Workloadidentiteiten beveiligen
Microsoft Entra ID Protection kan workloadidentiteiten detecteren, onderzoeken en herstellen om toepassingen en service-principals naast gebruikersidentiteiten te beveiligen.
Een workloadidentiteit is een identiteit waarmee een toepassing toegang heeft tot resources, soms in de context van een gebruiker. Deze workload-identiteiten verschillen van traditionele gebruikersaccounts omdat ze:
- Geen meervoudige verificatie kunnen uitvoeren.
- Vaak geen formeel levenscyclusproces hebben.
- Hun referenties of geheimen ergens moeten opslaan.
Deze verschillen zorgen ervoor dat workload-identiteiten moeilijker te beheren zijn en ze een groter risico lopen op inbreuk.
Belangrijk
Volledige risicodetails en op risico gebaseerde toegangsbeheer zijn beschikbaar voor Klanten met Workload Identities Premium; Klanten zonder de Workload Identities Premium-licenties ontvangen echter nog steeds alle detecties met beperkte rapportagedetails.
Notitie
Id Protection detecteert risico's voor apps van één tenant, SaaS van derden en apps met meerdere tenants. Beheerde identiteiten zijn momenteel niet binnen het bereik.
Vereisten
Als u gebruik wilt maken van rapporten over identiteitsrisico's voor werkbelastingen, inclusief de nieuwe blade Riskante workloadidentiteiten en het tabblad Workloadidentiteitsdetectie op de blade Risicodetecties in de portal, moet u het volgende hebben.
- Een van de volgende beheerdersrollen toegewezen
- Beveiligingsbeheer
- Beveiligingsoperator
- Gebruikers van beveiligingslezers waaraan de beheerdersrol voor voorwaardelijke toegang is toegewezen, kunnen beleidsregels maken die risico als voorwaarde gebruiken.
Als u actie wilt ondernemen op riskante workloadidentiteiten, raden we u aan om beleid voor voorwaardelijke toegang op basis van risico's in te stellen. Hiervoor is een Premium-licentie voor workloadidentiteiten vereist: u kunt een proefversie bekijken, een proefabonnement starten en licenties verkrijgen op de blade Workloadidentiteiten.
Detectie van risico's voor workloadidentiteit
We detecteren risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.
Detectienaam | Detectietype | Beschrijving | riskEventType |
---|---|---|---|
Bedreigingsinformatie van Microsoft Entra | Offline | Deze risicodetectie geeft een aantal activiteiten aan die consistent zijn met bekende aanvalspatronen op basis van de interne en externe bedreigingsinformatiebronnen van Microsoft. | onderzoekenThreatIntelligence |
Verdachte aanmeldingen | Offline | Deze risicodetectie geeft aan dat aanmeldingseigenschappen of -patronen ongebruikelijk zijn voor deze service-principal. De detectie leert het aanmeldingsgedrag van basislijnen voor workloadidentiteiten in uw tenant. Deze detectie duurt tussen 2 en 60 dagen en wordt geactiveerd als een of meer van de volgende onbekende eigenschappen worden weergegeven tijdens een latere aanmelding: IP-adres/ASN, doelresource, gebruikersagent, hosting/niet-hosting-IP-wijziging, IP-land, referentietype. Vanwege de programmatische aard van aanmeldingen voor workloadidentiteiten bieden we een tijdstempel voor de verdachte activiteit in plaats van een specifieke aanmeldingsgebeurtenis te markeren. Aanmeldingen die worden gestart nadat een geautoriseerde configuratiewijziging is gestart, kunnen deze detectie activeren. |
suspiciousSignins |
Beheerder heeft bevestigd dat de service-principal is aangetast | Offline | Deze detectie geeft aan dat een beheerder 'Gecompromitteerd' heeft geselecteerd in de gebruikersinterface voor riskante workloadidentiteiten of met behulp van riskyServicePrincipals-API. Als u wilt zien welke beheerder dit account heeft bevestigd, controleert u de risicogeschiedenis van het account (via de gebruikersinterface of API). | adminConfirmedServicePrincipalCompromised |
Gelekte aanmeldingsgegevens | Offline | Deze risicodetectie geeft aan dat de geldige referenties van het account zijn gelekt. Dit lek kan optreden wanneer iemand de referenties in openbare-codeartefact op GitHub controleert of wanneer de referenties worden gelekt via een gegevenslek. Wanneer de Microsoft-service voor gelekte referenties referenties verkrijgt van GitHub, het donkere web, het plakken van sites of andere bronnen, worden ze gecontroleerd op basis van de huidige geldige referenties in Microsoft Entra ID om geldige overeenkomsten te vinden. |
gelekteCredentials |
Schadelijke toepassing | Offline | Deze detectie combineert waarschuwingen van ID Protection en Microsoft Defender voor Cloud Apps om aan te geven wanneer Microsoft een toepassing uitschakelt voor het schenden van onze servicevoorwaarden. Het is raadzaam om een onderzoek uit te voeren naar de toepassing. Opmerking: Deze toepassingen worden weergegeven DisabledDueToViolationOfServicesAgreement op de disabledByMicrosoftStatus eigenschap van de gerelateerde toepassing en resourcetypen voor service-principals in Microsoft Graph. Als u wilt voorkomen dat ze in uw organisatie in de toekomst opnieuw worden geïnstantieerd, kunt u deze objecten niet verwijderen. |
maliciousApplication |
Verdachte toepassing | Offline | Deze detectie geeft aan dat id-beveiliging of Microsoft Defender voor Cloud-apps een toepassing hebben geïdentificeerd die mogelijk onze servicevoorwaarden schendt, maar deze niet heeft uitgeschakeld. Het is raadzaam om een onderzoek uit te voeren naar de toepassing. | suspiciousApplication |
Afwijkende activiteit van service-principal | Offline | Deze risicodetectiebasislijnen vormen het normale gedrag van de service-principal voor beheer in Microsoft Entra ID en krijgt afwijkende gedragspatronen te zien, zoals verdachte wijzigingen in de directory. De detectie wordt geactiveerd voor de beheerservice-principal die de wijziging aanbrengt of het object dat is gewijzigd. | afwijkendeServicePrincipalActivity |
Verdacht API-verkeer | Offline | Deze risicodetectie wordt gerapporteerd wanneer abnormaal GraphAPI-verkeer of directory-inventarisatie van een service-principal wordt waargenomen. De detectie van verdacht API-verkeer kan duiden op abnormale reconnaissance of gegevensexfiltratie door een service-principal. | suspiciousAPITraffic |
Riskante workloadidentiteiten identificeren
Organisaties kunnen workloadidentiteiten vinden die zijn gemarkeerd voor risico's op een van de twee locaties:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
- Blader naar identiteitsbeveiligingsidentiteiten>>met riskante werkbelastingen.
Microsoft Graph API's
U kunt ook query's uitvoeren op riskante workloadidentiteiten met behulp van de Microsoft Graph API. Er zijn twee nieuwe verzamelingen in de ID Protection-API's.
riskyServicePrincipals
servicePrincipalRiskDetections
Risicogegevens exporteren
Organisaties kunnen gegevens exporteren door diagnostische instellingen in Microsoft Entra ID te configureren om risicogegevens naar een Log Analytics-werkruimte te verzenden, deze te archiveren in een opslagaccount, deze naar een Event Hub te streamen of naar een SIEM-oplossing te verzenden.
Toegangsbeheer afdwingen met voorwaardelijke toegang op basis van risico's
Met behulp van voorwaardelijke toegang voor workloadidentiteiten kunt u de toegang blokkeren voor specifieke accounts die u kiest wanneer id-beveiliging deze 'risico's' markeert. Beleid kan worden toegepast op service-principals met één tenant die zijn geregistreerd in uw tenant. SaaS van derden, apps met meerdere tenants en beheerde identiteiten vallen buiten het bereik.
Voor een betere beveiliging en tolerantie van uw workloadidentiteiten is Continuous Access Evaluation (CAE) voor workloadidentiteiten een krachtig hulpprogramma dat directe afdwinging biedt van uw beleid voor voorwaardelijke toegang en eventuele gedetecteerde risicosignalen. Door CAE ingeschakelde workloadidentiteiten van derden die toegang hebben tot resources die geschikt zijn voor CAE, zijn uitgerust met 24 uur langlevende tokens (LLT's) die onderhevig zijn aan doorlopende beveiligingscontroles. Raadpleeg de DOCUMENTATIE voor CAE voor workloadidentiteiten voor informatie over het configureren van workloadidentiteitsclients voor CAE en het up-to-date functiebereik.
Riskante workloadidentiteiten onderzoeken
ID Protection biedt organisaties twee rapporten die ze kunnen gebruiken om het identiteitsrisico van de workload te onderzoeken. Deze rapporten zijn de riskante workloadidentiteiten en risicodetecties voor workloadidentiteiten. Alle rapporten maken het downloaden van gebeurtenissen in . CSV-indeling voor verdere analyse.
Enkele van de belangrijkste vragen die u tijdens uw onderzoek kunt beantwoorden, zijn:
- Laten accounts verdachte aanmeldingsactiviteiten zien?
- Zijn er niet-geautoriseerde wijzigingen in de referenties?
- Zijn er verdachte configuratiewijzigingen voor accounts?
- Heeft het account niet-geautoriseerde toepassingsrollen verkregen?
De Microsoft Entra-beveiligingshandleiding voor toepassingen biedt gedetailleerde richtlijnen voor de bovenstaande onderzoeksgebieden.
Zodra u hebt vastgesteld of de workloadidentiteit is aangetast, sluit u het risico van het account of bevestigt u het account als gecompromitteerd in het rapport Riskante workloadidentiteiten. U kunt ook 'Service-principal uitschakelen' selecteren als u het account wilt blokkeren voor verdere aanmeldingen.
Riskante workloadidentiteiten herstellen
- Inventarisreferenties die zijn toegewezen aan de identiteits van riskante werkbelastingen, ongeacht of deze betrekking hebben op de service-principal of toepassingsobjecten.
- Voeg een nieuwe referentie toe. Microsoft raadt aan x509-certificaten te gebruiken.
- Verwijder de gecompromitteerde referenties. Als u denkt dat het account risico loopt, raden we u aan alle bestaande referenties te verwijderen.
- Herstel alle Azure KeyVault-geheimen waartoe de service-principal toegang heeft door ze te roteren.
De Microsoft Entra Toolkit is een PowerShell-module waarmee u een aantal van deze acties kunt uitvoeren.