Поделиться через


Имитация обнаружения рисков в Защита идентификации Microsoft Entra

Администраторы могут имитировать риск в своей среде, чтобы выполнить следующие действия:

  • Заполните данные в среде Защита идентификации Microsoft Entra путем имитации обнаружения рисков и уязвимостей.
  • Настройте политики условного доступа на основе рисков и проверьте влияние этих политик.

В этой статье поэтапно описано моделирование следующих типов обнаружения рисков:

  • Анонимный IP-адрес (легко)
  • Необычные свойства входа (средняя сложность)
  • Необычное перемещение (сложно)
  • Утечка учетных данных в GitHub для удостоверений рабочей нагрузки (средняя сложность)

Другие типы обнаружения рисков нельзя моделировать без угрозы для безопасности.

Подробнее о каждом типе обнаружения рисков см. в статье "Что означает риск для пользователя и удостоверения рабочей нагрузки?".

Анонимный IP-адрес

Для выполнения следующей процедуры необходимо использовать:

  • Браузер Tor Browser. С его помощью вы смоделируете вход с использованием анонимных IP-адресов. Если в вашей организации запрещено использование Tor Browser, может потребоваться воспользоваться виртуальной машиной.
  • Тестовая учетная запись, которая еще не зарегистрирована для многофакторной проверки подлинности Microsoft Entra.

Чтобы смоделировать вход с использованием анонимного IP-адреса, выполните следующее.

  1. В браузере Tor перейдите по адресу https://myapps.microsoft.com.
  2. Введите учетные данные учетной записи, которую нужно использовать в отчете Попытки входа с анонимных IP-адресов .

Вход отображается в отчете в течение 10 –15 минут.

Необычные свойства входа

Чтобы имитировать незнакомые расположения, необходимо использовать расположение и устройство, которое не использовалось раньше.

Следующая процедура использует только что созданное:

  • VPN-подключение (для имитации расположения);
  • виртуальная машина (для имитации устройства).

Для выполнения следующей процедуры необходимо использовать учетную запись, которая имеет:

  • историю входов за период не менее чем 30 дней;
  • Многофакторная проверка подлинности Microsoft Entra.

Чтобы смоделировать вход из незнакомого расположения, выполните следующее.

  1. С помощью нового подключения VPN перейдите по адресу https://myapps.microsoft.com и введите учетные данные тестовой учетной записи.
  2. При входе с помощью тестовой учетной записи сбой многофакторной проверки подлинности, не передав вызов MFA.

Вход отображается в отчете в течение 10 –15 минут.

Необычное перемещение

Имитация нетипичного состояния путешествия трудно. Алгоритм использует машинное обучение для отфильтровывания ложных срабатываний, таких как нетипическое путешествие с знакомых устройств, или входы из виртуальных сетей, которые используются другими пользователями в каталоге. Кроме того, алгоритму требуется журнал входа 14 дней или 10 имен входа пользователя, прежде чем он начнет создавать обнаружения рисков. Из-за сложных моделей машинного обучения и выше правил существует вероятность того, что следующие шаги не будут вызывать обнаружение рисков. Для имитации этого обнаружения может потребоваться выполнить репликацию нескольких учетных записей Microsoft Entra.

Чтобы смоделировать обнаружение риска при необычном переходе, выполните следующие действия.

  1. В стандартном браузере перейдите по адресу https://myapps.microsoft.com.
  2. Введите данные учетной записи, для которой нужно создать обнаружение риска при необычном переходе.
  3. Измените агент пользователя. Чтобы изменить агент пользователя в Microsoft Edge, можно использовать Средства для разработчиков (F12).
  4. Измените свой IP-адрес. Чтобы его изменить, можно использовать VPN, надстройку Tor или создать новую виртуальную машину в Azure в другом центре обработки данных.
  5. Перейдите по адресу https://myapps.microsoft.com, введите те же учетные данные, что и при предыдущем входе, а затем, через несколько минут после последнего входа войдите в учетную запись.

Вход отображается в отчете в течение 2–4 часов.

Утечка учетных данных для удостоверений рабочей нагрузки

Это обнаружение рисков указывает на утечку допустимых учетных данных приложения. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub. Таким образом, чтобы имитировать это обнаружение, потребуется учетная запись GitHub. Если у вас ее нет, вы можете зарегистрировать учетную запись GitHub.

Имитация утечки учетных данных в GitHub для удостоверений рабочей нагрузки

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. Выберите Новая регистрация, чтобы зарегистрировать новое приложение или повторно использовать устаревшее приложение.

  4. Выберите "Сертификаты и секреты>нового секрета клиента", добавьте описание секрета клиента и задайте срок действия секрета или укажите настраиваемое время существования и нажмите кнопку "Добавить". Запишите значение секрета для последующего использования при фиксации в GitHub.

    Примечание.

    После выхода с этой страницы вы не сможете получить секрет повторно.

  5. Получите значения TenantID и Application(Client)ID на странице Обзор.

  6. Убедитесь, что приложение отключается с помощью параметра "Свойства> корпоративных приложений>>удостоверений>", чтобы пользователи могли войти в "Нет".

  7. Создайте общедоступный репозиторий GitHub, добавьте следующую конфигурацию и зафиксируйте изменение в виде файла с расширением .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. Около 8 часов вы можете просмотреть обнаружение утечки учетных данных в разделе >"Обнаружение рисков>защиты идентификации">, где другие сведения содержат URL-адрес фиксации GitHub.

Тестирование политик рисков

В этом разделе пошагово описана процедура тестирования пользователей и политик рисков при входе, созданных при изучении статьи Практическое руководство. Настройка и включение политик рисков.

Политика риска пользователя

Чтобы проверить политику безопасности в отношении риска для пользователя, выполните следующие действия :

  1. Настройте политику риска пользователей, предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Повысьте уровень риска пользователя тестовой учетной записи. Для этого смоделируйте несколько раз одно из событий обнаружения риска.
  3. Подождите несколько минут и убедитесь, что уровень риска пользователя повысился. В противном случае смоделируйте больше событий риска для пользователя.
  4. Вернитесь к политике риска, установите для параметра Применить политику значение Вкл и Сохраните внесенное изменение.
  5. Теперь можно протестировать условный доступ на основе рисков пользователя. Для этого войдите в учетную запись, используя данные пользователя, чей уровень риска вы повысили.

Политика безопасности в отношении риска входа

Чтобы проверить политику в отношении риска входа:

  1. Настройте политику риска входа, предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Теперь можно протестировать условный доступ на основе рисков при входе. Для этого войдите в учетную запись с помощью сеанса, представляющего риск (например, используя браузер Tor Browser).

Следующие шаги