Compartilhar via

Avaliar os riscos do aplicativo usando o Microsoft Security Copilot no Microsoft Entra (Visualização)

  • Artigo

Microsoft Security Copilot obtém insights dos seus dados do Microsoft Entra através de várias capacidades distintas, como investigar riscos de identidade com a Proteção de ID do Entra e explorar os detalhes dos registos de auditoria do Microsoft Entra. As habilidades de risco de aplicativo permitem que administradores de identidade e analistas de segurança que gerenciam aplicativos ou identidades de carga de trabalho no Microsoft Entra identifiquem e compreendam os riscos por meio de prompts de linguagem natural. Usando prompts como "Listar detalhes de aplicativos arriscados para meu locatário", o analista obtém uma imagem melhor do risco das identidades de aplicativos e pode descobrir outros detalhes de aplicativos no Microsoft Entra - incluindo permissões concedidas (especialmente aquelas que podem ser consideradas altamente privilegiadas), aplicativos não utilizados em seu locatário e aplicativos de fora de seu locatário. Em seguida, o Security Copilot utiliza o contexto da solicitação para responder, como apresentar uma lista de aplicativos ou permissões, e disponibiliza links para o centro de administração do Microsoft Entra, para que os administradores possam ver uma lista completa e adotar as medidas corretivas apropriadas para os seus aplicativos de risco. Os administradores de TI e os analistas do centro de operações de segurança (SOC) podem usar essas e outras habilidades para obter o contexto certo para ajudar a investigar e remediar incidentes baseados em identidade usando prompts de linguagem natural.

Este artigo descreve como um analista SOC ou administrador de TI pode usar as habilidades do Microsoft Entra para investigar um possível incidente de segurança.

Observação

Essas funcionalidades de avaliação de risco de aplicativos fornecem dados sobre inquilino único, SaaS de terceiros e aplicações multilocatárias que são aplicações ou principais de serviço no Microsoft Entra. As identidades gerenciadas não estão atualmente no escopo.

Cenário

Jason, um administrador de TI do Woodgrove Bank, está proativamente tentando identificar e entender quaisquer aplicativos arriscados em seu locatário.

Investigar

Jason inicia sua avaliação e entra no Microsoft Security Copilot ou no centro de administração do Microsoft Entra. Para exibir os detalhes da entidade de segurança do aplicativo e do serviço, ele entra como pelo menos um Leitor de Segurança e precisa de uma atribuição de função do Microsoft Entra de Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou uma função semelhante de administrador do Microsoft Entra que tenha permissões para gerenciar identidades de aplicativos/cargas de trabalho no Microsoft Entra.

Os administradores de identidade que usam o Security Copilot como parte do centro de administração do Microsoft Entra podem escolher entre um conjunto de prompts de risco de aplicação iniciais que aparecem na parte superior da janela do Security Copilot. Selecione entre os prompts sugeridos que podem aparecer após uma resposta. Os prompts iniciais de risco de aplicativo aparecerão nas folhas do centro de administração relacionadas ao aplicativo: Enterprise applications, App Registrationse Identity Protection Risky workload identities.

Captura de ecrã que mostra prompts iniciais no Security Copilot.

Explore as entidades de serviço arriscadas do Microsoft Entra

Jason começa por fazer perguntas de linguagem natural para obter uma melhor imagem dos "pontos quentes" de risco. Isso usa identidade de carga de trabalho arriscada da Proteção de ID dados como um filtro inicial na escala de aplicativos em seu locatário com base em nossas deteções da Microsoft. Estas entidades de serviço apresentam um risco elevado de comprometimento. 

Ele usa qualquer um dos seguintes prompts para obter as informações de que precisa:

  • Mostre-me aplicativos arriscados
  • Existem aplicações em risco de serem maliciosas ou comprometidas?
  • Liste 5 aplicativos com alto nível de risco. Formate a tabela da seguinte forma: Nome para exibição | ID | Estado de risco
  • Liste os aplicativos com Estado de risco "Compromisso confirmado".
  • Mostre-me os detalhes do aplicativo arriscado com ID {ServicePrincipalObjectId} (ou ID do aplicativo {ApplicationId})

Importante

Você deve usar uma conta autorizada a administrar a Proteção de ID para que essa habilidade retorne informações de risco. O seu locatário também deve estar licenciado para Workload Identities Premium.

Explore as entidades de serviço do Microsoft Entra

Para obter mais informações sobre essas entidades de serviço identificadas como de risco, Jason solicita detalhes adicionais à Microsoft Entra, incluindo o proprietário.

Ele usa os seguintes prompts para obter as informações de que precisa:

  • Fale-me mais sobre estas entidades de serviço, conforme mencionado na resposta anterior
  • Forneça detalhes sobre a entidade de serviço com {DisplayName} (ou {ServicePrincipalId})
  • Dá-me uma lista de proprietários para estas aplicações?

Explore as aplicações Microsoft Entra

Jason também quer entender mais sobre as aplicações a nível global, como detalhes sobre o editor e o estado de verificação do editor.

Jason usa os seguintes prompts para recuperar as propriedades selecionadas do aplicativo:

  • Fale-me mais sobre a aplicação {DisplayName} ou {AppId}
  • Conte-me mais sobre esses aplicativos (da resposta anterior)

Exibir as permissões concedidas em uma entidade de serviço do Microsoft Entra

Jason continua a sua avaliação e quer saber quais permissões foram concedidas a todas ou a uma das aplicações para encontrar o impacto potencial caso sejam comprometidas. Normalmente, é difícil avaliar alguns dos diferentes tipos de permissões (permissões de API como User.Read.All + funções de administrador do Microsoft Entra como Administrador de Aplicativos), mas o Copilot simplifica esse processo ao apresentar uma lista no contexto da investigação. Esta funcionalidade recupera permissões delegadas, permissões de aplicação e funções de administrador do Microsoft Entra para uma entidade de serviço específica do Microsoft Entra.

Jason também pode identificar permissões de alto privilégio concedidas num principal de serviço, baseado na avaliação de risco da Microsoft. Atualmente, elas têm como abrangência as permissões de aplicação que geralmente permitem o acesso em todo o locatário sem contexto de utilizador e funções de administrador altamente privilegiadas do Microsoft Entra.

Importante

Atualmente, esta funcionalidade analisa apenas as permissões de API e as funções de administrador do Entra . Atualmente, ele não examina as permissões que não são de diretório concedidas em locais como o Azure RBAC ou outros sistemas de autorização. As permissões de alto privilégio são limitadas a uma lista estática mantida pela Microsoft que pode evoluir ao longo do tempo e não é atualmente visível ou personalizável pelos clientes.

Ele usa os seguintes prompts para obter as informações de permissões de que precisa:

  • Quais permissões são concedidas ao aplicativo com ID {ServicePrincipalId} ou ID do aplicativo {AppId}?
  • Que permissões têm as aplicações arriscadas acima (a partir da resposta anterior)?
  • Quais permissões concedidas a este aplicativo são altamente privilegiadas?

Explore aplicações não utilizadas do Microsoft Entra

Jason apercebe-se de que tem mais uma oportunidade de "fruto fácil": reduzir o risco removendo aplicações não utilizadas. Estes são ganhos rápidos porque:

  1. A remoção de um aplicativo não utilizado resolve muitos outros riscos com uma única ação de correção.

  2. Muitas vezes, você pode abordar aplicativos não utilizados de forma agressiva por meio de uma ação central, mantendo baixo o risco de interrupção ou interrupção de negócios, já que os usuários não estão realmente usando os aplicativos.

Usando a funcionalidade Copilot integrada com a recomendação existente do Microsoft Entra para aplicações não utilizadas, Jason extrai os dados relevantes para investigar mais a fundo ou colaborar com a sua equipa para melhorar a postura de segurança do inquilino. A resposta inclui links para aplicativos específicos para facilitar a correção. O analista também pode perguntar sobre os detalhes de um aplicativo específico diretamente no Security Copilot.

Observação

A resposta do Copilot retorna uma lista de registro de aplicativo ou aplicativos que não foram usados nos últimos 90 dias, que não receberam nenhum token nesse período.

Ele usa os seguintes prompts para obter as informações de que precisa:

  • Mostrar-me aplicações não utilizadas
  • Quantas aplicações não utilizadas tenho?

Explore os aplicativos do Microsoft Entra fora do meu locatário

Jason também gostaria de analisar o fator de risco de aplicativos externos ou aplicativos multilocatários com presença em seu locatário que estão registrados no locatário de outra organização. Como a postura de segurança desses aplicativos é afetada pela postura do inquilino proprietário, é especialmente importante revisá-los para identificar riscos e oportunidades de redução da área de superfície. O Copilot pode retornar uma lista de entidades de serviço dentro do locatário atual com um registo de aplicação multilocatária fora do locatário do utilizador ou fornecer detalhes sobre se uma entidade de serviço específica está registada fora do locatário. 

Observação

Jason pode obter uma lista parcial de aplicativos no Security Copilot e uma lista completa por meio de um link para a consulta Microsoft Graph Explorer na parte inferior da resposta. 

Ele usa os seguintes prompts para obter as informações de que precisa:

  • Mostrar-me aplicações fora do meu locatário
  • Quantas aplicações são de fora do meu locatário?

Remediar

Usando o Security Copilot, Jason é capaz de reunir riscos abrangentes e informações básicas sobre os aplicativos e entidades de serviço em seu locatário do Microsoft Entra. Depois de concluir sua avaliação, Jason toma medidas para remediar os aplicativos arriscados. O Security Copilot apresenta links para o centro de administração do Microsoft Entra em respostas para que os administradores tomem as ações de correção apropriadas.

Ele lê sobre gestão de acesso e segurança para aplicações, identidades de segurança de cargas de trabalho, proteção contra phishing de consentimentoe guias de resposta para determinar as possíveis ações a seguir.

Próximos passos

Saiba mais sobre: