.

Nota

Protezione ID rileva il rischio per il tenant singolo, le app SaaS di terze parti e multi-tenant. Le identità gestite non sono attualmente incluse nell'ambito.

Prerequisiti

Per utilizzare i report sui rischi delle identità di carichi di lavoro, incluse la scheda Identità di carichi di lavoro rischiosi e la scheda Rilevamenti delle identità di carichi di lavoro nel portale Rilevamenti dei rischi, è necessario disporre di quanto segue.

  • Uno dei ruoli di amministratore seguenti assegnati

    • Amministratore della sicurezza
    • Operatore per la sicurezza
    • Lettore di Sicurezza

    Gli utenti assegnati al ruolo Amministratore accesso condizionale possono creare criteri che usano il rischio come condizione.

Per intervenire sulle identità del lavoro rischiose, è consigliabile configurare criteri di accesso condizionale basati sul rischio, i quali richiedono le licenze Premium per le Identità del Lavoro: è possibile visualizzare, avviare una versione di valutazione e acquisire licenze nel pannello delle Identità del Lavoro.

Nota

Con Microsoft Security Copilot, si possono usare i prompt del linguaggio naturale per ottenere informazioni dettagliate sulle identità di carico di lavoro a rischio. Altre informazioni su come Valutare i rischi delle applicazioni usando Microsoft Security Copilot in Microsoft Entra.

Rilevamenti dei rischi di identità dei carichi di lavoro

Rileviamo rischi nelle identità dei carichi di lavoro in base al comportamento di accesso e agli indicatori offline di compromissione.

Nome rilevamento Tipo di rilevamento Descrizione tipoDiEventoRischio
Intelligence sulle minacce per Microsoft Entra Offline Questo rilevamento di rischi indica un'attività coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft. indagini di intelligence sulle minacce
Accessi sospetti Offline Questa rilevazione del rischio indica proprietà o modelli di accesso insoliti per questo principal del servizio. Il rilevamento acquisisce il comportamento di accesso di base per le identità dei carichi di lavoro nel tuo tenant. Il rilevamento richiede tra 2 e 60 giorni e viene attivato se una o più delle proprietà sconosciute seguenti appaiono durante un accesso successivo: indirizzo IP/ASN, risorsa di destinazione, agente utente, modifica IP di hosting/non hosting, paese IP, tipo di credenziale. A causa della natura programmatica degli accessi per identità dei carichi di lavoro, viene fornito un timestamp per l'attività sospetta invece di contrassegnare un evento di accesso specifico. Gli accessi avviati dopo una modifica di configurazione autorizzata potrebbero attivare questo rilevamento. suspiciousSignins
L'amministratore ha confermato che il principale del servizio è compromesso. Offline Questo rilevamento indica che un amministratore ha selezionato "Conferma compromesso" nell'interfaccia utente delle identità dei carichi di lavoro rischiosi o usando l'API riskyServicePrincipals. Per vedere quale amministratore ha confermato questo account compromesso, controllare la cronologia dei rischi dell'account (tramite l'interfaccia utente o l'API). amministratoreConfermatoPrincipaleDelServizioCompromesso
Credenziali trapelate Offline Questo rilevamento di rischi indica che le credenziali valide dell'utente sono andate perse. Questa perdita può verificarsi quando un utente memorizza le credenziali in un repository pubblico su GitHub, oppure quando le credenziali vengono trapelate attraverso una violazione dei dati. Quando il servizio di credenziali trapelate di Microsoft acquisisce le credenziali da GitHub, dal dark web, da siti di pastebin o da altre origini, tali credenziali vengono confrontate con le credenziali valide attuali in Microsoft Entra ID per trovare corrispondenze valide. credenziali trapelate
Applicazione dannosa Offline Questo rilevamento combina avvisi di Protezione ID e app Microsoft Defender for Cloud Apps per indicare quando Microsoft disabilita un'applicazione per violare le condizioni del servizio. È consigliabile condurre un'indagine dell'applicazione. Nota: queste applicazioni mostrano DisabledDueToViolationOfServicesAgreement nella proprietà disabledByMicrosoftStatus nei tipi di risorse dell'applicazione e del principale del servizio correlate in Microsoft Graph. Per impedire che vengano nuovamente istanziati nella vostra organizzazione in futuro, non è possibile eliminare questi oggetti. applicazione dannosa
Applicazione sospetta Offline Questo rilevamento indica che Protezione ID o Microsoft Defender for Cloud Apps ha identificato un'applicazione che potrebbe violare le nostre condizioni del servizio, ma non l'ha disabilitata. È consigliabile condurre un'indagine dell'applicazione. applicazione sospetta
Attività anomala dell'entità di servizio Offline Questo rilevamento di rischi stabilisce i parametri di riferimento per il normale comportamento del principale del servizio amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, come modifiche sospette alla directory. Il rilevamento viene attivato contro il principale del servizio amministrativo che apporta la modifica o contro l'oggetto che è stato modificato. Attività Anomala del Principal di Servizio
Traffico API sospetto Offline Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico anomalo di Graph API o l'enumerazione della directory di un'entità servizio principale. Il rilevamento del traffico API sospetto può indicare una ricognizione anomala o l'esfiltrazione di dati da parte di un principale del servizio. traffico sospetto delle API

Identificare le identità dei carichi di lavoro rischiose

Le organizzazioni possono trovare le identità dei carichi di lavoro contrassegnate per il rischio in una delle due posizioni seguenti:

  1. Accedere al Centro di amministrazione di Microsoft Entra almeno con ruolo di Lettore di sicurezza.
  2. Passare a Protezione>Protezione dell'Identità>Identità dei carichi di lavoro a rischio.

Screenshot che mostra i rischi rilevati rispetto alle identità dei carichi di lavoro nel report.

API di Microsoft Graph

È anche possibile eseguire query sulle identità del carico di lavoro rischiose usando l'API Microsoft Graph. Sono disponibili due nuove raccolte nelle API di protezione ID.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Esportare i dati sui rischi

Le organizzazioni possono esportare i dati configurando le impostazioni di diagnostica in Microsoft Entra ID per inviare dati di rischio a un'area di lavoro Log Analytics, archiviarli in un account di archiviazione, trasmetterli a un hub eventi o inviarli a una soluzione SIEM.

Applicare i controlli di accesso con l'accesso condizionale basato sul rischio

Usando Conditional Access per le identità dei carichi di lavoro, è possibile bloccare l'accesso per account specifici scelti quando ID Protection li contrassegna "a rischio". Il criterio può essere applicato ai principali del servizio single-tenant registrati nel tenant. Le app SaaS, multi-tenant e le identità gestite di terze parti non rientrano nell'ambito.

Per migliorare la sicurezza e la resilienza delle identità dei carichi di lavoro, la valutazione continua dell'accesso (CAE) per le identità dei carichi di lavoro è uno strumento potente che offre un'applicazione immediata dei criteri di accesso condizionale e dei segnali di rischio rilevati. Le identità dei carichi di lavoro di terze parti abilitate per il CAE che accedono alle risorse di prima parte abilitate per il CAE sono dotate di token di lunga durata (LLT) di 24 ore e sono soggette a controlli di sicurezza continuativi. Per informazioni sulla configurazione dei client di workload identity per l'uso con CAE e sull'ambito aggiornato delle funzionalità, consultare la documentazione CAE per le identità di workload.

Analizzare le identità dei carichi di lavoro rischiose

La Protezione dell'Identità fornisce alle organizzazioni due rapporti che possono utilizzare per esaminare il rischio relativo all'identità delle attività lavorative. Questi report riguardano le identità a rischio dei carichi di lavoro e i rilevamenti dei rischi per tali identità di carichi di lavoro. Tutti i report consentono il download degli eventi in formato CSV per un'ulteriore analisi.

Alcune delle domande principali a cui rispondere durante l'indagine includono:

  • Gli account mostrano attività di accesso sospette?
  • Sono state apportate modifiche non autorizzate alle credenziali?
  • Sono state apportate modifiche di configurazione sospette agli account?
  • L'account ha acquisito ruoli applicativi non autorizzati?

La Guida alle operazioni per la sicurezza di Microsoft Entra per le applicazioni fornisce indicazioni dettagliate sulle aree di indagine precedenti.

Una volta determinato se l'identità del carico di lavoro è stata compromessa, archiviare il rischio dell'account o confermare che l'account è compromesso nel rapporto sulle identità dei carichi di lavoro rischiosi. È anche possibile selezionare "Disabilita principale del servizio" se si desidera impedire ulteriori accessi all'account.

Confermare la compromissione dell'identità del carico di lavoro o respingere il rischio.

Rimedi alle identità dei carichi di lavoro rischiosi

  1. Credenziali di inventario assegnate all'identità del carico di lavoro a rischio, sia per il principale del servizio o gli oggetti dell'applicazione.
  2. Aggiungi una nuova credenziale. Microsoft consiglia di usare certificati x509.
  3. Rimuovere le credenziali compromesse. Se si ritiene che l'account sia a rischio, è consigliabile rimuovere tutte le credenziali esistenti.
  4. Correggere eventuali segreti di Azure KeyVault a cui l'entità servizio ha accesso ruotandoli.

Microsoft Entra Toolkit è un modulo di PowerShell che consente di eseguire alcune di queste azioni.