Implementowanie zabezpieczeń dla tożsamości obciążeń
Firma Microsoft Entra Identity Protection historycznie chroni użytkowników w wykrywaniu, badaniach i korygowaniu zagrożeń opartych na tożsamościach. Ochrona tożsamości rozszerzyła te możliwości na tożsamości obciążeń w celu ochrony aplikacji, jednostek usługi i tożsamości zarządzanych.
Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:
- Nie można wykonać uwierzytelniania wieloskładnikowego.
- Często nie mają formalnego procesu cyklu życia.
- Musisz przechowywać swoje poświadczenia lub tajne wpisy w jakimś miejscu.
Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.
Wymagania dotyczące korzystania z ochrony tożsamości obciążeń
Aby korzystać z ryzyka tożsamości obciążenia, w tym nowego bloku Tożsamości obciążeń ryzykownych (wersja zapoznawcza) i karty Wykrywanie tożsamości obciążenia w bloku Wykrywanie ryzyka, w witrynie Azure Portal musisz mieć następujące elementy.
Licencjonowanie usługi Microsoft Entra ID Premium P2
Zalogowany użytkownik musi mieć przypisaną jedną z następujących czynności:
- Administrator globalny
- Administrator zabezpieczeń
- Operator zabezpieczeń
- Czytelnik zabezpieczeń
Jakie typy zagrożeń są wykrywane?
| Nazwa wykrywania | Typ wykrywania | Opis |
|---|---|---|
| Microsoft Entra threat intelligence | W trybie offline | To wykrywanie ryzyka wskazuje pewne działania zgodne ze znanymi wzorcami ataków na podstawie wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft. |
| Podejrzane logowania | W trybie offline | To wykrywanie ryzyka wskazuje właściwości logowania lub wzorce, które są nietypowe dla tej jednostki usługi. |
| Wykrywanie uczy się zachowania logowania punktów odniesienia dla tożsamości obciążeń w dzierżawie w okresie od 2 do 60 dni i jest uruchamiane, jeśli co najmniej jedna z następujących nieznanych właściwości jest wyświetlana podczas późniejszego logowania: adres IP/ NUMER ASN, zasób docelowy, agent użytkownika, hostowanie/nieobsługiwany adres IP, kraj IP, typ poświadczeń. | ||
| Nietypowe dodawanie poświadczeń do aplikacji OAuth | W trybie offline | To wykrywanie jest wykrywane przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie identyfikuje podejrzane dodanie poświadczeń uprzywilejowanych do aplikacji OAuth. Może to oznaczać, że osoba atakująca naruszyła aplikację i używa jej do złośliwych działań. |
| Naruszenie zabezpieczeń konta potwierdzonego przez administratora | W trybie offline | To wykrywanie wskazuje, że administrator wybrał pozycję "Potwierdź naruszone" w interfejsie użytkownika ryzykownych tożsamości obciążeń lub przy użyciu interfejsu API riskyServicePrincipals. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego konta, sprawdź historię ryzyka konta (za pośrednictwem interfejsu użytkownika lub interfejsu API). |
| Ujawnione poświadczenia (publiczna wersja zapoznawcza) | W trybie offline | To wykrywanie ryzyka wskazuje, że ujawniono prawidłowe poświadczenia konta. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub lub po wycieku poświadczeń za pośrednictwem naruszenia danych. |
Dodawanie ochrony dostępu warunkowego
Przy użyciu dostępu warunkowego dla tożsamości obciążeń można zablokować dostęp dla określonych kont wybranych, gdy usługa Identity Protection oznacza je jako "zagrożone". Zasady można zastosować do jednostek usługi z jedną dzierżawą, które zostały zarejestrowane w dzierżawie. Aplikacje SaaS innych firm, aplikacje wielodostępne i tożsamości zarządzane są poza zakresem.