Simulare i rilevamenti dei rischi in Microsoft Entra ID Protection

Gli amministratori possono simulare i rilevamenti dei rischi in Microsoft Entra ID Protection per popolare i dati e testare i criteri di accesso condizionale basati sul rischio.

Questo articolo riporta i passaggi per la simulazione dei seguenti tipi di rilevamento di rischio:

• Indirizzo IP anonimo (facile)
• Proprietà di accesso insolite (moderato)
• Viaggio atipico (difficile)
• Credenziali trapelate in GitHub per le identità di workload (moderato)

Non è possibile simulare altri rilevamenti di rischio in modo sicuro.

Ulteriori informazioni su ogni rilevamento dei rischi possono essere trovate negli articoli Cos'è il rischio per l'utente e l'identità del carico di lavoro .

Simulare un indirizzo IP anonimo

Per completare la procedura seguente, sono necessari:

• Tor Browser per simulare indirizzi IP anonimi. Potrebbe essere necessario usare una macchina virtuale, se l'organizzazione limita l'uso di Tor Browser.
• Un account di test che non è stato ancora registrato per l'autenticazione a più fattori Microsoft Entra.

Per simulare un accesso da un IP anonimo, seguire questa procedura:

1. Usando Tor Browser, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account da visualizzare nel report Accessi da indirizzi IP anonimi .

L'accesso viene visualizzato nel report entro 10 - 15 minuti.

Simulare le proprietà sconosciute di Sign-In

Per simulare località non familiari, è necessario utilizzare una posizione e un dispositivo che l'account di test non abbia mai usato prima.

La procedura seguente utilizza quanto segue, di nuova creazione:

• Una connessione VPN per simulare una nuova posizione
• Una macchina virtuale per simulare un nuovo dispositivo

Per completare la procedura seguente è necessario usare un account utente con almeno 30 giorni di cronologia di accesso e metodi di autenticazione a più fattori utilizzabili.

Per simulare un accesso da una posizione non nota, seguire questa procedura:

1. Usando la nuova rete VPN, passare a https://myapps.microsoft.com e immettere le credenziali dell'account di test.
2. Quando si accede con l'account di test, fallire deliberatamente la sfida di autenticazione a più fattori non superando il controllo MFA.

L'accesso viene visualizzato nel report entro 10 - 15 minuti.

Simulare il viaggio atipico

Simulare la condizione di viaggio atipica è difficile. L'algoritmo utilizza l'apprendimento automatico per eliminare i falsi positivi, come attività atipiche da dispositivi familiari o accessi da VPN utilizzate da altri utenti nella directory. Per iniziare a generare rilevamenti dei rischi, l'algoritmo richiede anche una cronologia di accesso di 14 giorni o 10 accessi dell'utente. A causa dei complessi modelli di Machine Learning coinvolti e delle regole sopra descritte, è possibile che con la procedura seguente non venga innescata alcuna rilevazione di rischio. È possibile replicare questi passaggi per più account Microsoft Entra per simulare questo rilevamento.

Per simulare un rilevamento dei rischi di viaggio atipici, seguire questa procedura:

1. Usando il browser standard, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account per cui si vuole generare un rilevamento di rischio trasferimento atipico.
3. Modificare l'agente utente. È possibile modificare l'agente utente in Microsoft Edge da Strumenti di sviluppo (F12).
4. Modificare l'indirizzo IP. È possibile modificare l'indirizzo IP usando una VPN, un componente aggiuntivo Tor o creare un nuovo computer virtuale in Azure in un altro data center.
5. Accedere a https://myapps.microsoft.com con le stesse credenziali usate in precedenza ed entro pochi minuti dall'accesso precedente.

L'accesso viene visualizzato nel report entro 2-4 ore.

Credenziali trapelate per le identità di carico di lavoro

Questo rilevamento di rischi indica che le credenziali valide dell’applicazione sono andate perse. Questa perdita può verificarsi quando un utente inserisce le credenziali in un artefatto di codice pubblico su GitHub. Pertanto, per simulare questo rilevamento, è necessario un account GitHub e può iscriversi a un account GitHub, se non ne è già disponibile uno.

Simulare le credenziali trapelate in GitHub per l'identità del carico di lavoro

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Applicazioni>Registrazioni app.

3. Selezionare Nuova registrazione per registrare una nuova applicazione o riutilizzare un'applicazione non aggiornata esistente.

4. Selezionare Certificati e segreti>Nuovo segreto client, aggiungere una descrizione del segreto client e impostare una scadenza per il segreto o specificare una durata personalizzata e selezionare Aggiungi. Registrare il valore del segreto per usarlo in un secondo momento per il commit di GitHub.

   Nota

   Non è possibile recuperare di nuovo il segreto dopo aver lasciato questa pagina.

5. Ottieni ID tenant e ID applicazione (client) nella pagina Panoramica.

6. Assicurarsi di disabilitare l'applicazione tramite Identity>Applications>Enterprise Application>Proprietà> Impostare Abilitato per consentire agli utenti di accedere su No.

7. Creare un repository GitHub pubblico, aggiungere la configurazione seguente ed eseguire il commit della modifica come file con l'estensione .txt.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. In circa 8 ore è possibile visualizzare un rilevamento delle credenziali perse in Protection>Identity Protection>Risk Detection>Workload identity detections Dove altre informazioni contengono l'URL del commit di GitHub.

Test dei criteri di rischio

Questo articolo illustra i passaggi per testare i criteri di rischio utente e accesso creati nell'articolo Procedura: Configurare e abilitare i criteri di rischio.

Criteri di rischio utente

Per testare i criteri di sicurezza per il rischio utente, seguire questa procedura:

1. Configurare un criterio di rischio utente destinato agli utenti con cui si prevede di eseguire il test.
2. Alzare di livello il rischio di utente di un account di test, ad esempio, simulando alcune volte uno dei rilevamenti di rischio.
3. Attendere alcuni minuti e poi verificare che il rischio è aumentato per il tuo utente. Se non lo è, simula più rilevamenti di rischio per l'utente.
4. Tornare ai criteri di rischio e impostare Imponi criteri su Sì e Salva la modifica dei criteri.
5. A questo punto è possibile testare l'accesso condizionale basato sul rischio utente eseguendo l'accesso come un utente con un livello di rischio elevato.

Politica di sicurezza del rischio di accesso

Per testare i criteri di rischio di accesso, seguire questa procedura:

1. Configurare un criterio di rischio di accesso destinato agli utenti con cui si prevede di eseguire il test.
2. A questo punto è possibile testare l'accesso condizionale basato sul rischio di accesso eseguendo l'accesso con una sessione a rischio, ad esempio Tor Browser.

Contenuto correlato

• Che cos'è il rischio?
• Protezione delle identità dei carichi di lavoro con Identity
• Procedura: configurare e abilitare i criteri di rischio
• Microsoft Entra ID Protection