Sichern von Workloadidentitäten mit Identity Protection (Vorschau)

Azure AD Identity Protection hat Benutzer in der Vergangenheit bei der Erkennung, Untersuchung und Behebung identitätsbasierter Risiken geschützt. Wir weiten diese Funktionen jetzt auf Workloadidentitäten zum Schutz von Anwendungen, Dienstprinzipalen und verwalteten Identitäten aus.

Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Diese Workloadidentitäten unterscheiden sich in folgenden Punkten von herkömmlichen Benutzerkonten:

  • Multi-Faktor-Authentifizierung kann nicht ausgeführt werden.
  • Sie verfügen oft über keinen formalen Lebenszyklusprozess.
  • Sie müssen ihre Anmeldeinformationen oder Geheimnisse irgendwo speichern.

Diese Unterschiede erschweren die Verwaltung von Workloadidentitäten und stellen ein höheres Gefährdungsrisiko dar.

Wichtig

In der öffentlichen Vorschau können Sie Workloadidentitäten mit Identity Protection und auf Ihrem Mandanten aktivierter Azure Active Directory Premium P2-Edition schützen. Nach der allgemeinen Verfügbarkeit sind möglicherweise zusätzliche Lizenzen erforderlich.

Voraussetzungen

Um das Feature „Workloadidentitätsrisiko“ nutzen zu können, einschließlich des neuen Blatts Riskante Workloadidentitäten (Vorschau) und der Registerkarte Workloadidentitätserkennungen auf dem Blatt Risikoerkennungen, müssen Sie im Azure-Portal über Folgendes verfügen:

  • Azure AD Premium P2-Lizenzierung
  • Eine der folgenden Administratorrollen:
    • Globaler Administrator
    • Sicherheitsadministrator
    • Sicherheitsoperator
    • Sicherheitsleseberechtigter

Benutzer*innen, denen die Rolle „Administrator für bedingten Zugriff“ zugewiesen wurde, können Richtlinien erstellen, die das Risiko als Bedingung verwenden.

Erkennungen von Workloadidentitätsrisiken

Wir erkennen Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung.

Erkennungsname Erkennungstyp BESCHREIBUNG
Azure AD Threat Intelligence Offline Diese Risikoerkennung weist auf bestimmte Aktivitäten hin, die mit bekannten Angriffsmustern übereinstimmen, die auf internen und externen Threat Intelligence-Quellen von Microsoft basieren.
Verdächtige Anmeldungen Offline Diese Risikoerkennung weist auf Anmeldeeigenschaften oder Muster hin, die für diesen Dienstprinzipal ungewöhnlich sind.

Die Erkennung lernt das Baseline-Anmeldeverhalten für Workloadidentitäten in Ihrem Mandanten innerhalb von 2 bis 60 Tagen und wird dann aufgerufen, wenn eine oder mehrere der folgenden unbekannten Eigenschaften bei einer späteren Anmeldung auftreten: IP-Adresse/ASN, Zielressource, Benutzer-Agent, Änderung beim IP-Hosting/Nichthosting, IP-Land, Anmeldeinformationstyp.

Aufgrund der programmgesteuerten Natur von Workloadidentitätsanmeldungen geben wir einen Zeitstempel für die verdächtige Aktivität an, anstatt ein bestimmtes Anmeldeereignis mit einem Flag zu versehen.

Anmeldungen, die nach einer autorisierten Konfigurationsänderung initiiert werden, können diese Erkennung auslösen.
Vom Administrator bestätigt, dass das Konto kompromittiert ist Offline Diese Erkennung weist darauf hin, dass ein Administrator auf der Benutzeroberfläche für riskante Workloadidentitäten oder mithilfe der riskyServicePrincipals-API die Option „Kompromittierung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Kontos (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Kontogefährdung bestätigt hat.
Kompromittierte Anmeldeinformationen Offline Diese Risikoerkennung gibt an, dass die gültigen Anmeldeinformationen des Kontos kompromittiert wurden. Dieser Verlust kann auftreten, wenn jemand die Anmeldeinformationen im Artefakt des öffentlichen Codes auf GitHub überprüft oder wenn die Anmeldeinformationen durch eine Datenverletzung kompromittiert werden.

Wenn der Microsoft-Dienst für kompromittierte Anmeldeinformationen Anmeldeinformationen von GitHub, aus dem Dark Web, eingefügten Websites oder anderen Quellen erhält, werden sie mit den aktuellen gültigen Anmeldeinformationen in Azure AD abgeglichen, um gültige Übereinstimmungen zu finden.
Bösartige Anwendung Offline Diese Erkennung gibt an, dass Microsoft eine Anwendung aufgrund eines Verstoßes gegen unsere Nutzungsbedingungen deaktiviert hat. Wir empfehlen, eine Untersuchung der Anwendung durchführen zu lassen.
Verdächtige Anwendung Offline Diese Erkennung gibt an, dass Microsoft zwar eine Anwendung identifiziert hat, die möglicherweise gegen unsere Vertragsbedingungen verstößt, sie aber nicht deaktiviert hat. Wir empfehlen, eine Untersuchung der Anwendung durchführen zu lassen.

Erkennen riskanter Workloadidentitäten

Organisationen können Workloadidentitäten, die als riskant gekennzeichnet wurden, an einem von zwei Orten finden:

  1. Navigieren Sie zum Azure-Portal.
  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Riskante Workloadidentitäten (Vorschau).
  3. Oder navigieren Sie zu Azure Active Directory>Sicherheit>Risikoerkennungen.
    1. Wählen Sie die Registerkarte Workloadidentitätserkennungen aus.

Screenshot: für Workloadidentitäten im Bericht erkannte Risiken

Graph-APIs

Sie können riskante Workloadidentitäten auch mithilfe der Microsoft Graph-API abfragen. Es gibt zwei neue Sammlungen in den Identity Protection-APIs:

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Exportieren von Risikodaten

Organisationen können Daten exportieren, indem sie Diagnoseeinstellungen in Azure AD konfigurieren, um Risikodaten an einen Log Analytics-Arbeitsbereich zu senden, sie in einem Speicherkonto zu archivieren, an einen Event Hub zu streamen oder an eine SIEM-Lösung zu senden.

Erzwingen von Zugriffssteuerungen mit risikobasiertem bedingten Zugriff

Mithilfe des bedingten Zugriffs für Workloadidentitäten können Sie den Zugriff für ausgewählte Konten blockieren, wenn Identity Protection diese als „gefährdet“ markiert. Die Richtlinie kann auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert sind. SaaS von Drittanbietern, mehrinstanzenfähige Apps und verwaltete Identitäten können nicht verwendet werden.

Untersuchen riskanter Workloadidentitäten

Identity Protection stellt Organisationen zwei Berichte zur Verfügung, mit denen sie das Workloadidentitätsrisiko untersuchen können. Bei diesen Berichten handelt es sich um riskante Workloadidentitäten und Risikoerkennungen für Workloadidentitäten. Alle Berichte ermöglichen das Herunterladen von Ereignissen im CSV-Format für die weitere Analyse außerhalb des Azure-Portals.

Einige der wichtigsten Fragen, die Sie während Ihrer Untersuchung beantworten müssen, sind:

  • Zeigen Konten verdächtige Anmeldeaktivitäten an?
  • Wurden nicht autorisierte Änderungen an den Anmeldeinformationen vorgenommen?
  • Wurden verdächtige Konfigurationsänderungen an Konten vorgenommen?
  • Hat das Konto nicht autorisierte Anwendungsrollen erhalten?

Der Azure Active Directory-Leitfaden für Sicherheitsvorgänge für Anwendungen enthält ausführliche Anleitungen zu den oben genannten Untersuchungsbereichen.

Nachdem Sie ermittelt haben, ob die Workloadidentität kompromittiert wurde, verwerfen Sie das Risiko für das Konto, oder bestätigen Sie im Bericht „Riskante Workloadidentitäten“ (Vorschau), dass das Konto kompromittiert wurde. Sie können auch „Dienstprinzipal deaktivieren“ auswählen, wenn Sie weitere Anmeldungen für das Konto blockieren möchten.

Bestätigen der Kompromittierung einer Workloadidentität oder Ignorieren des Risikos im Azure-Portal

Korrigieren riskanter Workloadidentitäten

  1. Inventuranmeldeinformationen, die der riskanten Workloadidentität zugewiesen sind, unabhängig davon, ob es sich um den Dienstprinzipal- oder Anwendungsobjekte handelt.
  2. Fügen Sie neue Anmeldeinformationen hinzu. Microsoft empfiehlt die Verwendung von x509-Zertifikaten.
  3. Entfernen Sie die kompromittierten Anmeldeinformationen. Wenn Sie der Meinung sind, dass das Konto gefährdet ist, wird empfohlen, alle vorhandenen Anmeldeinformationen zu entfernen.
  4. Korrigieren Sie alle Azure KeyVault-Geheimnisse, auf die der Dienstprinzipal Zugriff hat, indem Sie sie rotieren.

Das Azure AD Toolkit ist ein PowerShell-Modul, mit dem Sie einige dieser Aktionen ausführen können.

Nächste Schritte