Simulace detekce rizik v Microsoft Entra ID Protection

  • Článek

Správa istrátory mohou chtít simulovat riziko ve svém prostředí, aby mohli provádět následující položky:

  • Naplňte data v prostředí Microsoft Entra ID Protection simulací detekce rizik a ohrožení zabezpečení.
  • Nastavte zásady podmíněného přístupu na základě rizik a otestujte účinek těchto zásad.

Tento článek obsahuje kroky pro simulaci následujících typů detekce rizik:

  • Anonymní IP adresa (snadné)
  • Neznámé vlastnosti přihlášení (střední)
  • Neobvyklá cesta (obtížné)
  • Únik přihlašovacích údajů na GitHubu pro identity úloh (střední)

Jiné detekce rizik se nedají bezpečně simulovat.

Další informace o každé detekci rizik najdete v článku Co je riziko pro identitu uživatelů a úloh.

Anonymní IP adresa

Provedením následujícího postupu je nutné použít:

  • Prohlížeč tor pro simulaci anonymních IP adres. Pokud vaše organizace omezuje používání prohlížeče Tor, může být potřeba použít virtuální počítač.
  • Testovací účet, který ještě není zaregistrovaný pro vícefaktorové ověřování Microsoft Entra.

Pokud chcete simulovat přihlášení z anonymní IP adresy, proveďte následující kroky:

  1. Pomocí prohlížeče Tor přejděte na https://myapps.microsoft.com.
  2. Zadejte přihlašovací údaje účtu, který se má zobrazit v sestavě přihlášení z anonymních IP adres .

Přihlášení se zobrazí na řídicím panelu Identity Protection během 10 až 15 minut.

Neznámé vlastnosti přihlášení

Pokud chcete simulovat neznámé umístění, musíte použít umístění a zařízení, které váš testovací účet předtím nepoužil.

Následující postup používá nově vytvořený postup:

  • Připojení VPN pro simulaci nového umístění
  • Virtuální počítač pro simulaci nového zařízení.

Provedením následujícího postupu je nutné použít uživatelský účet, který má:

  • Aspoň 30denní historie přihlášení.
  • Vícefaktorové ověřování Microsoft Entra

Pokud chcete simulovat přihlášení z neznámého umístění, proveďte následující kroky:

  1. Pomocí nové sítě VPN přejděte na https://myapps.microsoft.com přihlašovací údaje testovacího účtu a zadejte je.
  2. Při přihlašování pomocí testovacího účtu se nezdaří výzva vícefaktorového ověřování tím, že neprojdete výzvou vícefaktorového ověřování.

Přihlášení se zobrazí na řídicím panelu Identity Protection během 10 až 15 minut.

Neobvyklá cesta

Simulace atypické cestovní podmínky je obtížné. Algoritmus používá strojové učení k vymyšlování falešně pozitivních výsledků, jako je atypické cestování ze známých zařízení nebo přihlášení z sítí VPN, které používají jiní uživatelé v adresáři. Kromě toho algoritmus vyžaduje historii přihlášení 14 dnů nebo 10 přihlášení uživatele, než začne generovat detekce rizik. Z důvodu složitých modelů strojového učení a výše uvedených pravidel existuje šance, že následující kroky neaktivují detekci rizik. Tyto kroky můžete chtít replikovat pro více účtů Microsoft Entra, abyste mohli tuto detekci simulovat.

Pokud chcete simulovat detekci atypického cestovního rizika, proveďte následující kroky:

  1. Pomocí standardního prohlížeče přejděte na https://myapps.microsoft.comadresu .
  2. Zadejte přihlašovací údaje účtu, pro který chcete vygenerovat atypickou detekci cestovních rizik.
  3. Změňte svého uživatelského agenta. Uživatelský agent v Microsoft Edgi můžete změnit z vývojářských nástrojů (F12).
  4. Změňte svoji IP adresu. IP adresu můžete změnit pomocí sítě VPN, doplňku Tor nebo vytvoření nového virtuálního počítače v Azure v jiném datacentru.
  5. Přihlaste se ke https://myapps.microsoft.com stejným přihlašovacím údajům jako předtím a do několika minut po předchozím přihlášení.

Přihlášení se zobrazí na řídicím panelu Identity Protection do 2 až 4 hodin.

Uniklé přihlašovací údaje pro identity úloh

Tato detekce rizik značí, že platné přihlašovací údaje aplikace unikly. K tomuto úniku může dojít, když někdo zkontroluje přihlašovací údaje v artefaktu veřejného kódu na GitHubu. Proto k simulaci této detekce potřebujete účet GitHub a můžete si zaregistrovat účet GitHubu, pokud ho ještě nemáte.

Simulace nevracených přihlašovacích údajů na GitHubu pro identity úloh

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

  2. Přejděte k aplikacím> identit>Registrace aplikací.

  3. Výběrem možnosti Nová registrace zaregistrujete novou aplikaci nebo znovu použijete existující zastaralou aplikaci.

  4. Vyberte Certifikáty a>tajné kódy nového tajného klíče klienta , přidejte popis tajného klíče klienta a nastavte vypršení platnosti tajného klíče nebo zadejte vlastní životnost a vyberte Přidat. Poznamenejte si hodnotu tajného kódu pro pozdější použití pro potvrzení GitHubu.

    Poznámka:

    Tajný kód nelze znovu načíst po opuštění této stránky.

  5. Na stránce Přehled získejte ID tenanta a APPLICATION(Client).

  6. Ujistěte se, že aplikaci zakážete prostřednictvím nastavení vlastností>podnikové aplikace>Identita>>, aby se uživatelé mohli přihlásit k ne.

  7. Vytvořte veřejné úložiště GitHub, přidejte následující konfiguraci a potvrďte změnu jako soubor s příponou .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. Přibližně za 8 hodin můžete zobrazit detekci nevracených přihlašovacích údajů v sadě funkcí detekce>rizik ochrany>identity identity>, kde další informace obsahují adresu URL potvrzení GitHubu.

Testování zásad rizik

Tato část obsahuje postup pro testování uživatele a zásad rizik přihlašování vytvořených v článku Postupy : Konfigurace a povolení zásad rizik.

Zásady rizik uživatelů

Pokud chcete otestovat zásady zabezpečení rizik uživatelů, proveďte následující kroky:

  1. Nakonfigurujte zásady rizik uživatelů, které cílí na uživatele, se kterými chcete testovat.
  2. Zvyšte riziko uživatele testovacího účtu, například simulací jedné z detekcí rizik několikrát.
  3. Počkejte několik minut a pak ověřte, že pro uživatele došlo ke zvýšení rizika. Pokud ne, simulujte pro uživatele další detekce rizik.
  4. Vraťte se k zásadám rizik a nastavte možnost Vynutit zásadu na Zapnuto a Uložit změnu zásad.
  5. Podmíněný přístup založený na rizikech uživatelů teď můžete otestovat přihlášením pomocí uživatele se zvýšenou úrovní rizika.

Zásady zabezpečení rizik přihlašování

Pokud chcete otestovat zásady rizik přihlašování, proveďte následující kroky:

  1. Nakonfigurujte zásady rizik přihlašování, které cílí na uživatele, se kterými chcete testovat.
  2. Podmíněný přístup založený na riziku přihlašování teď můžete otestovat přihlášením pomocí rizikové relace (například pomocí prohlížeče Tor).

Další kroky