保護工作負載身分識別
除了使用者身分識別之外,Microsoft Entra ID Protection 還可以偵測、調查及補救工作負載身分識別,以保護應用程式和服務主體。
工作負載身分識別是一種身分識別,可讓應用程式存取資源,有時是在使用者的內容中。 這些工作負載身分識別與傳統使用者帳戶不同,因為它們:
- 無法執行多重要素驗證。
- 通常不會有正式的生命週期流程。
- 需要將其認證或祕密儲存於某處。
這些差異讓工作負載身分識別更難管理,並使其承受更高的盜用風險。
重要
工作負載身分識別進階客戶可以使用完整的風險詳細數據和風險型訪問控制;不過,沒有 工作負載身分識別 Premium 授權的客戶仍會收到具有有限報告詳細數據的所有偵測。
注意
ID Protection 可偵測單一租用戶、第三方 SaaS 和多租用戶應用程式的風險。 受控識別目前不在範圍內。
必要條件
若要使用工作負載身分識別風險報告,包括新的風險工作負載身分識別刀鋒視窗和入口網站 [風險偵測] 刀鋒視窗中的 [工作負載身分識別偵測] 索引卷標,您必須具備下列專案。
- 獲指派下列其中一個管理員角色
- 安全性系統管理員
- 安全性操作員
- 獲指派條件式存取系統管理員角色的安全性讀取者使用者可建立使用風險作為條件的原則。
若要對具風險的工作負載身分識別採取動作,建議您設定風險型條件式存取原則,這需要工作負載身分識別進階授權:您可以在 [工作負載身分識別] 刀鋒視窗上檢視、開始試用並取得授權。
工作負載身分識別風險偵測
我們偵測到跨登入行為的工作負載身分識別和離線入侵指標的風險。
| 偵測名稱 | 偵測類型 | 描述 | riskEventType |
|---|---|---|---|
| Microsoft Entra 威脅情報 | 離線 | 此風險偵測會根據 Microsoft 內部及外部威脅情報來源,指出一些與已知攻擊模式一致的活動。 | investigationsThreatIntelligence |
| 可疑登入 | 離線 | 此風險偵測指出對此服務主體而言不尋常的登入屬性或模式。 此偵測會學習租用戶中工作負載身分識別的基準登入行為。 此偵測需要 2 到 60 天,並在稍後登入期間出現下列一或多個不熟悉的屬性時引發:IP 位址/ASN、目標資源、使用者代理程式、裝載/非裝載 IP 變更、IP 國家/地區、認證類型。 基於工作負載身分識別登入的程式設計本質,我們會提供可疑活動的時間戳記,而不是標示特定的登入事件。 在授權設定變更之後起始的登入,可能會觸發此偵測。 |
suspiciousSignins |
| 系統管理員已確認服務主體遭入侵 | 離線 | 此偵測指出系統管理員已在具風險的工作負載身分識別 UI 或使用 riskyServicePrincipals API 時選取 [確認遭盜用]。 若要查看哪個系統管理員已確認此帳戶遭入侵,請檢查帳戶的風險歷程記錄 (透過 UI 或 API)。 | adminConfirmedServicePrincipalCompromised |
| 認證外洩 | 離線 | 此風險偵測指出帳戶的有效認證已外洩。 當有人在 GitHub 上的公用程式碼成品中簽入認證時,或者當認證透過資料缺口外洩時,可能就會發生這類外洩。 若 Microsoft 外洩認證服務透過 GitHub、暗網、分享網站或其他來源取得認證,會將其對照 Microsoft Entra ID 中目前的有效認證進行檢查,以尋找有效的相符項目。 |
leakedCredentials |
| 惡意應用程式 | 離線 | 此偵測會將來自 ID Protection 和 Microsoft Defender for Cloud Apps 的警示結合在一起,以指出 Microsoft 何時停用違反服務條款的應用程式。 建議您調查應用程式。 注意:這些應用程式會在 Microsoft Graph 中相關的應用程式和服務主體資源類型上的 disabledByMicrosoftStatus 屬性顯示 DisabledDueToViolationOfServicesAgreement。 為防止這些物件未來在組織中再次具現化,您無法刪除這些物件。 |
maliciousApplication |
| 可疑的應用程式 | 離線 | 此偵測指出 ID Protection 或 Microsoft Defender for Cloud Apps 發現可能違反服務條款的應用程式,但尚未停用該應用程式。 建議您調查應用程式。 | suspiciousApplication |
| 異常的服務主體活動 | 離線 | 此風險偵測會設定 Microsoft Entra ID 中一般管理服務主體行為的基準,並發現異常行為模式,例如目錄的可疑變更。 系統會針對管理服務主體進行變更或變更的物件,觸發偵測。 | anomalousServicePrincipalActivity |
| 可疑的 API 流量 | 離線 | 當觀察到服務主體的異常 GraphAPI 流量或目錄列舉時,就會報告此風險偵測。 可疑的 API 流量偵測可能表示服務主體的異常偵察或數據外洩。 | suspiciousAPITraffic |
識別具風險的工作負載身分識別
組織可以在下列兩個位置的其中一個位置找到標示為風險的工作負載身分識別:
- 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [Identity Protection] > [具風險的工作負載身分識別]。
Microsoft Graph API
您也可以使用 Microsoft Graph API 來查詢具風險的工作負載身分識別。 ID Protection API 中有兩個新集合。
riskyServicePrincipalsservicePrincipalRiskDetections
匯出風險資料
組織可以匯出資料,方法是設定 Microsoft Entra ID 中的診斷設定以將風險資料傳送至 Log Analytics 工作區、將其封存至儲存體帳戶、將其串流至事件中樞,或將其傳送至 SIEM 解決方案。
使用風險型條件式存取強制執行存取控制
為工作負載身分識別使用條件式存取,您可以在 ID Protection 將所選擇的特定帳戶標示為「有風險」時,封鎖對這些帳戶的存取。原則可以套用至租用戶中註冊的單一租用戶服務主體。 協力廠商 SaaS、多租用戶應用程式及受控識別均已超出範圍。
為了提高工作負載身分識別的安全性和復原能力,工作負載身分識別的持續性存取評估 (CAE) 這種功能強大的工具,可讓您立即強制執行條件式存取原則和任何偵測到的風險訊號。 已啟用 CAE 的第三方工作負載身分識別 (可存取支援 CAE 的第一方資源) 具備 24 小時長時間存留權杖 (LLT),這些權杖需要持續進行安全性檢查。 如需為 CAE 設定工作負載身分識別用戶端和最新功能範圍的相關資訊,請參閱適用於工作負載身分識別的 CAE 文件。
調查具風險的工作負載身分識別
ID Protection 會將兩種報告提供給組織,用來調查工作負載身分識別風險。 這些報告是具風險的工作負載身分識別,以及工作負載身分識別的風險偵測。 所有報告都允許以 .CSV 格式下載事件,以供進一步分析。
在調查期間要回答的一些重要問題包括:
- 帳戶是否顯示可疑的登入活動?
- 是否有未授權的認證變更?
- 帳戶是否有可疑的設定變更?
- 帳戶是否取得未授權的應用程式角色?
Microsoft Entra 應用程式安全性作業指南提供上述調查區域的詳細指引。
在您判斷工作負載身分識別是否遭入侵之後,請關閉帳戶的風險,或在「具風險的工作負載身分識別」報告中確認帳戶遭入侵。 如果您想要封鎖帳戶不進行進一步登入,則也可以選取 [停用服務主體]。
補救具風險的工作負載身分識別
- 指派給具風險工作負載身分識別的詳細目錄認證,不論是針對服務主體還是應用程式物件。
- 新增認證。 Microsoft 建議使用 x509 憑證。
- 移除遭盜用的認證。 如果您認為帳戶具有風險,則建議您移除所有現有認證。
- 進行輪替,即可補救服務主體可存取的任何 Azure KeyVault 祕密。
Microsoft Entra 工具組是 PowerShell 模組,可協助您執行其中一些動作。