Zabezpieczanie tożsamości obciążeń
Ochrona tożsamości Microsoft Entra mogą wykrywać, badać i korygować tożsamości obciążeń w celu ochrony aplikacji i jednostek usługi oprócz tożsamości użytkowników.
Tożsamość obciążenia to tożsamość, która umożliwia aplikacji dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:
- Nie można wykonać uwierzytelniania wieloskładnikowego.
- Często nie mają formalnego procesu cyklu życia.
- Musisz przechowywać swoje poświadczenia lub tajne wpisy w jakimś miejscu.
Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.
Ważne
Pełne szczegóły ryzyka i mechanizmy kontroli dostępu oparte na ryzyku są dostępne dla klientów usługi Workload Identities Premium; jednak klienci bez licencji usługi Workload Identities Premium nadal otrzymują wszystkie wykrycia z ograniczonymi szczegółami raportowania.
Uwaga
Usługa ID Protection wykrywa ryzyko dotyczące pojedynczej dzierżawy, aplikacji SaaS innych firm i aplikacji wielodostępnych. Tożsamości zarządzane nie są obecnie w zakresie.
Wymagania wstępne
Aby korzystać z raportów ryzyka związanych z tożsamościami obciążenia, w tym nowego bloku Tożsamości obciążeń ryzykownych i karty Wykrywanie tożsamości obciążenia w bloku Wykrywanie ryzyka w portalu, musisz mieć następujące elementy.
- Przypisano jedną z następujących ról administratora
- Administrator zabezpieczeń
- Operator zabezpieczeń
- Użytkownicy czytelnika zabezpieczeń przypisani do roli administratora dostępu warunkowego mogą tworzyć zasady, które używają ryzyka jako warunku.
Aby podjąć działania na ryzykownych tożsamościach obciążeń, zalecamy skonfigurowanie zasad dostępu warunkowego opartego na ryzyku, które wymagają licencjonowania Tożsamości obciążeń Premium : możesz wyświetlić, rozpocząć wersję próbną i uzyskać licencje w bloku Tożsamości obciążeń.
Wykrywanie ryzyka tożsamości obciążenia
Wykrywamy ryzyko związane z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia bezpieczeństwa w trybie offline.
Nazwa wykrywania | Typ wykrywania | opis | riskEventType |
---|---|---|---|
Microsoft Entra threat intelligence | W trybie offline | To wykrywanie ryzyka wskazuje pewne działania zgodne ze znanymi wzorcami ataków na podstawie wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft. | dochodzeniaThreatIntelligence |
Podejrzane logowania | W trybie offline | To wykrywanie ryzyka wskazuje właściwości logowania lub wzorce, które są nietypowe dla tej jednostki usługi. Wykrywanie uczy się zachowania logowania punktów odniesienia dla tożsamości obciążeń w dzierżawie. To wykrywanie trwa od 2 do 60 dni i jest uruchamiane, jeśli co najmniej jedna z następujących nieznanych właściwości pojawia się podczas późniejszego logowania: adres IP/ NUMER ASN, zasób docelowy, agent użytkownika, zmiana adresu IP/hostowania, kraj IP, typ poświadczeń. Ze względu na programowy charakter logowań tożsamości obciążenia udostępniamy sygnaturę czasową podejrzanego działania zamiast flagowania określonego zdarzenia logowania. Logowania inicjowane po autoryzowanej zmianie konfiguracji mogą wyzwolić to wykrywanie. |
suspiciousSignins |
Naruszenie zabezpieczeń jednostki usługi potwierdzonej przez administratora | W trybie offline | To wykrywanie oznacza, że administrator wybrał pozycję "Potwierdź naruszone" w interfejsie użytkownika ryzykownych tożsamości obciążeń lub przy użyciu interfejsu API riskyServicePrincipals. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego konta, sprawdź historię ryzyka konta (za pośrednictwem interfejsu użytkownika lub interfejsu API). | adminConfirmedServicePrincipalCompromised |
Ujawnione poświadczenia | W trybie offline | To wykrywanie ryzyka wskazuje, że wyciekły prawidłowe poświadczenia konta. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub lub po wycieku poświadczeń za pośrednictwem naruszenia danych. Gdy usługa microsoft leaked credentials uzyskuje poświadczenia z usługi GitHub, ciemnej sieci Web, wklejania witryn lub innych źródeł, są sprawdzane względem bieżących prawidłowych poświadczeń w identyfikatorze Entra firmy Microsoft w celu znalezienia prawidłowych dopasowań. |
leakedCredentials |
Złośliwa aplikacja | W trybie offline | To wykrywanie łączy alerty z usługi ID Protection i Microsoft Defender dla Chmury Apps, aby wskazać, kiedy firma Microsoft wyłącza aplikację w celu naruszenia warunków użytkowania usługi. Zalecamy przeprowadzenie badania aplikacji. Uwaga: te aplikacje są wyświetlane DisabledDueToViolationOfServicesAgreement we disabledByMicrosoftStatus właściwości powiązanej aplikacji i typach zasobów jednostki usługi w programie Microsoft Graph. Aby zapobiec ponownemu utworzeniu wystąpienia w organizacji w przyszłości, nie można usunąć tych obiektów. |
maliciousApplication |
Podejrzana aplikacja | W trybie offline | To wykrywanie wskazuje, że usługa ID Protection lub Microsoft Defender dla Chmury Apps zidentyfikowała aplikację, która może naruszać warunki użytkowania usługi, ale nie została wyłączona. Zalecamy przeprowadzenie badania aplikacji. | suspiciousApplication |
Nietypowe działanie jednostki usługi | W trybie offline | To wykrywanie ryzyka określa normalne zachowanie jednostki usługi administracyjnej w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest wyzwalane względem jednostki usługi administracyjnej dokonującej zmiany lub obiektu, który został zmieniony. | anomalousServicePrincipalActivity |
Podejrzany ruch interfejsu API | W trybie offline | To wykrywanie ryzyka jest zgłaszane, gdy zaobserwowano nietypowy ruch graphAPI lub wyliczenie katalogu jednostki usługi. Wykrywanie podejrzanego ruchu interfejsu API może wskazywać na nietypową rekonesans lub eksfiltrację danych przez jednostkę usługi. | suspiciousAPITraffic |
Identyfikowanie ryzykownych tożsamości obciążeń
Organizacje mogą znaleźć tożsamości obciążeń oflagowane pod kątem ryzyka w jednej z dwóch lokalizacji:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
- Przejdź do sekcji Ochrona>tożsamości>ryzykownych tożsamości obciążeń.
Interfejsy API programu Microsoft Graph
Możesz również wykonywać zapytania dotyczące ryzykownych tożsamości obciążeń przy użyciu interfejsu API programu Microsoft Graph. W interfejsach API ochrony identyfikatorów istnieją dwie nowe kolekcje.
riskyServicePrincipals
servicePrincipalRiskDetections
Eksportowanie danych dotyczących ryzyka
Organizacje mogą eksportować dane, konfigurując ustawienia diagnostyczne w usłudze Microsoft Entra ID , aby wysyłać dane o podwyższonym ryzyku do obszaru roboczego usługi Log Analytics, archiwizować je na koncie magazynu, przesyłać strumieniowo do centrum zdarzeń lub wysyłać je do rozwiązania SIEM.
Wymuszanie kontroli dostępu przy użyciu dostępu warunkowego opartego na ryzyku
Korzystając z dostępu warunkowego dla tożsamości obciążeń, możesz zablokować dostęp dla określonych kont, które należy wybrać, gdy usługa ID Protection oznacza je jako "zagrożone". Zasady można stosować do jednostek usługi z jedną dzierżawą zarejestrowanych w dzierżawie. Aplikacje SaaS innych firm, aplikacje wielodostępne i tożsamości zarządzane są poza zakresem.
W celu zwiększenia bezpieczeństwa i odporności tożsamości obciążeń, funkcja ciągłej oceny dostępu (CAE) dla tożsamości obciążeń to zaawansowane narzędzie, które oferuje natychmiastowe wymuszanie zasad dostępu warunkowego i wszelkich wykrytych sygnałów ryzyka. Tożsamości obciążeń innych firm z obsługą caE, które uzyskują dostęp do zasobów pierwszej firmy z obsługą caE, są wyposażone w 24-godzinne tokeny długotrwałe (LLT), które podlegają ciągłym testom zabezpieczeń. Zapoznaj się z dokumentacją caE dla tożsamości obciążeń, aby uzyskać informacje na temat konfigurowania klientów tożsamości obciążeń dla caE i aktualnego zakresu funkcji.
Badanie ryzykownych tożsamości obciążeń
Usługa ID Protection udostępnia organizacjom dwa raporty, których mogą używać do badania ryzyka związanego z tożsamością obciążenia. Te raporty są tożsamościami ryzykownych obciążeń i wykrywaniem ryzyka dla tożsamości obciążeń. Wszystkie raporty umożliwiają pobieranie zdarzeń w programie . Format CSV do dalszej analizy.
Oto niektóre kluczowe pytania, na które należy odpowiedzieć podczas badania:
- Czy na kontach są wyświetlane podejrzane działania logowania?
- Czy wprowadzono nieautoryzowane zmiany w poświadczeniach?
- Czy na kontach wprowadzono podejrzane zmiany konfiguracji?
- Czy konto nabyło nieautoryzowane role aplikacji?
Przewodnik po operacjach zabezpieczeń firmy Microsoft dla aplikacji zawiera szczegółowe wskazówki dotyczące powyższych obszarów badania.
Po ustaleniu, czy tożsamość obciążenia została naruszona, odrzuć ryzyko konta lub potwierdź konto jako naruszone w raporcie Tożsamości obciążenia Ryzykowne. Możesz również wybrać opcję "Wyłącz jednostkę usługi", jeśli chcesz zablokować konto z dalszych logowania.
Korygowanie ryzykownych tożsamości obciążeń
- Poświadczenia spisu przypisane do ryzykownych tożsamości obciążenia, niezależnie od tego, czy są to obiekty jednostki usługi, czy aplikacji.
- Dodaj nowe poświadczenie. Firma Microsoft zaleca używanie certyfikatów x509.
- Usuń poświadczenia naruszone. Jeśli uważasz, że konto jest zagrożone, zalecamy usunięcie wszystkich istniejących poświadczeń.
- Koryguj wszystkie wpisy tajne usługi Azure KeyVault, do których jednostka usługi ma dostęp, obracając je.
Microsoft Entra Toolkit to moduł programu PowerShell, który może pomóc w wykonaniu niektórych z tych akcji.