Workloadidentiteiten beveiligen

  • Artikel

Microsoft Entra ID Protection kan workloadidentiteiten detecteren, onderzoeken en herstellen om toepassingen en service-principals naast gebruikersidentiteiten te beveiligen.

Een workload-identiteit is een identiteit waarmee een toepassing of service-principal toegang heeft tot resources, soms in de context van een gebruiker. Deze workload-identiteiten verschillen van traditionele gebruikersaccounts omdat ze:

  • Geen meervoudige verificatie kunnen uitvoeren.
  • Vaak geen formeel levenscyclusproces hebben.
  • Hun referenties of geheimen ergens moeten opslaan.

Deze verschillen zorgen ervoor dat workload-identiteiten moeilijker te beheren zijn en ze een groter risico lopen op inbreuk.

Belangrijk

Detecties zijn alleen zichtbaar voor Klanten met Workload Identities Premium . Klanten zonder Workload Identities Premium-licenties ontvangen nog steeds alle detecties, maar de rapportage van details is beperkt.

Notitie

Id Protection detecteert risico's voor apps van één tenant, SaaS van derden en apps met meerdere tenants. Beheerde identiteiten zijn momenteel niet binnen het bereik.

Vereisten

Als u gebruik wilt maken van het risico van de workloadidentiteit, met inbegrip van de nieuwe blade Riskante workloadidentiteiten en het tabblad Detectie van workloadidentiteiten op de blade Risicodetecties in de portal, moet u het volgende hebben.

  • Premium-licenties voor workloadidentiteiten: u kunt licenties bekijken en verkrijgen op de blade Workloadidentiteiten.
  • Een van de volgende beheerdersrollen toegewezen
    • Beveiligingsbeheer
    • Beveiligingsoperator
    • Gebruikers van beveiligingslezers waaraan de beheerdersrol voor voorwaardelijke toegang is toegewezen, kunnen beleidsregels maken die risico als voorwaarde gebruiken.

Detectie van risico's voor workloadidentiteit

We detecteren risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.

Detectienaam Detectietype Beschrijving
Bedreigingsinformatie van Microsoft Entra Offline Deze risicodetectie geeft een aantal activiteiten aan die consistent zijn met bekende aanvalspatronen op basis van de interne en externe bedreigingsinformatiebronnen van Microsoft.
Verdachte aanmeldingen Offline Deze risicodetectie geeft aan dat aanmeldingseigenschappen of -patronen ongebruikelijk zijn voor deze service-principal.

De detectie leert het aanmeldingsgedrag van basislijnen voor workloadidentiteiten in uw tenant. Deze detectie duurt tussen 2 en 60 dagen en wordt geactiveerd als een of meer van de volgende onbekende eigenschappen worden weergegeven tijdens een latere aanmelding: IP-adres/ASN, doelresource, gebruikersagent, hosting/niet-hosting-IP-wijziging, IP-land, referentietype.

Vanwege de programmatische aard van aanmeldingen voor workloadidentiteiten bieden we een tijdstempel voor de verdachte activiteit in plaats van een specifieke aanmeldingsgebeurtenis te markeren.

Aanmeldingen die worden gestart nadat een geautoriseerde configuratiewijziging is gestart, kunnen deze detectie activeren.
Beheer bevestigd dat de service-principal is aangetast Offline Deze detectie geeft aan dat een beheerder 'Gecompromitteerd' heeft geselecteerd in de gebruikersinterface voor riskante workloadidentiteiten of met behulp van riskyServicePrincipals-API. Als u wilt zien welke beheerder dit account heeft bevestigd, controleert u de risicogeschiedenis van het account (via de gebruikersinterface of API).
Gelekte aanmeldingsgegevens Offline Deze risicodetectie geeft aan dat de geldige referenties van het account zijn gelekt. Dit lek kan optreden wanneer iemand de referenties in openbare-codeartefact op GitHub controleert of wanneer de referenties worden gelekt via een gegevenslek.

Wanneer de Microsoft-service voor gelekte referenties referenties verkrijgt van GitHub, het donkere web, het plakken van sites of andere bronnen, worden ze gecontroleerd op basis van de huidige geldige referenties in Microsoft Entra ID om geldige overeenkomsten te vinden.
Schadelijke toepassing Offline Deze detectie combineert waarschuwingen van ID Protection en Microsoft Defender voor Cloud Apps om aan te geven wanneer Microsoft een toepassing uitschakelt voor het schenden van onze servicevoorwaarden. Het is raadzaam om een onderzoek uit te voeren naar de toepassing. Opmerking: Deze toepassingen worden weergegeven DisabledDueToViolationOfServicesAgreement op de disabledByMicrosoftStatus eigenschap van de gerelateerde toepassing en resourcetypen voor service-principals in Microsoft Graph. Als u wilt voorkomen dat ze in uw organisatie in de toekomst opnieuw worden geïnstantieerd, kunt u deze objecten niet verwijderen.
Verdachte toepassing Offline Deze detectie geeft aan dat id-beveiliging of Microsoft Defender voor Cloud-apps een toepassing hebben geïdentificeerd die mogelijk onze servicevoorwaarden schendt, maar deze niet heeft uitgeschakeld. Het is raadzaam om een onderzoek uit te voeren naar de toepassing.
Afwijkende activiteit van service-principal Offline Deze risicodetectiebasislijnen vormen het normale gedrag van de service-principal voor beheer in Microsoft Entra ID en krijgt afwijkende gedragspatronen te zien, zoals verdachte wijzigingen in de directory. De detectie wordt geactiveerd voor de beheerservice-principal die de wijziging aanbrengt of het object dat is gewijzigd.

Riskante workloadidentiteiten identificeren

Organisaties kunnen workloadidentiteiten vinden die zijn gemarkeerd voor risico's op een van de twee locaties:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
  2. Blader naar identiteitsbeveiligingsidentiteiten>>met riskante werkbelastingen.

Schermopname van de risico's die zijn gedetecteerd voor workloadidentiteiten in het rapport.

Microsoft Graph API's

U kunt ook query's uitvoeren op riskante workloadidentiteiten met behulp van de Microsoft Graph API. Er zijn twee nieuwe verzamelingen in de ID Protection-API's.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Risicogegevens exporteren

Organisaties kunnen gegevens exporteren door diagnostische instellingen in Microsoft Entra ID te configureren om risicogegevens naar een Log Analytics-werkruimte te verzenden, deze te archiveren in een opslagaccount, deze naar een Event Hub te streamen of naar een SIEM-oplossing te verzenden.

Toegangsbeheer afdwingen met voorwaardelijke toegang op basis van risico's

Met behulp van voorwaardelijke toegang voor workloadidentiteiten kunt u de toegang blokkeren voor specifieke accounts die u kiest wanneer id-beveiliging deze 'risico's' markeert. Beleid kan worden toegepast op service-principals met één tenant die zijn geregistreerd in uw tenant. SaaS van derden, apps met meerdere tenants en beheerde identiteiten vallen buiten het bereik.

Voor een betere beveiliging en tolerantie van uw workloadidentiteiten is Continuous Access Evaluation (CAE) voor workloadidentiteiten een krachtig hulpprogramma dat directe afdwinging biedt van uw beleid voor voorwaardelijke toegang en eventuele gedetecteerde risicosignalen. Door CAE ingeschakelde workloadidentiteiten van derden die toegang hebben tot resources die geschikt zijn voor CAE, zijn uitgerust met 24 uur langlevende tokens (LLT's) die onderhevig zijn aan doorlopende beveiligingscontroles. Raadpleeg de DOCUMENTATIE voor CAE voor workloadidentiteiten voor informatie over het configureren van workloadidentiteitsclients voor CAE en het up-to-date functiebereik.

Riskante workloadidentiteiten onderzoeken

ID Protection biedt organisaties twee rapporten die ze kunnen gebruiken om het identiteitsrisico van de workload te onderzoeken. Deze rapporten zijn de riskante workloadidentiteiten en risicodetecties voor workloadidentiteiten. Alle rapporten maken het downloaden van gebeurtenissen in . CSV-indeling voor verdere analyse.

Enkele van de belangrijkste vragen die u tijdens uw onderzoek kunt beantwoorden, zijn:

  • Laten accounts verdachte aanmeldingsactiviteiten zien?
  • Zijn er niet-geautoriseerde wijzigingen in de referenties?
  • Zijn er verdachte configuratiewijzigingen voor accounts?
  • Heeft het account niet-geautoriseerde toepassingsrollen verkregen?

De Microsoft Entra-beveiligingshandleiding voor toepassingen biedt gedetailleerde richtlijnen voor de bovenstaande onderzoeksgebieden.

Zodra u hebt vastgesteld of de workloadidentiteit is aangetast, sluit u het risico van het account of bevestigt u het account als gecompromitteerd in het rapport Riskante workloadidentiteiten. U kunt ook 'Service-principal uitschakelen' selecteren als u het account wilt blokkeren voor verdere aanmeldingen.

Bevestig inbreuk op de workloadidentiteit of sluit het risico.

Riskante workloadidentiteiten herstellen

  1. Inventarisreferenties die zijn toegewezen aan de identiteits van riskante werkbelastingen, ongeacht of deze betrekking hebben op de service-principal of toepassingsobjecten.
  2. Voeg een nieuwe referentie toe. Microsoft raadt aan x509-certificaten te gebruiken.
  3. Verwijder de gecompromitteerde referenties. Als u denkt dat het account risico loopt, raden we u aan alle bestaande referenties te verwijderen.
  4. Herstel alle Azure KeyVault-geheimen waartoe de service-principal toegang heeft door ze te roteren.

De Microsoft Entra Toolkit is een PowerShell-module waarmee u een aantal van deze acties kunt uitvoeren.

Volgende stappen