Поделиться через


Имитация обнаружения рисков в защите идентификаторов Microsoft Entra

Администраторы могут имитировать обнаружения рисков в Службе защиты идентификаторов Microsoft Entra для заполнения данных и тестирования политик условного доступа на основе рисков.

В этой статье поэтапно описано моделирование следующих типов обнаружения рисков:

  • Анонимный IP-адрес (легко)
  • Необычные свойства входа (средняя сложность)
  • Необычное перемещение (сложно)
  • Утечка учетных данных в GitHub для рабочих удостоверений (умеренная)

Другие типы обнаружения рисков нельзя моделировать без угрозы для безопасности.

Дополнительные сведения о каждом обнаружении рисков см. в статьях "Что такое риск для пользователя и идентификатора рабочей нагрузки".

Имитация анонимного IP-адреса

Для выполнения следующей процедуры необходимо использовать:

  • Браузер Tor позволяет моделировать анонимные IP-адреса. Если в вашей организации запрещено использование Tor Browser, может потребоваться воспользоваться виртуальной машиной.
  • Тестовая учетная запись, которая еще не зарегистрирована для многофакторной проверки подлинности Microsoft Entra.

Чтобы смоделировать вход с использованием анонимного IP-адреса, выполните следующее.

  1. В браузере Tor перейдите по адресу https://myapps.microsoft.com.
  2. Введите учетные данные учетной записи, которую нужно использовать в отчете Попытки входа с анонимных IP-адресов .

Вход отображается в отчете в течение 10 – 15 минут.

Имитация незнакомых свойств Sign-In

Чтобы имитировать незнакомые локации, необходимо использовать место и устройство, которые ваша тестовая учетная запись не использовала раньше.

Следующая процедура использует только что созданное:

  • VPN-подключение для имитации нового расположения
  • Виртуальная машина для имитации нового устройства

Для выполнения следующей процедуры требуется использовать учетную запись пользователя, которая имеет по крайней мере 30 дней журнала входа и удобные многофакторные методы проверки подлинности.

Чтобы смоделировать вход из незнакомого расположения, выполните следующее.

  1. С помощью нового подключения VPN перейдите по адресу https://myapps.microsoft.com и введите учетные данные тестовой учетной записи.
  2. При входе с тестовой учетной записью не пройдите проверку многофакторной аутентификации, оставив вызов без ответа.

Вход отображается в отчете в течение 10 – 15 минут.

Имитация нетипичного путешествия

Имитация нетипичных условий путешествия трудна. Алгоритм использует машинное обучение для отсеивания ложных срабатываний, таких как нетипичные поездки с знакомых устройств, или входы через VPN, которые используются другими пользователями в системе. Кроме того, алгоритму требуется история входа пользователя за 14 дней или 10 входов, прежде чем он начнет создавать обнаружения рисков. Из-за сложных моделей машинного обучения и выше правил существует вероятность того, что следующие шаги не будут вызывать обнаружение рисков. Для имитации этого обнаружения может потребоваться выполнить репликацию нескольких учетных записей Microsoft Entra.

Чтобы смоделировать обнаружение рисков при нестандартном путешествии, выполните следующие действия.

  1. В стандартном браузере перейдите по адресу https://myapps.microsoft.com.
  2. Введите учетные данные аккаунта, для которого вы хотите сгенерировать нетипичное обнаружение риска в поездке.
  3. Измените агент пользователя. Чтобы изменить агент пользователя в Microsoft Edge, можно использовать Средства для разработчиков (F12).
  4. Измените свой IP-адрес. Чтобы его изменить, можно использовать VPN, надстройку Tor или создать новую виртуальную машину в Azure в другом центре обработки данных.
  5. Перейдите по адресу https://myapps.microsoft.com, введите те же учетные данные, что и при предыдущем входе, а затем, через несколько минут после последнего входа войдите в учетную запись.

Вход отображается в отчете в течение 2–4 часов.

Утечка учетных данных идентификаторов рабочих нагрузок

Это обнаружение рисков указывает на утечку допустимых учетных данных приложения. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub. Таким образом, чтобы имитировать это обнаружение, потребуется учетная запись GitHub. Если у вас ее нет, вы можете зарегистрировать учетную запись GitHub.

Симулирование утечки учетных данных в GitHub для идентичностей рабочих процессов

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратор безопасности.

  2. Перейдите к Удостоверение>Приложения>Регистрация приложений.

  3. Выберите Новая регистрация, чтобы зарегистрировать новое приложение или повторно использовать устаревшее приложение.

  4. Выберите "Сертификаты и секреты>нового секрета клиента", добавьте описание секрета клиента и задайте срок действия секрета или укажите настраиваемое время существования и нажмите кнопку "Добавить". Запишите секретное значение для последующего использования при коммите в GitHub.

    Примечание.

    После выхода с этой страницы вы не сможете получить секрет повторно.

  5. Получите TenantID и Application(Client)ID на странице Обзор.

  6. Убедитесь, что приложение отключается с помощью параметра "Свойства корпоративных приложений>>удостоверений>", чтобы пользователи могли войти в>

  7. Создайте общедоступный репозиторий GitHub, добавьте следующую конфигурацию и зафиксируйте изменение в виде файла с расширением .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. Около 8 часов вы сможете просмотреть обнаружение утечки данных в разделе Защита идентификации>Обнаружение рисков>Обнаружение рисков>Обнаружение нагрузок идентификации, где другая информация содержит URL-адрес вашего коммита на GitHub.

Тестирование политик рисков

В этом разделе представлены шаги для тестирования политик пользователей и рисков при входе, созданных в статье Практическое руководство: Настройка и включение политик рисков.

Политика риска пользователя

Чтобы проверить политику безопасности в отношении риска для пользователя, выполните следующие действия :

  1. Настройте политику риска пользователей, предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Повысьте уровень риска пользователя тестовой учетной записи. Для этого смоделируйте несколько раз одно из событий обнаружения риска.
  3. Подождите несколько минут и убедитесь, что уровень риска пользователя повысился. Если нет, смоделируйте больше выявлений рисков для пользователя.
  4. Вернитесь к политике риска, установите для параметра Применить политику значение Вкл и Сохраните внесенное изменение.
  5. Теперь можно протестировать условный доступ на основе рисков пользователя. Для этого войдите в учетную запись, используя данные пользователя, чей уровень риска вы повысили.

Политика безопасности риска входа в систему

Чтобы проверить политику в отношении риска входа:

  1. Настройте политику риска входа, предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Теперь вы можете протестировать условный доступ на основе рисков при входе, войдя в систему с помощью сеанса, представляющего риск (например, используя браузер Tor).