Implementar segurança para identidades de carga de trabalho
O Microsoft Entra Identity Protection historicamente protege os usuários na deteção, investigação e correção de riscos baseados em identidade. A proteção de identidade estendeu esses recursos para identidades de carga de trabalho para proteger aplicativos, entidades de serviço e identidades gerenciadas.
Uma identidade de carga de trabalho é uma identidade que permite que uma aplicação ou principal serviço aceda a recursos, às vezes no contexto de um utilizador. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais, pois são:
- Não é possível efetuar a autenticação multifator.
- Muitas vezes, não têm um processo formal de ciclo de vida.
- Precisam de armazenar as respetivas credenciais ou segredos em algum lugar.
Essas diferenças tornam as identidades de carga de trabalho mais difíceis de gerenciar e as colocam em maior risco de comprometimento.
Requisitos para usar a proteção de identidade da carga de trabalho
Para usar o risco de identidade da carga de trabalho, incluindo a nova folha Identidades de carga de trabalho de risco (visualização) e a guia Deteções de identidade da carga de trabalho na folha Deteções de risco, no portal do Azure você deve ter o seguinte.
Licenciamento do Microsoft Entra ID Premium P2
O usuário conectado deve ser atribuído:
- Administrador global
- Administrador de segurança
- Operador de segurança
- Leitor de segurança
Que tipos de riscos são detetados?
| Nome da deteção | Tipo de deteção | Descrição |
|---|---|---|
| Inteligência de ameaças do Microsoft Entra | Offline | Essa deteção de risco indica alguma atividade consistente com padrões de ataque conhecidos com base nas fontes de inteligência de ameaças internas e externas da Microsoft. |
| Entradas suspeitas | Offline | Essa deteção de risco indica propriedades ou padrões de entrada que são incomuns para essa entidade de serviço. |
| A deteção aprende o comportamento de entrada de linhas de base para identidades de carga de trabalho em seu locatário entre 2 e 60 dias e é acionada se uma ou mais das seguintes propriedades desconhecidas aparecerem durante uma entrada posterior: endereço IP/ASN, recurso de destino, agente de usuário, alteração de IP de hospedagem/não hospedagem, país de IP, tipo de credencial. | ||
| Adição incomum de credenciais a um aplicativo OAuth | Offline | Essa deteção é descoberta pelo Microsoft Defender for Cloud Apps. Essa deteção identifica a adição suspeita de credenciais privilegiadas a um aplicativo OAuth. Isso pode indicar que um invasor comprometeu o aplicativo e está usando-o para atividades maliciosas. |
| Conta confirmada pelo administrador comprometida | Offline | Essa deteção indica que um administrador selecionou 'Confirmar comprometido' na interface do usuário de identidades de carga de trabalho arriscada ou usando a API riskyServicePrincipals. Para ver qual administrador confirmou que essa conta foi comprometida, verifique o histórico de risco da conta (via interface do usuário ou API). |
| Credenciais vazadas (visualização pública) | Offline | Essa deteção de risco indica que as credenciais válidas da conta foram vazadas. Esse vazamento pode ocorrer quando alguém verifica as credenciais no artefato de código público no GitHub ou quando as credenciais são vazadas por meio de uma violação de dados. |
Adicionar proteção de acesso condicional
Usando o Acesso Condicional para identidades de carga de trabalho, você pode bloquear o acesso de contas específicas escolhidas quando a Proteção de Identidade as marcar como "em risco". A política pode ser aplicada a entidades de serviço de locatário único que foram registradas em seu locatário. SaaS de terceiros, aplicativos multilocatários e identidades gerenciadas estão fora do escopo.