Реализация безопасности для удостоверений рабочей нагрузки
Служба «Защита идентификации Microsoft Entra» всегда защищала пользователей при обнаружении, исследовании и устранении рисков, связанных с идентификацией. Защита удостоверений расширяет эти возможности на удостоверения рабочих нагрузок для защиты приложений, субъектов-служб и управляемых удостоверений.
Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Такие удостоверения рабочей нагрузки отличаются от традиционных учетных записей пользователей, так как:
- Они не могут выполнять многофакторную проверку подлинности.
- Во многих случаях у них нет формального процесса жизненного цикла.
- Они должны где-то хранить свои учетные данные или секреты.
Такие различия затрудняют управление удостоверениями рабочей нагрузки и повышают риск их компрометации.
Требования к использованию защиты удостоверений рабочих нагрузок
Чтобы использовать риск идентификации рабочей нагрузки, в том числе новую колонку Рискованные удостоверения рабочей нагрузки (предварительная версия) и вкладку Обнаружения удостоверений рабочей нагрузки в колонке Обнаружение рисков, на портале Azure необходимо иметь следующее.
Лицензирование Microsoft Entra ID Premium P2
Вошедшему пользователю нужно назначить одно из следующего:
- Глобальный администратор.
- администратор безопасности;
- Оператор безопасности
- Читатель сведений о безопасности
Какие типы рисков выявляются?
| Имя обнаружения | Тип обнаружения | Description |
|---|---|---|
| Аналитика угроз Microsoft Entra | Offline | Это обнаружение риска указывает на некоторые действия, соответствующие известным шаблонам атак на основе внутренних и внешних источников аналитики угроз в Майкрософт. |
| Подозрительные входы | Offline | Это обнаружение риска указывает на свойства или шаблоны входа, необычные для данного субъекта-службы. |
| Обнаружение анализирует поведении входа в базовых конфигурациях для удостоверений рабочей нагрузки в клиенте в период от 2 до 60 дней и инициирует предупреждение, если одно или несколько следующих незнакомых свойств появляются при последующем входе: IP-адрес/ASN, целевой ресурс, агент пользователя, изменение IP-адреса с размещением и без размещения, страну IP-адреса, тип учетных данных. | ||
| Нетипичное добавление учетных данных для приложения OAuth | Offline | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Это обнаружение определяет подозрительные добавления в привилегированных учетных данных в приложение OAuth. Это может означать, что злоумышленник скомпрометировал приложение и использует его для вредоносных действий. |
| Администратор подтвердил скомпрометированную учетную запись | Offline | Это обнаружение указывает, что администратор выбрал параметр «Подтвердить компрометацию» в пользовательском интерфейсе рискованных удостоверений рабочей нагрузки или с помощью API riskyServicePrincipals. Чтобы узнать, кто из администраторов подтвердил, что эта учетная запись скомпрометирована, посмотрите журнал рисков учетной записи (через пользовательский интерфейс или API). |
| Утечки учетных данных (общедоступная предварительная версия) | Offline | Это обнаружение риска означает, что произошла утечка допустимых учетных данных пользователя. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub или когда учетные данные становятся известны в результате утечки данных. |
Добавление защиты с условным доступом
Используя условный доступ для удостоверений рабочей нагрузки, можно блокировать доступ для выбранных учетных записей, когда Защита идентификации помечает их как находящиеся под угрозой. Политику можно применить к субъектам-службам с одним арендатором, зарегистрированным в арендаторе. На сторонние приложения SaaS, приложения с несколькими клиентами и управляемые удостоверения политика не распространяется.