Implementar segurança para identidades de carga de trabalho
Historicamente, o Identity Protection do Microsoft Entra protegeu os usuários na detecção, investigação e correção de riscos baseados em identidade. A proteção de identidade estendeu esses recursos para identidades de carga de trabalho a fim de proteger aplicativos, entidades de serviço e Identidades Gerenciadas.
Uma identidade de carga de trabalho é uma identidade que permite que um aplicativo ou entidade de serviço acesse recursos, às vezes no contexto de um usuário. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais pois:
- Não podem executar a autenticação multifator.
- Não têm nenhum processo formal de ciclo de vida.
- Precisa armazenar suas credenciais ou segredos em algum lugar.
Essas diferenças dificultam o gerenciamento de identidades de carga de trabalho e as colocam em maior risco de comprometimento.
Requisitos para usar a proteção de identidade de carga de trabalho
Para usar o risco de identidade da carga de trabalho, incluindo a nova folha Identidades de carga de trabalho arriscadas (versão prévia) e a guia Detecções de identidade de carga de trabalho na folha Detecções de risco, no portal do Azure você deve ter o seguinte.
Licenciamento do Microsoft Entra ID Premium P2
O usuário conectado deve ter a atribuição para:
- Administrador global
- Administrador de segurança
- Operador de segurança
- Leitor de segurança
Quais tipos de riscos são detectados?
| Nome da detecção | Tipo de detecção | Descrição |
|---|---|---|
| Inteligência contra ameaças do Microsoft Entra | Offline | A detecção de risco indica atividades consistentes com padrões de ataque conhecidos com base nas fontes de inteligência contra ameaças internas e externas da Microsoft. |
| Entradas suspeitas | Offline | Essa detecção de risco indica propriedades de entrada ou padrões incomuns para essa entidade de serviço. |
| A detecção aprenderá o comportamento de entrada das linhas de base para identidades de carga de trabalho em seu locatário entre 2 e 60 dias e é disparada se uma ou mais das seguintes propriedades desconhecidas aparecerem durante uma entrada posterior: endereço IP/ASN, recurso de destino, agente do usuário, alteração de IP de hospedagem/não hospedagem, país do IP, tipo de credencial. | ||
| Adição incomum de credenciais a um aplicativo OAuth | Offline | Essa detecção é descoberta pelo Microsoft Defender para Aplicativos de Nuvem. Essa detecção identifica a adição suspeita de credenciais privilegiadas a um aplicativo OAuth. Isso pode indicar que um invasor comprometeu o aplicativo e está usando ele para atividades mal-intencionadas. |
| Conta confirmada pelo administrador comprometida | Offline | Essa detecção indica que um administrador selecionou "Confirmar comprometida" na interface do usuário de Identidades de Carga de Trabalho Arriscadas ou usando a API riskyServicePrincipals. Para ver qual administrador confirmou que essa conta está comprometida, verifique o histórico de risco da conta (por meio da interface de usuário ou API). |
| Credenciais vazadas (visualização pública) | Offline | Essa detecção de risco indica que as credenciais válidas da conta foram vazadas. Esse vazamento pode ocorrer quando alguém verifica as credenciais no artefato de código público no GitHub ou quando as credenciais são vazadas por meio de uma violação de dados. |
Adicionar proteção de acesso condicional
Usando o Acesso Condicional para identidades de carga de trabalho, você pode bloquear o acesso a contas específicas que escolher quando a Proteção de Identidade as marcar como "em risco". A política pode ser aplicada a entidades de serviço de locatário único que foram registradas em seu locatário. SaaS de terceiros, aplicativos multilocatários e identidades gerenciadas estão fora do escopo.