Partilhar via

Protegendo identidades de trabalho

  • Artigo

O Microsoft Entra ID Protection pode detetar, investigar e corrigir identidades de carga de trabalho para proteger aplicativos e entidades de serviço, além das identidades dos usuários.

Uma identidade de carga de trabalho é uma identidade que permite que um aplicativo acesse recursos, às vezes no contexto de um usuário. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais, pois são:

  • Não é possível efetuar a autenticação multifator.
  • Muitas vezes, não têm um processo formal de ciclo de vida.
  • Precisam de armazenar as respetivas credenciais ou segredos em algum lugar.

Essas diferenças tornam as identidades de carga de trabalho mais difíceis de gerenciar e as colocam em maior risco de comprometimento.

Importante

Detalhes completos de risco e controles de acesso baseados em risco estão disponíveis para clientes Workload Identities Premium; no entanto, os clientes sem as licenças Workload Identities Premium ainda recebem todas as deteções com detalhes de relatório limitados.

Nota

A Proteção de ID deteta riscos em aplicações de inquilino único, SaaS de terceiros e multilocatário. As Identidades Gerenciadas não estão atualmente no escopo.

Pré-requisitos

Para utilizar os relatórios de riscos das identidades de carga de trabalho, incluindo o painel identidades de carga de trabalho de risco e a guia deteções de identidades de carga de trabalho no painel deteções de risco no portal, deve ter o seguinte.

  • Uma das seguintes funções de administrador atribuídas

    • Administrador de Segurança
    • Operador de Segurança
    • Leitor de Segurança

    Os usuários atribuídos à função de Administrador de Acesso Condicional podem criar políticas que usam o risco como condição.

Para tomar medidas em identidades de carga de trabalho arriscadas, recomendamos configurar políticas de Acesso Condicional baseadas em risco, que requerem licenças Premium de Identidades de Carga de Trabalho: é possível visualizar, iniciar uma avaliação e adquirir licenças na folha de Identidades de Carga de Trabalho .

Nota

Com Microsoft Security Copilot, você pode usar prompts de linguagem natural para obter informações sobre identidades de carga de trabalho arriscadas. Saiba mais sobre como Avaliar riscos de aplicações usando o Microsoft Security Copilot no Microsoft Entra.

Detecção de riscos na identidade de cargas de trabalho

Detetamos o risco nas identidades de trabalho no comportamento de início de sessão e nos indicadores de comprometimento offline.

Nome da deteção Tipo de deteção Descrição tipoDeEventoDeRisco
Inteligência de ameaças do Microsoft Entra Offline Essa deteção de risco indica alguma atividade consistente com padrões de ataque conhecidos com base nas fontes de inteligência de ameaças internas e externas da Microsoft. investigaçõesThreatIntelligence
Entradas suspeitas Offline Esta deteção de risco indica propriedades ou padrões de entrada que são incomuns para esta entidade de serviço. A deteção apreende o comportamento padrão de entrada para identidades de carga de trabalho no seu arrendatário. Essa deteção leva entre 2 e 60 dias e é acionada se uma ou mais das seguintes propriedades desconhecidas aparecerem durante uma entrada posterior: endereço IP / ASN, recurso de destino, agente de usuário, alteração de IP de hospedagem/não hospedagem, país de IP, tipo de credencial. Devido à natureza programática dos logins de identidade da carga de trabalho, fornecemos um carimbo de data/hora para a atividade suspeita em vez de sinalizar um evento de entrada específico. Os inícios de sessão após uma alteração de configuração autorizada podem desencadear esta deteção. suspeitasSignins suspeitos
O administrador confirmou que o principal de serviço está comprometido. Offline Essa deteção indica que um administrador selecionou 'Confirmar comprometido' na interface do usuário de identidades de carga de trabalho arriscada ou usando a API riskyServicePrincipals. Para ver qual administrador confirmou que essa conta foi comprometida, verifique o histórico de risco da conta (via interface do usuário ou API). administradorConfirmouComprometimentoDoPrincipalDeServiço
Credenciais vazadas Offline Essa deteção de risco indica que as credenciais válidas da conta vazaram. Esse vazamento pode ocorrer quando alguém verifica as credenciais no artefato de código público no GitHub ou quando as credenciais são vazadas por meio de uma violação de dados. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais do GitHub, da dark web, de sites de colagem ou de outras fontes, elas são verificadas em relação às credenciais válidas atuais na ID do Microsoft Entra para encontrar correspondências válidas. Credenciais vazadas
Aplicação maliciosa Offline Esta deteção combina alertas da Proteção de ID e do Microsoft Defender for Cloud Apps para indicar quando a Microsoft desativa uma aplicação por violar os nossos termos de serviço. Recomendamos a realização de uma investigação do aplicativo. Nota: Estes aplicativos são exibidos DisabledDueToViolationOfServicesAgreement na propriedade disabledByMicrosoftStatus nos tipos de recurso de aplicação e principal de serviço relacionados no Microsoft Graph. Para evitar que eles sejam instanciados em sua organização novamente no futuro, não é possível excluir esses objetos. aplicação maliciosa
Aplicação suspeita Offline Essa deteção indica que a Proteção de ID ou o Microsoft Defender for Cloud Apps identificou um aplicativo que pode estar violando nossos termos de serviço, mas não o desabilitou. Recomendamos a realização de uma investigação do aplicativo. Aplicação Suspeita
Atividade principal de serviço anómalo Offline Esta detecção de risco estabelece como padrão o comportamento normal do principal de serviço administrativo no Microsoft Entra ID e identifica padrões anómalos de comportamento, como alterações suspeitas no diretório. A deteção é acionada contra o principal de serviço administrativo que realiza a alteração ou o objeto que foi alterado. Atividade Anómala do Principal do Serviço
Tráfego de API suspeito Offline Esta deteção de risco é reportada quando é observado tráfego anormal do GraphAPI ou uma enumeração de diretório de um principal de serviço. A deteção de tráfego de API suspeito pode indicar atividade anormal de reconhecimento ou exfiltração de dados por um principal de serviço. suspeitaAPITraffic

Identificar identidades de carga de trabalho arriscadas

As organizações podem encontrar identidades de tarefas assinaladas como de risco em um dos dois locais:

  1. Entre no centro de administração Microsoft Entra com pelo menos uma função de Leitor de Segurança.
  2. Navegue até Proteção>Proteção de Identidade>Identidades de cargas de trabalho arriscadas.

Captura de tela mostrando os riscos detetados em relação às identidades de carga de trabalho no relatório.

Microsoft Graph APIs

Você também pode consultar identidades de carga de trabalho arriscadas usando a API do Microsoft Graph. Há duas novas coleções nas APIs de Proteção de ID.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Exportar dados de risco

As organizações podem exportar dados definindo configurações de diagnóstico no Microsoft Entra ID para enviar dados de risco para um espaço de trabalho do Log Analytics, arquivá-los em uma conta de armazenamento, transmiti-los para um hub de eventos ou enviá-los para uma solução SIEM.

Impor controles de acesso com acesso condicional baseado em risco

Usando o Acesso Condicional para identidades de carga de trabalho, pode-se bloquear o acesso de contas específicas escolhidas quando a Proteção de ID as marcar como "em risco". A política pode ser aplicada a principais entidades de serviço de inquilino único registadas no seu inquilino. SaaS de terceiros, aplicações multilocatárias e identidades gerenciadas estão fora do escopo.

Para melhorar a segurança e a resiliência de suas identidades de carga de trabalho, a Avaliação de Acesso Contínuo (CAE) para identidades de carga de trabalho é uma ferramenta poderosa que oferece aplicação instantânea de suas políticas de Acesso Condicional e quaisquer sinais de risco detetados. As identidades de carga de trabalho de terceiros habilitadas para CAE que acessam recursos primários compatíveis com CAE são equipadas com Tokens de Vida Longa (LLTs) de 24 horas que estão sujeitos a verificações de segurança contínuas. Consulte a documentação sobre identidades de carga de trabalho para o CAE para obter informações sobre como configurar clientes de identidade de carga de trabalho para o CAE e o alcance atualizado das funcionalidades.

Investigue identidades de carga de trabalho arriscadas

A Proteção de Identidade fornece às organizações dois relatórios que podem ser usados para investigar o risco de identidade da carga de trabalho. Esses relatórios referem-se às identidades de carga de trabalho que apresentam riscos e às deteções de risco associadas a estas identidades. Todos os relatórios permitem o download de eventos em . Formato CSV para análise posterior.

Algumas das principais perguntas a serem respondidas durante a investigação incluem:

  • As contas mostram atividades de início de sessão suspeitas?
  • Houve alterações não autorizadas nas credenciais?
  • Houve alterações suspeitas na configuração das contas?
  • A conta adquiriu funções de aplicativo não autorizadas?

O guia de operações de segurança do Microsoft Entra para Aplicativos fornece orientações detalhadas sobre as áreas de investigação acima.

Depois de determinar se a identidade da carga de trabalho foi comprometida, elimine o risco associado à conta ou confirme a conta como comprometida no relatório de Identidades de Carga de Trabalho Arriscadas. Você também pode selecionar "Desativar principal de serviço" se quiser impedir que a conta faça mais logins.

Confirme o comprometimento da identidade da carga de trabalho ou descarte o risco.

Corrigir identidades de carga de trabalho arriscadas

  1. Liste as credenciais atribuídas à identidade de carga de trabalho arriscada, seja para o principal de serviço ou objetos de aplicação.
  2. Adicione uma nova credencial. A Microsoft recomenda o uso de certificados x509.
  3. Remova as credenciais comprometidas. Se você acredita que a conta está em risco, recomendamos remover todas as credenciais existentes.
  4. Regenere todos os segredos do Azure KeyVault aos quais a Entidade de Serviço tenha acesso, renovando-os.

O Microsoft Entra Toolkit é um módulo do PowerShell que pode ajudá-lo a executar algumas dessas ações.

Conteúdo relacionado