在 Microsoft Entra ID Protection 中模擬風險偵測
管理員可能會想要模擬其環境中的風險,以便完成下列項目:
- 藉由模擬風險偵測和弱點,在 Microsoft Entra ID Protection 環境中填入資料。
- 設定以風險為基礎的條件式存取原則,並測試這些原則的效果。
本文將為您提供模擬下列風險偵測類型的步驟:
- 匿名 IP 位址 (簡單)
- 不熟悉的登入屬性 (中等)
- 非慣用移動 (困難)
- GitHub 中工作負載身分識別的認證外洩 (中等)
無法以安全的方式模擬其他風險偵測。
如需本文中每個風險偵測的詳細資訊,請參閱使用者和工作負載身分識別的「什麼是風險」一文。
匿名 IP 位址
要完成下列程序,您必須使用:
- Tor 瀏覽器,用以模擬匿名 IP 位址。 如果您的組織對 Tor 瀏覽器的使用有所限制,您可能需要使用虛擬機器。
- 尚未註冊使用 Microsoft Entra 多重要素驗證的測試帳戶。
若要模擬從匿名 IP 登入,請執行下列步驟:
- 使用 Tor 瀏覽器,瀏覽至 https://myapps.microsoft.com。
- 輸入您要在 [從匿名 IP 位址登入] 報告中顯示之帳戶的認證。
登入會在 10 - 15 分鐘內顯示在報告中。
不熟悉的登入屬性
若要模擬不熟悉的位置,您必須使用測試帳戶之前使用過的位置和裝置。
下列程序使用新建的:
- VPN 連線,用以模擬新位置。
- 虛擬機器,用以模擬新裝置。
要完成下列程序,您必須使用符合下列條件的使用者帳戶:
- 至少有 30 天的登入歷程記錄。
- Microsoft Entra 多重因子驗證。
若要模擬從不熟悉的位置登入,請執行下列步驟:
- 使用新的 VPN,導覽至 https://myapps.microsoft.com,然後輸入您測試帳戶的認證。
- 使用測試帳戶登入時,未通過多重要素驗證查問,而使 MFA 查問失敗。
登入會在 10 - 15 分鐘內顯示在報告中。
非慣用登入位置
模擬非慣用移動情況很困難。 因為此演算法會使用機器學習服務來剔除誤判,例如,來自熟悉裝置的非慣用移動,或從目錄中其他使用者所用的 VPN 登入。 此外,使用者必須要有 14 天的登入歷程記錄,或登入 10 次,此演算法才會開始產生風險偵測。 由於機器學習模型的複雜性和前述規則,下列步驟有可能不會觸發風險偵測。 您可能會想要為多個 Microsoft Entra 帳戶複寫這些步驟,以模擬此偵測。
若要模擬非典型的移動風險偵測,請執行下列步驟:
- 使用標準瀏覽器,瀏覽至 https://myapps.microsoft.com。
- 輸入您想要為其產生非典型移動風險偵測的帳戶認證。
- 變更您的使用者代理程式。 您可以在 Microsoft Edge 中,透過「開發人員工具」(F12) 變更使用者代理程式。
- 變更您的 IP 位址。 使用 VPN、Tor 附加元件,或在不同資料中心於 Azure 中建立新虛擬機器,即可變更您的 IP 位址。
- 在前次登入之後的幾分鐘內,使用與之前相同的認證登入 https://myapps.microsoft.com。
登入會在 2-4 小時內顯示於報告。
工作負載身分識別的認證外洩
此風險偵測指出應用程式的有效認證已外洩。 此外洩可能起因於某人在 GitHub 上的公用程式碼成品中簽入認證。 因此,若要模擬此偵測,您需要 GitHub 帳戶,而且可以註冊 GitHub 帳戶 (如果您還沒有帳戶)。
模擬 GitHub 中工作負載身分識別的認證外洩
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]。
選取 [新增註冊] 以註冊新的應用程式,或重複使用現有的舊版應用程式。
選取 [憑證與密碼]>[新增用戶端密碼],新增用戶端密碼的描述,並設定密碼的到期日或指定自訂存留期,然後選取 [新增]。 記錄秘密的值,供稍後用於 GitHub Commit。
注意
離開此頁面之後就無法再擷取秘密。
在 [概觀] 頁面中取得租用戶識別碼和應用程式 (用戶端) 識別碼。
請確定已透過 [身分識別]>[應用程式]>[企業應用程式]>[屬性]> 將 [為使用者啟用登入] 設定為 [否],以停用應用程式。
建立公用 GitHub 存放庫,然後新增下列設定並確認 .txt 副檔名的檔案變更。
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
在大約 8 小時內,您就能夠在 [資料保護]>[身分識別保護]>[風險偵測]>[工作負載身分識別偵測] 下檢視認證外洩偵測,其中有其他資訊包含 GitHub 認可的 URL。
測試風險原則
本小節提供您測試使用者的步驟,以及在文章中建立的登入風險原則,作法:設定和啟用風險原則。
使用者風險原則
若要測試使用者風險安全性原則,請執行下列步驟:
- 設定以您計劃測試的使用者為目標的使用者風險原則。
- 提高測試帳戶的使用者風險,例如,藉由模擬其中一個風險偵測多次來執行。
- 等候幾分鐘,然後驗證使用者的風險已提高。 如果不是,請為使用者模擬更多風險偵測。
- 返回您的風險原則,並將 [強制執行原則] 設定為 [開啟],並 [儲存] 原則變更。
- 您現在可以使用風險層級已提高的使用者進行登入,以測試以使用者風險為基礎的條件式存取。
登入風險安全性原則
若要測試登入風險原則,請執行下列步驟:
- 設定以您計劃測試的使用者為目標的登入風險原則。
- 您現在可以使用具風險的工作階段 (例如,藉由使用 Tor 瀏覽器) 進行登入,以測試以登入風險為基礎的條件式存取。