在 Microsoft Entra ID Protection 中模拟风险检测

管理员可能希望在其环境中模拟风险,以完成以下各项:

  • 通过模拟风险检测和漏洞在 Microsoft Entra ID 保护环境中填充数据。
  • 创建基于风险的条件访问策略,并测试这些策略的效果。

本文逐步介绍了如何模拟以下风险检测类型:

  • 匿名 IP 地址(简单)
  • 不熟悉的登录属性(中等)
  • 异常位置登录(困难)
  • GitHub 中用于工作负载标识的凭据泄露(中等)

不能以安全方式模拟其他风险检测。

有关每种风险检测的详细信息,可查看“风险是什么”文章中的用户工作负载标识

匿名 IP 地址

完成以下过程需要使用:

  • Tor 浏览器,用于模拟匿名 IP 地址。 如果组织限制使用 Tor 浏览器,则可能需要使用虚拟机。
  • 还没有注册 Microsoft Entra 多重身份验证的测试帐户。

若要模拟从匿名 IP 登录,请执行以下步骤

  1. 使用 Tor 浏览器,导航到 https://myapps.microsoft.com
  2. 输入要在从匿名 IP 地址登录报告中显示的帐户的凭据。

登录在 10 - 15 分钟内显示在报表上。

不熟悉的登录属性

若要模拟不熟悉的位置,必须使用测试帐户之前未使用过的位置和设备登录。

下面的过程使用新创建的以下项目:

  • VPN 连接,用于模拟新位置。
  • 虚拟机,用于模拟新设备。

完成以下过程需要使用具有以下特征的用户帐户:

  • 至少 30 天的登录历史记录。
  • Microsoft Entra 多重身份验证。

若要模拟从不熟悉的位置登录,请执行以下步骤

  1. 使用新 VPN 导航到 https://myapps.microsoft.com,然后输入测试帐户的凭据。
  2. 当使用测试帐户登录时,通过不通过 MFA 质询,让多重身份验证质询失败。

登录在 10 - 15 分钟内显示在报表上。

异常位置登录

模拟异常位置登录条件很困难。 此算法使用机器学习来剔除误报,如来自熟悉设备的异常位置登录,或来自目录中其他用户所使用的 VPN 的登录。 另外,此算法要求有用户 14 天或 10 次的登录历史记录,然后才能开始生成风险检测。 考虑到机器学习模型的复杂性以及上述规则的存在,以下步骤有可能不会触发风险检测。 你可能希望为多个 Microsoft Entra 帐户复制这些步骤,以模拟这种检测。

若要模拟异常位置登录风险检测,请按以下步骤操作:

  1. 使用标准浏览器,导航到 https://myapps.microsoft.com
  2. 输入要为其生成异常位置登录风险检测的帐户的凭据。
  3. 更改用户代理。 可以通过开发人员工具 (F12) 更改 Microsoft Edge 中的用户代理。
  4. 更改 IP 地址。 可以使用 VPN、Tor 加载项或在 Azure 中在不同的数据中心内新建虚拟机来更改 IP 地址。
  5. 像往常一样使用相同凭据并在上次登录后的数分钟内登录到 https://myapps.microsoft.com

登录在 2-4 小时内显示在报表中。

用于工作负载标识的凭据泄露

此风险检测指示应用程序的有效凭据已泄露。 当有人在 GitHub 上的公共代码项目中签入凭据时,可能会发生此泄漏。 因此,若要模拟此检测,需要 GitHub 帐户。如果还没有该帐户,可以注册 GitHub 帐户

模拟 GitHub 中用于工作负载标识的凭据泄露

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“应用注册”。

  3. 选择“新建注册”来注册新的应用程序,或者重复使用现有的过时应用程序。

  4. 选择“证书和机密”>“新建客户端密码”,添加对客户端密码的说明并设置机密的到期时间或指定自定义生存期,然后选择“添加”。 记录机密的值以供后续 GitHub 提交使用。

    注意

    离开此页面后,将无法再次检索机密

  5. 在概述页面中获取 TenantID 和 Application(Client)ID。

  6. 确保你通过“标识”>“应用程序”>“企业应用程序”>“属性” >将“启用以便用户登录”设置为“”来禁用应用程序。

  7. 创建公共 GitHub 存储库,添加以下配置,并将更改提交为扩展名为 .txt 的文件。

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. 大约 8 小时后,你将能够在“保护”>“标识保护”>“风险检测”>“工作负载标识检测”下查看凭据泄露检测,其中其他信息包含 GitHub 提交内容的 URL。

测试风险策略

此部分逐步介绍了如何测试在操作说明:配置和启用风险策略一文中创建的用户和登录风险策略。

用户风险策略

若要测试用户风险安全策略,请执行以下步骤:

  1. 配置针对你计划对其进行测试的用户的用户风险策略
  2. 可以通过特定的方式来提升测试帐户的用户风险,例如,可以多次模拟某个风险检测。
  3. 等待几分钟,然后验证用户风险是否提升。 如果否,请为用户模拟更多的风险检测。
  4. 返回到风险策略,然后将“强制执行策略”设置为“开”,并保存策略更改。
  5. 现在可以使用风险级别已提升的用户登录,以便测试基于用户风险的条件访问。

登录风险安全策略

若要测试登录风险策略,请执行以下步骤:

  1. 配置针对你计划对其进行测试的用户的登录风险策略
  2. 现在可以使用风险会话(例如,使用 Tor 浏览器)登录,以便测试基于登录风险的条件访问。

后续步骤