Dela via


Säkra arbetsflödesidentiteter

Microsoft Entra ID Protection kan identifiera, undersöka och åtgärda arbetsflödesidentiteter för att skydda applikationer och tjänsteprincipaler, utöver användaridentiteter.

En arbetsbelastningsidentitet är en identitet som ger ett program åtkomst till resurser, ibland i kontexten för en användare. Dessa arbetsbelastningsidentiteter skiljer sig från traditionella användarkonton eftersom de:

  • inte kan utföra multifaktorautentisering
  • ofta saknar en formell livscykelprocess
  • behöver lagra sina uppgifter eller hemligheter någonstans.

Dessa skillnader gör arbetsbelastningsidentiteter svårare att hantera och utsätter dem för högre risk för kompromisser.

Viktigt!

Fullständig riskinformation och riskbaserade åtkomstkontroller är tillgängliga för Premium-kunder för arbetsbelastningsidentiteter. Men kunder utan Premium-licenserna för arbetsbelastningsidentiteter får fortfarande alla identifieringar med begränsad rapporteringsinformation.

Anteckning

ID Protection identifierar risker för enskilda klienter, tredjeparts-SaaS och applikationer för flera klienter. Hanterade identiteter är för närvarande inte inom ramen.

Förutsättningar

Om du vill använda arbetsbelastningsidentitetsriskrapporter, inklusive bladet Riskfyllda arbetsbelastningsidentiteter och arbetsbelastningsidentitetsidentifieringar på bladet Riskidentifieringar i portalen, måste du ha följande.

  • En av följande administratörsroller har tilldelats

    • Säkerhetsadministratör
    • Säkerhetsoperator
    • Säkerhetsläsare

    Användare som tilldelats rollen Administratör för villkorsstyrd åtkomst kan skapa principer som använder risker som ett villkor.

För att vidta åtgärder mot riskfyllda arbetsbelastningsidentiteter rekommenderar vi att du konfigurerar riskbaserade principer för villkorsstyrd åtkomst, som kräver arbetsbelastningsidentiteter Premium licensiering: Du kan visa, starta en utvärderingsversion och skaffa licenser på bladet Arbetsbelastningsidentiteter.

Kommentar

Med Microsoft Security Copilotkan du använda frågor på naturligt språk för att få insikter om riskfyllda arbetsbelastningsidentiteter. Läs mer om hur du utvärderar programrisker med hjälp av Microsoft Security Copilot i Microsoft Entra.

Identifiering av arbetsbelastningsidentitetsrisk

Vi identifierar risker i arbetsbelastningsidentiteter utifrån inloggningsbeteenden och offlineindikatorer för kompromiss.

Detektionsnamn Identifieringstyp beskrivning riskhändelsetyp
Microsoft Entra-hotunderrättelser Offline Den här riskidentifieringen indikerar viss aktivitet som överensstämmer med kända attackmönster baserat på Microsofts interna och externa hotinformationskällor. undersökningarHotintelligens
Misstänkta inloggningar Offline Den här riskidentifieringen indikerar inloggningsegenskaper eller mönster som är ovanliga för tjänsthuvudet. Detektionen lär sig det grundläggande inloggningsmönstret för arbetsprocessidentiteter i din klientorganisation. Den här identifieringen tar mellan 2 och 60 dagar och utlöses om en eller flera av följande okända egenskaper visas under en senare inloggning: IP-adress/ASN, målresurs, användaragent, värd-/icke-värd-IP-ändring, IP-land, typ av autentiseringsuppgifter. På grund av den programmatiska karaktären hos identitetsinloggningar vid arbetsbelastning tillhandahåller vi en tidsstämpel för den misstänkta aktiviteten istället för att påpeka en specifik inloggningshändelse. Inloggningar som initieras efter en auktoriserad konfigurationsändring kan utlösa den här identifieringen. misstänkta inloggningar
Admin bekräftade att tjänstens huvudprincip har komprometterats Offline Den här identifieringen anger att en administratör har valt "Confirm compromised" (Bekräfta komprometterad) i användargränssnittet för riskfyllda arbetsbelastningsidentiteter eller med riskyServicePrincipals API. Om du vill se vilken administratör som har bekräftat att kontot har komprometterats kontrollerar du kontots riskhistorik (via användargränssnittet eller API:et). Administratör bekräftade att tjänsteprincipalen komprometterades
Läckta autentiseringsuppgifter Offline Den här riskidentifieringen anger att kontots giltiga autentiseringsuppgifter läckte ut. Den här läckan kan inträffa när någon checkar in autentiseringsuppgifterna i den offentliga kodartefakten på GitHub eller när autentiseringsuppgifterna läcker ut genom ett dataintrång. När Microsofts tjänst för läckta autentiseringsuppgifter hämtar uppgifter från GitHub, den mörka webben, klipptjänster eller andra källor, kontrolleras de mot aktuella giltiga autentiseringsuppgifter i Microsoft Entra ID för att identifiera giltiga matchningar. läckta referenser
Skadligt program Offline Den här identifieringen kombinerar aviseringar från ID Protection och Microsoft Defender för molnet Apps för att ange när Microsoft inaktiverar ett program för att bryta mot våra användarvillkor. Vi rekommenderar att du utför en undersökning av programmet. Obs! Dessa program visar DisabledDueToViolationOfServicesAgreement på egenskapen disabledByMicrosoftStatus för de relaterade program- och tjänstens principalresurstyper i Microsoft Graph. För att förhindra att de instansieras i din organisation igen i framtiden kan du inte ta bort dessa objekt. skadlig applikation
Misstänkt program Offline Den här identifieringen anger att ID Protection eller Microsoft Defender för molnet Apps har identifierat ett program som kan bryta mot våra användarvillkor men som inte har inaktiverat det. Vi rekommenderar att du utför en undersökning av programmet. misstänkt applikation
Avvikande aktivitet för tjänsteprincipal Offline Den här riskidentifieringen fastställer normala beteendemönster för administrativa tjänsthuvudprinciper i Microsoft Entra ID och identifierar avvikande beteendemönster, som misstänkta ändringar i katalogen. Identifieringen utlöses mot det administrativa tjänstens huvudnamn som gör ändringen eller objektet som ändrades. avvikande tjänsteprincipaktivitet
Misstänkt API-trafik Offline Den här riskidentifieringen rapporteras när onormal GraphAPI-trafik eller kataloguppräkning av ett tjänstehuvudnamn detekteras. Identifieringen av misstänkt API-trafik kan tyda på onormal rekognosering eller dataexfiltrering av tjänstens huvudprincip. misstänktAPItrafik

Identifiera riskfyllda arbetsbelastningsidentiteter

Organisationer kan hitta arbetsbelastningsidentiteter som har flaggats för risk på någon av två platser:

  1. Logga in på Microsoft Entra administrationscenter som minst en Säkerhetsläsare.
  2. Bläddra till Skydd>Identitetsskydd>Riskfyllda arbetsbelastningsidentiteter.

Skärmbild som visar risker som identifierats mot arbetsbelastningsidentiteter i rapporten.

Microsoft Graph-API:er

Du kan också fråga efter riskfyllda arbetsbelastningsidentiteter med hjälp av Microsoft Graph API. Det finns två nya samlingar i ID Protection-API:erna.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Exportera riskdata

Organisationer kan exportera data genom att konfigurera diagnostikinställningar i Microsoft Entra-ID för att skicka riskdata till en Log Analytics-arbetsyta, arkivera dem till ett lagringskonto, strömma dem till en händelsehubb eller skicka dem till en SIEM-lösning.

Framtvinga åtkomstkontroller med riskbaserad villkorlig åtkomst

Med villkorlig åtkomst för arbetsbelastningsidentiteter kan du blockera åtkomst för specifika konton som du väljer när ID Protection markerar dem som "i riskzonen". Riktlinjen kan tillämpas på tjänstprincipaler som är registrerade i din klientorganisation. SaaS från tredje part, appar med flera klientorganisationer och hanterade identiteter ligger utanför omfånget.

För bättre säkerhet och motståndskraft för dina arbetsbelastningsidentiteter är Kontinuerlig åtkomstutvärdering (CAE) för arbetsbelastningsidentiteter ett kraftfullt verktyg som ger omedelbar tillämpning av dina principer för villkorsstyrd åtkomst och eventuella identifierade risksignaler. CAE-aktiverade identiteter för arbetsbelastning från tredje part som får åtkomst till CAE-kapabla resurser från första part är utrustade med 24-timmars långvariga tokens som underkastas kontinuerliga säkerhetskontroller. Mer information om hur du konfigurerar arbetsbelastningsidentitetsklienter för CAE och aktuellt funktionsomfång finns i dokumentationen för CAE för arbetsbelastningsidentiteter.

Undersöka riskfyllda arbetsbelastningsidentiteter

ID Protection ger organisationer två rapporter som de kan använda för att undersöka arbetsbelastningens identitetsrisk. Dessa rapporter handlar om riskfyllda arbetsbelastningsidentiteter och riskdetekteringar för dessa identiteter. Alla rapporter tillåter nedladdning av händelser i . CSV-format för ytterligare analys.

Några av de viktigaste frågorna att besvara under undersökningen är:

  • Visar konton misstänkt inloggningsaktivitet?
  • Har det gjorts obehöriga ändringar i autentiseringsuppgifterna?
  • Har det skett misstänkta konfigurationsändringar i konton?
  • Fick kontot obehöriga programroller tilldelade?

Säkerhetsåtgärdsguiden för Microsoft Entra för program ger detaljerad vägledning om undersökningsområdena ovan.

När du har fastställt om arbetsbelastningsidentiteten har komprometterats kan du stänga kontots risk eller bekräfta kontot som komprometterat i rapporten Riskfyllda arbetsbelastningsidentiteter. Du kan också välja "Inaktivera service principal" om du vill blockera kontot för ytterligare inloggningar.

Bekräfta om identitetskompromettering i arbetsbelastning har skett eller avfärda risken.

Åtgärda riskfyllda arbetsbelastningsidentiteter

  1. Inventeringsautentiseringsuppgifter som tilldelats den riskfyllda arbetsbelastningsidentiteten, oavsett om det gäller tjänstens huvudnamn eller programobjekt.
  2. Lägg till en ny autentiseringsuppgift. Microsoft rekommenderar att du använder x509-certifikat.
  3. Ta bort de komprometterade autentiseringsuppgifterna. Om du tror att kontot är i fara rekommenderar vi att du tar bort alla befintliga autentiseringsuppgifter.
  4. Åtgärda eventuella Azure KeyVault-hemligheter som tjänsthuvudmannen har åtkomst till genom att byta ut dem.

Microsoft Entra Toolkit är en PowerShell-modul som kan hjälpa dig att utföra några av dessa åtgärder.