Beveiliging implementeren voor workloadidentiteiten
Microsoft Entra Identity Protection heeft gebruikers historisch beschermd bij het detecteren, onderzoeken en oplossen van identiteitsrisico's. Identiteitsbeveiliging heeft deze mogelijkheden uitgebreid tot workloadidentiteiten om toepassingen, service-principals en beheerde identiteiten te beveiligen.
Een workload-identiteit is een identiteit waarmee een toepassing of service-principal toegang heeft tot resources, soms in de context van een gebruiker. Deze workload-identiteiten verschillen van traditionele gebruikersaccounts omdat ze:
- Kan meervoudige verificatie niet uitvoeren.
- Vaak geen formeel levenscyclusproces hebben.
- Hun referenties of geheimen ergens moeten opslaan.
Deze verschillen zorgen ervoor dat workload-identiteiten moeilijker te beheren zijn en ze een groter risico lopen op inbreuk.
Vereisten voor het gebruik van workloadidentiteitsbeveiliging
Als u gebruik wilt maken van identiteitsrisico's voor workloads, inclusief de nieuwe blade Riskante workloadidentiteiten (preview) en het tabblad Workloadidentiteitsdetectie op de blade Risicodetecties, moet u het volgende hebben in Azure Portal.
Licenties voor Microsoft Entra ID Premium P2
Aangemelde gebruiker moet aan een van de volgende machtigingen zijn toegewezen:
- Globale beheerder
- Beveiligingsbeheerder
- Beveiligingsoperator
- Beveiligingslezer
Welke typen risico's worden gedetecteerd?
| Detectienaam | Detectietype | Beschrijving |
|---|---|---|
| Bedreigingsinformatie van Microsoft Entra | Offline | Deze risicodetectie geeft een aantal activiteiten aan die consistent zijn met bekende aanvalspatronen op basis van de interne en externe bedreigingsinformatiebronnen van Microsoft. |
| Verdachte aanmeldingen | Offline | Deze risicodetectie geeft aan dat aanmeldingseigenschappen of -patronen ongebruikelijk zijn voor deze service-principal. |
| De detectie leert het aanmeldingsgedrag van basislijnen voor workloadidentiteiten in uw tenant tussen 2 en 60 dagen en wordt geactiveerd als een of meer van de volgende onbekende eigenschappen worden weergegeven tijdens een latere aanmelding: IP-adres/ASN, doelresource, gebruikersagent, wijziging van het hosten/niet-hostende IP-adres, IP-land, referentietype. | ||
| Ongebruikelijke toevoeging van referenties aan een OAuth-app | Offline | De detectie wordt gedetecteerd door Microsoft Defender for Cloud Apps. Deze detectie identificeert de verdachte toevoeging van bevoegde referenties aan een OAuth-app. Dit kan erop wijzen dat een aanvaller de app heeft aangetast en deze gebruikt voor schadelijke activiteiten. |
| Beheer bevestigd account is gecompromitteerd | Offline | Met deze detectie wordt aangegeven dat een beheerder 'Gecompromitteerd' heeft geselecteerd in de gebruikersinterface voor riskante workloadidentiteiten of het gebruik van riskyServicePrincipals-API. Als u wilt zien welke beheerder dit account heeft bevestigd, controleert u de risicogeschiedenis van het account (via de gebruikersinterface of API). |
| Gelekte referenties (openbare preview) | Offline | Deze risicodetectie geeft aan dat de geldige referenties van het account zijn gelekt. Dit lek kan optreden wanneer iemand de referenties in openbare-codeartefact op GitHub controleert of wanneer de referenties worden gelekt via een gegevenslek. |
Beveiliging voor voorwaardelijke toegang toevoegen
Met voorwaardelijke toegang voor workloadidentiteiten kunt u de toegang blokkeren voor specifieke accounts die u kiest wanneer Identity Protection deze 'risico's' markeert. Beleid kan worden toegepast op service-principals met één tenant die zijn geregistreerd in uw tenant. SaaS van derden, apps met meerdere tenants en beheerde identiteiten vallen buiten het bereik.