保護工作負載身分識別
除了使用者身分識別之外,Microsoft Entra ID Protection 還可以偵測、調查及補救工作負載身分識別,以保護應用程式和服務主體。
工作負載身分識別是一種身分識別,可讓應用程式存取資源,有時會在使用者的脈絡中使用。 這些工作負載身分識別與傳統使用者帳戶不同,因為它們:
- 無法執行多重要素驗證。
- 通常不會有正式的生命週期流程。
- 需要將其認證或祕密儲存於某處。
這些差異讓工作負載身分識別更難管理,並使其承受更高的盜用風險。
重要
工作負載身分識別進階客戶可以使用完整的風險詳細數據和風險型訪問控制;不過,沒有 工作負載身分識別 Premium 授權的客戶仍會收到具有有限報告詳細數據的所有偵測。
注意
標識元保護會偵測單一租使用者、第三方 SaaS 和多租使用者應用程式的風險。 受管理的身分識別目前不在範疇內。
必要條件
若要使用工作負載身分識別風險報告,包括入口網站中「風險工作負載身分識別」葉片和「風險偵測」葉片中的「工作負載身分識別偵測」標籤,您必須具備下列專案。
指派下列其中一個系統管理員角色
- 安全性系統管理員
- 安全操作員
- 安全性審閱者
獲指派條件式存取系統管理員角色的使用者可以建立使用風險作為條件的原則。
若要對具風險的工作負載身分識別採取行動,我們建議您設定以風險為基礎的條件式存取原則,這需要 工作負載身分識別 Premium 授權:您可以在 工作負載身分識別刀鋒視窗檢視、開始試用及取得授權。
注意
透過 Microsoft Security Copilot,您可以使用自然語言提示來取得有風險工作負載身分識別的見解。 進一步瞭解如何在 Microsoft Entra中使用 Microsoft Security Copilot 來
工作負載身分識別風險偵測
我們透過登入行為和離線的妥協指標偵測到負載身分識別的風險。
| 偵測名稱 | 偵測類型 | 描述 | 風險事件類型 |
|---|---|---|---|
| Microsoft Entra 威脅情報 | 離線 | 此風險偵測會根據 Microsoft 內部及外部威脅情報來源,指出一些與已知攻擊模式一致的活動。 | 調查威脅情報 |
| 可疑登入 | 離線 | 此風險偵測指出對此服務主體而言不尋常的登入屬性或模式。 此偵測功能將學習您租用戶中工作負載身分識別的登入行為基準。 這次偵測需要耗時 2 到 60 天,如果在稍後的登入過程中出現下列一個或多個不熟悉的屬性,則會觸發警報:IP 位址/ASN、目標資源、使用者代理程式、託管/非託管 IP 變更、IP 國家/地區、認證類型。 基於工作負載身分識別登入的程式設計本質,我們會提供可疑活動的時間戳記,而不是標示特定的登入事件。 在授權設定變更之後起始的登入,可能會觸發此偵測。 | 可疑登入 |
| 系統管理員已確認服務主體遭入侵 | 離線 | 此偵測指出系統管理員已在具風險工作負載身分識別 UI 或使用 riskyServicePrincipals API 時選取 [確認為遭到入侵]。 若要查看哪個系統管理員已確認此帳戶遭入侵,請檢查帳戶的風險歷程記錄 (透過 UI 或 API)。 | 管理員確認服務主體已被入侵 |
| 認證外洩 | 離線 | 此風險偵測指出帳戶的有效認證已外洩。 當有人在 GitHub 上的公用程式碼成品中簽入認證時,或者當認證透過資料缺口外洩時,可能就會發生這類外洩。 若 Microsoft 外洩認證服務透過 GitHub、暗網、分享網站或其他來源取得認證,會將其對照 Microsoft Entra ID 中目前的有效認證進行檢查,以尋找有效的相符項目。 | 洩漏的憑證 |
| 惡意應用程式 | 離線 | 此偵測會將來自 ID Protection 和 Microsoft Defender for Cloud Apps 的警示結合在一起,以指出 Microsoft 何時停用違反服務條款的應用程式。 建議您調查應用程式。 注意:這些應用程式會在 Microsoft Graph 中相關的應用程式和服務主體資源類型上的 DisabledDueToViolationOfServicesAgreement 和 disabledByMicrosoftStatus 屬性顯示。 為防止這些物件未來在組織中再次具現化,您無法刪除這些物件。 |
惡意應用程式 |
| 可疑的應用程式 | 離線 | 此偵測指出 ID Protection 或 Microsoft Defender for Cloud Apps 發現可能違反服務條款的應用程式,但尚未停用該應用程式。 建議您調查應用程式。 | 可疑應用程式 |
| 異常的服務主體活動 | 離線 | 此風險偵測會設定 Microsoft Entra ID 中一般管理服務主體行為的基準,並發現異常行為模式,例如目錄的可疑變更。 系統會針對管理服務主體進行變更或變更的物件,觸發偵測。 | 異常的服務主體活動 |
| 可疑的 API 流量 | 離線 | 當觀察到服務主體的異常 GraphAPI 流量或目錄列舉時,就會報告此風險偵測。 可疑的 API 流量偵測可能表示服務主體的異常偵察或數據外洩。 | 可疑 API 流量 |
識別具風險的工作負載身分識別
組織可以在下列兩個位置之一找到被標記為有風險的工作負載身分識別:
- 以至少「安全性讀取者」的身分登入「Microsoft Entra 系統管理中心」。
- 瀏覽至 [保護]> [身分識別保護]> [高風險的工作負載身分]。
Microsoft Graph API
您也可以使用 Microsoft Graph API 來查詢具風險的工作負載身分識別。 ID Protection API 中有兩個新集合。
riskyServicePrincipalsservicePrincipalRiskDetections
匯出風險資料
組織可以匯出資料,方法是設定 Microsoft Entra ID 中的診斷設定以將風險資料傳送至 Log Analytics 工作區、將其封存至儲存體帳戶、將其串流至事件中樞,或將其傳送至 SIEM 解決方案。
使用風險型條件式存取強制執行存取控制
為工作負載身分標識使用條件式存取,您可以在 ID Protection 將所選擇的特定帳戶標示為「有風險」時,封鎖這些帳戶的存取權限。策略可以套用到您的租用戶中註冊的單一租用戶服務主體上。 第三方 SaaS、多租戶應用程式及受管理的身份已超出範圍。
為了提高工作負載身分識別的安全性和復原能力,工作負載身分識別的持續性存取評估 (CAE) 這種功能強大的工具,可讓您立即強制執行條件式存取原則和任何偵測到的風險訊號。 已啟用 CAE 的第三方工作負載身分識別 (可存取支援 CAE 的第一方資源) 具備 24 小時長時間存留權杖 (LLT),這些權杖需要持續進行安全性檢查。 如需為 CAE 設定工作負載身分識別用戶端和最新功能範圍的相關資訊,請參閱適用於工作負載身分識別的 CAE 文件。
調查工作負載的風險身分
ID Protection 會將兩種報告提供給組織,用來調查工作負載身分識別風險。 這些報告是具風險的工作負載身分識別,以及工作負載身分識別的風險偵測。 所有報告都允許以 .CSV 格式下載事件,以供進一步分析。
在調查期間要回答的一些重要問題包括:
- 帳戶是否顯示可疑的登入活動?
- 是否有未授權的認證變更?
- 帳戶是否有可疑的設定變更?
- 該帳戶是否取得了未經授權的應用程式角色?
Microsoft Entra 應用程式安全性作業指南提供上述調查區域的詳細指引。
在您判斷工作負載身份識別是否遭入侵之後,請解除帳戶風險警告,或在「具風險的工作負載身份識別」報告中確認帳戶遭入侵。 如果您想要阻止該帳戶進行進一步的登入,則也可以選取 "停用服務主體"。
修正具風險的工作負載身份識別
- 指派給風險工作負載使用者帳戶的列管認證,不論是針對服務主體還是應用程式物件。
- 新增認證。 Microsoft 建議使用 x509 憑證。
- 移除遭盜用的認證。 如果您認為帳戶具有風險,則建議您移除所有現有認證。
- 進行輪替,即可補救服務主體可存取的任何 Azure KeyVault 祕密。
Microsoft Entra 工具組是 PowerShell 模組,可協助您執行其中一些動作。