Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID Protection kann Arbeitsauslastungsidentitäten erkennen, untersuchen und beheben, um Anwendungen und Dienstprinzipale zusätzlich zu Benutzeridentitäten zu schützen.
Eine Workloadidentität ist eine Identität, die einen Anwendungszugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Diese Workloadidentitäten unterscheiden sich in folgenden Punkten von herkömmlichen Benutzerkonten:
- Die Multi-Faktor-Authentifizierung kann nicht durchgeführt werden.
- Sie verfügen oft über keinen formalen Lebenszyklusprozess.
- Sie müssen ihre Anmeldeinformationen oder Geheimnisse irgendwo speichern.
Diese Unterschiede erschweren die Verwaltung von Workloadidentitäten und stellen ein höheres Gefährdungsrisiko dar.
Wichtig
Vollständige Risikodetails und risikobasierte Zugriffskontrollen sind für Workload Identities Premium-Kunden verfügbar; Kunden ohne Workload Identities Premium-Lizenzen erhalten jedoch weiterhin alle Erkennungen mit eingeschränkten Berichtsdetails.
Hinweis
ID Protection erkennt Risiken für einzelne Mandanten-, Nicht-Microsoft SaaS- und Multitenant-Apps. Verwaltete Identitäten sind derzeit nicht im Fokus.
Voraussetzungen
Um Berichte über Workload-Identitätsrisiken zu nutzen, einschließlich riskanter Workload-Identitäten und der Registerkarte "Workload-Identitäts-Erkennungen" im Admin Center, müssen Sie Folgendes haben.
Eine der folgenden Administratorrollen zugewiesen
Benutzer, denen die Rolle " Administrator für bedingten Zugriff " zugewiesen wurde, können Richtlinien erstellen, die Risiken als Bedingung verwenden.
Um Maßnahmen für riskante Workloadidentitäten zu ergreifen, empfehlen wir das Einrichten risikobasierter Richtlinien für bedingten Zugriff, die workload Identities Premium-Lizenzierung erfordert: Sie können eine Testversion anzeigen, starten und Lizenzen für die Workload-Identitäten erwerben.
Hinweis
Mit Microsoft Security Copilot können Sie Aufforderungen in natürlicher Sprache verwenden, um Einblicke in riskante Workloadidentitäten zu erhalten. Erfahren Sie mehr darüber, wie Sie Anwendungsrisiken mithilfe von Microsoft Security Copilot in Microsoft Entra bewerten.
Erkennungen von Workloadidentitätsrisiken
Wir erkennen Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung.
| Erkennungsname | Erkennungstyp | Beschreibung | Risikoereignistyp |
|---|---|---|---|
| Threat Intelligence von Microsoft Entra | Offline | Diese Risikoerkennung weist auf bestimmte Aktivitäten hin, die mit bekannten Angriffsmustern übereinstimmen, die auf internen und externen Threat Intelligence-Quellen von Microsoft basieren. | UntersuchungenThreatIntelligence |
| Verdächtige Anmeldungen | Offline | Diese Risikoerkennung weist auf Anmeldeeigenschaften oder Muster hin, die für diesen Dienstprinzipal ungewöhnlich sind. Die Erkennung lernt das Basisplan-Anmeldeverhalten für Workloadidentitäten in Ihrem Mandanten. Diese Erkennung dauert zwischen 2 und 60 Tagen und wird dann aufgerufen, wenn eine oder mehrere der folgenden unbekannten Eigenschaften bei einer späteren Anmeldung auftreten: IP-Adresse/ASN, Zielressource, Benutzer-Agent, Änderung beim IP-Hosting/Nichthosting, IP-Land, Anmeldeinformationstyp. Aufgrund der programmgesteuerten Natur von Workloadidentitätsanmeldungen geben wir einen Zeitstempel für die verdächtige Aktivität an, anstatt ein bestimmtes Anmeldeereignis mit einem Flag zu versehen. Anmeldungen, die nach einer autorisierten Konfigurationsänderung initiiert werden, könnten diese Erkennung auslösen. | verdächtige Anmeldungen |
| Vom Administrator bestätigte Kompromittierung des Dienstprinzipals | Offline | Diese Erkennung weist darauf hin, dass ein Administrator auf der Benutzeroberfläche für riskante Workloadidentitäten oder mithilfe der riskyServicePrincipals-API die Option „Kompromittierung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Kontos (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Kontogefährdung bestätigt hat. | AdminBestätigtDienstprinzipalKompromittiert |
| Kompromittierte Anmeldeinformationen | Offline | Diese Risikoerkennung gibt an, dass die gültigen Anmeldeinformationen des Kontos kompromittiert wurden. Dieser Verlust kann auftreten, wenn jemand die Anmeldeinformationen im Artefakt des öffentlichen Codes auf GitHub überprüft oder wenn die Anmeldeinformationen durch eine Datenverletzung kompromittiert werden. Wenn der Microsoft-Dienst für kompromittierte Anmeldeinformationen von GitHub, aus dem Dark Web, aus Inhaltswebsites oder aus anderen Quellen Anmeldeinformationen erhält, werden diese mit den aktuellen gültigen Anmeldeinformationen in Microsoft Entra ID abgeglichen, um gültige Übereinstimmungen zu finden. | durchgesickerte Anmeldedaten |
| Bösartige Anwendung | Offline | Diese Erkennung kombiniert Warnungen von ID Protection und Microsoft Defender for Cloud Apps, um anzugeben, wenn Microsoft eine Anwendung wegen Verstoßes gegen unsere Vertragsbedingungen deaktiviert. Wir empfehlen , eine Untersuchung der Anwendung durchzuführen. Hinweis: Diese Anwendungen zeigen DisabledDueToViolationOfServicesAgreement in der disabledByMicrosoftStatus Eigenschaft für die zugehörigen Anwendungs- und Dienstprinzipalressourcentypen in Microsoft Graph an. Um zu verhindern, dass die Objekte in Zukunft in Ihrer Organisation erneut instanziiert werden, können Sie diese nicht löschen. |
bösartige Anwendung |
| Verdächtige Anwendung | Offline | Diese Erkennung gibt an, dass ID Protection oder Microsoft Defender for Cloud Apps eine Anwendung identifiziert haben, die möglicherweise gegen unsere Vertragsbedingungen verstößt, sie aber nicht deaktiviert haben. Wir empfehlen , eine Untersuchung der Anwendung durchzuführen. | verdächtige Anwendung |
| Anomale Aktivität des Dienstprinzipals | Offline | Bei dieser Risikoerkennung wird das normale Verhalten von administrativen Dienstprinzipalen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Dienstprinzipal, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde. | Anomale Dienstprinzipalaktivität |
| Verdächtiger API-Datenverkehr | Offline | Diese Risikoerkennung wird gemeldet, wenn ungewöhnlicher Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration eines Dienstprinzipals erkannt wird. Die Erkennung von verdächtigem API-Verkehr könnte auf eine ungewöhnliche Aufklärung oder Datenexfiltration durch einen Dienstprinzipal hinweisen. | verdächtiger API-Datenverkehr |
Erkennen riskanter Workloadidentitäten
Organisationen können Workloadidentitäten, die als riskant gekennzeichnet wurden, an einem von zwei Orten finden:
- Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.
- Navigieren Sie zu ID Schutz>Risikoreiche Workload-Identitäten.
Microsoft Graph-APIs
Sie können auch riskante Workloadidentitäten mithilfe der Microsoft Graph-API abfragen. Es gibt zwei neue Auflistungen in den ID-Schutz-APIs.
riskyServicePrincipalsservicePrincipalRiskDetections
Exportieren von Risikodaten
Organisationen können Daten exportieren, indem Sie Diagnoseeinstellungen in der Microsoft Entra-ID konfigurieren, um Risikodaten an einen Log Analytics-Arbeitsbereich zu senden, in ein Speicherkonto zu archivieren, sie an einen Event Hub zu streamen oder an eine SIEM-Lösung zu senden.
Erzwingen von Zugriffssteuerungen mit risikobasiertem bedingten Zugriff
Mithilfe des bedingten Zugriffs für Workload-Identitäten können Sie den Zugriff für bestimmte Konten blockieren, die Sie auswählen, wenn der Identitätsschutz sie als "gefährdet" kennzeichnet. Die Richtlinie kann auf Dienstprinzipale angewendet werden, die in Ihrem Single-Tenant-Mandanten registriert sind. Nicht-Microsoft SaaS, mehrinstanzenfähige Apps und verwaltete Identitäten liegen außerhalb des Gültigkeitsbereichs.
Die fortlaufende Zugriffsevaluierung für Workloadidentitäten ein leistungsstarkes Tool, mit dem Sie Ihre Richtlinien für bedingten Zugriff und alle erkannten Risikosignale sofort erzwingen und so die Sicherheit und Resilienz Ihrer Workloadidentitäten verbessern können. CaE-fähige Nicht-Microsoft-Workloadidentitäten, die auf CAE-fähige Erstanbieterressourcen zugreifen, sind mit 24 Stunden Long-Lived-Token (LLTs) ausgestattet, die kontinuierlichen Sicherheitsprüfungen unterliegen. Weitere Informationen zur Konfiguration von Workload-Identitäts-Clients für CAE und den aktuellen Funktionsumfang finden Sie in der Dokumentation zu Workloadidentitäten.
Untersuchen riskanter Workloadidentitäten
ID Protection stellt Organisationen zwei Berichte zur Verfügung, mit denen sie das Workloadidentitätsrisiko untersuchen können. Bei diesen Berichten handelt es sich um riskante Workloadidentitäten und Risikoerkennungen für Workloadidentitäten. Alle Berichte ermöglichen das Herunterladen von Ereignissen im CSV-Format für die weitere Analyse.
Einige der wichtigsten Fragen, die Sie während Ihrer Untersuchung beantworten müssen, sind:
- Zeigen Konten verdächtige Anmeldeaktivitäten an?
- Gab es unerlaubte Änderungen an den Anmeldeinformationen?
- Gab es verdächtige Konfigurationsänderungen an Konten?
- Hat das Konto nicht autorisierte Anwendungsrollen erhalten?
Der Microsoft Entra-Sicherheitsbetriebsleitfaden für Anwendungen enthält detaillierte Anleitungen zu Untersuchungsbereichen.
Nachdem Sie festgestellt haben, ob die Workload-Identität kompromittiert wurde, sollten Sie das Risiko des Kontos ausschließen oder das Konto als kompromittiert im Bericht über riskante Workload-Identitäten bestätigen. Sie können auch „Dienstprinzipal deaktivieren“ auswählen, wenn Sie weitere Anmeldungen für das Konto blockieren möchten.
Korrigieren riskanter Workloadidentitäten
- Inventarisieren Sie alle Anmeldeinformationen, die der Identität der riskanten Workload zugewiesen sind, unabhängig davon, ob für den Dienstprinzipal oder Anwendungsobjekte.
- Fügen Sie neue Anmeldeinformationen hinzu. Microsoft empfiehlt die Verwendung von x509-Zertifikaten.
- Entfernen Sie die kompromittierten Anmeldeinformationen. Wenn Sie der Meinung sind, dass das Konto gefährdet ist, wird empfohlen, alle vorhandenen Anmeldeinformationen zu entfernen.
- Korrigieren Sie alle Azure KeyVault-Geheimnisse, auf die der Dienstprinzipal Zugriff hat, indem Sie sie rotieren.
Das Microsoft Entra Toolkit ist ein PowerShell-Modul, das Ihnen bei der Durchführung einiger dieser Aktionen helfen kann.