Megosztás a következőn keresztül:

Kockázatészlelések szimulálása Microsoft Entra ID-védelem

  • Cikk

Előfordulhat, hogy a rendszergazdák a következő elemek végrehajtásához szeretnének kockázatokat szimulálni a környezetükben:

  • Töltse fel az adatokat a Microsoft Entra ID-védelem környezetben a kockázatészlelések és biztonsági rések szimulálásával.
  • Állítson be kockázatalapú feltételes hozzáférési szabályzatokat, és tesztelje ezeknek a szabályzatoknak a hatását.

Ez a cikk a következő kockázatészlelési típusok szimulálásának lépéseit ismerteti:

  • Névtelen IP-cím (egyszerű)
  • Ismeretlen bejelentkezési tulajdonságok (mérsékelt)
  • Atipikus utazás (nehéz)
  • Kiszivárgott hitelesítő adatok a GitHubon számítási feladatok identitásaihoz (mérsékelt)

Más kockázatészlelések nem szimulálhatók biztonságos módon.

Az egyes kockázatészlelésekről további információt a felhasználók és a számítási feladatok identitásának kockázatával foglalkozó cikkben talál.

Névtelen IP-cím

A következő eljárás elvégzéséhez a következőket kell használnia:

  • A Tor Browser a névtelen IP-címek szimulálásához. Előfordulhat, hogy virtuális gépet kell használnia, ha a szervezet korlátozza a Tor böngésző használatát.
  • Egy tesztfiók, amely még nincs regisztrálva a Microsoft Entra többtényezős hitelesítéshez.

Névtelen IP-címről való bejelentkezés szimulálásához hajtsa végre a következő lépéseket:

  1. A Tor Browserrel lépjen a következőrehttps://myapps.microsoft.com: .
  2. Adja meg annak a fióknak a hitelesítő adatait, amelyet meg szeretne jeleníteni a névtelen IP-címek jelentéséből származó bejelentkezésekben.

A bejelentkezés 10–15 percen belül megjelenik a jelentésben.

Ismeretlen bejelentkezési tulajdonságok

Ismeretlen helyek szimulálásához olyan helyet és eszközt kell használnia, amelyet a tesztfiók korábban nem használt.

Az alábbi eljárás egy újonnan létrehozott eljárást használ:

  • VPN-kapcsolat, új hely szimulálásához.
  • Virtuális gép, új eszköz szimulálásához.

Az alábbi eljárás elvégzéséhez olyan felhasználói fiókot kell használnia, amely rendelkezik a következővel:

  • Legalább 30 napos bejelentkezési előzmények.
  • Microsoft Entra többtényezős hitelesítés.

Ismeretlen helyről való bejelentkezés szimulálásához hajtsa végre a következő lépéseket:

  1. Az új VPN használatával keresse meg https://myapps.microsoft.com és adja meg a tesztfiók hitelesítő adatait.
  2. A tesztfiókkal való bejelentkezéskor a többtényezős hitelesítéssel kapcsolatos feladat meghiúsul azáltal, hogy nem felel meg az MFA-feladatnak.

A bejelentkezés 10–15 percen belül megjelenik a jelentésben.

Atipikus utazás

Az atipikus utazási feltétel szimulálása nehéz. Az algoritmus gépi tanulással szűri ki a téves pozitívumokat, például az ismerős eszközökről való atipikus utazásokat, vagy a címtár más felhasználói által használt VPN-ekről való bejelentkezéseket. Emellett az algoritmusnak 14 napos bejelentkezési előzményre vagy 10 bejelentkezésre van szüksége a felhasználótól, mielőtt kockázatészleléseket kezdene létrehozni. Az összetett gépi tanulási modellek és a fenti szabályok miatt előfordulhat, hogy a következő lépések nem aktiválják a kockázatészlelést. Érdemes lehet replikálni ezeket a lépéseket több Microsoft Entra-fiók esetében az észlelés szimulálásához.

Az atipikus utazási kockázatészlelés szimulálásához hajtsa végre a következő lépéseket:

  1. A standard böngészőt használva lépjen a következőre https://myapps.microsoft.com: .
  2. Adja meg annak a fióknak a hitelesítő adatait, amelyhez atipikus utazási kockázatészlelést szeretne létrehozni.
  3. Módosítsa a felhasználói ügynököt. A Microsoft Edge felhasználói ügynökét a Fejlesztői eszközökről (F12) módosíthatja.
  4. Módosítsa az IP-címét. Az IP-cím módosításához használjon VPN-t, Tor-bővítményt, vagy hozzon létre egy új virtuális gépet az Azure-ban egy másik adatközpontban.
  5. Jelentkezzen be https://myapps.microsoft.com ugyanazzal a hitelesítő adatokkal, mint az előző bejelentkezés előtt és néhány percen belül.

A bejelentkezés 2–4 órán belül megjelenik a jelentésben.

Kiszivárgott hitelesítő adatok számítási feladatok identitásaihoz

Ez a kockázatészlelés azt jelzi, hogy az alkalmazás érvényes hitelesítő adatai kiszivárogtak. Ez a szivárgás akkor fordulhat elő, ha valaki egy nyilvános kódösszetevőben ellenőrzi a hitelesítő adatokat a GitHubon. Ezért az észlelés szimulálásához szüksége van egy GitHub-fiókra, és regisztrálhat egy GitHub-fiókot, ha még nem rendelkezik ilyen fiókkal .

Kiszivárgott hitelesítő adatok szimulálása a GitHub for Workload Identityesben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.

  3. Új alkalmazás regisztrálásához vagy meglévő elavult alkalmazás újrafelhasználásához válassza az Új regisztráció lehetőséget.

  4. Válassza a Tanúsítványok > Titkos kódok>új ügyféltitkot, adja meg az ügyfél titkos kódjának leírását, és állítsa be a titkos kód lejáratát, vagy adjon meg egy egyéni élettartamot, és válassza a Hozzáadás lehetőséget. Jegyezze fel a titkos kód értékét a GitHub-véglegesítés későbbi használatához.

    Jegyzet

    A lap elhagyása után nem tudja újból lekérni a titkos kulcsot.

  5. Kérje le a TenantID és az Application(Client)ID azonosítóját az Áttekintés lapon.

  6. Győződjön meg arról, hogy letiltja az alkalmazást az Identity>Applications>Vállalati alkalmazástulajdonság-beállítással>>, amely engedélyezve van ahhoz, hogy a felhasználók bejelentkezhessenek a Nem értékre.

  7. Hozzon létre egy nyilvános GitHub-adattárat, adja hozzá a következő konfigurációt, és véglegesítse a módosítást fájlként a .txt kiterjesztéssel.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. Körülbelül 8 óra múlva megtekintheti a kiszivárgott hitelesítőadat-észlelést a Protection>Identity Protection>kockázatészlelési>számítási feladat identitásészlelései alatt, ahol más információk tartalmazzák a GitHub-véglegesítés URL-címét.

Kockázati szabályzatok tesztelése

Ez a szakasz a felhasználó és a bejelentkezési kockázati szabályzatok tesztelésének lépéseit ismerteti, amelyek a következő cikkben készültek: A kockázati szabályzatok konfigurálása és engedélyezése.

Felhasználói kockázati szabályzat

Felhasználói kockázati biztonsági szabályzat teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfiguráljon egy felhasználói kockázati szabályzatot , amely a tesztelni kívánt felhasználókat célozza.
  2. Egy tesztfiók felhasználói kockázatának emelése például néhányszor szimulálja az egyik kockázatészlelést.
  3. Várjon néhány percet, és ellenőrizze, hogy a felhasználónál megemelkedett-e a kockázat. Ha nem, több kockázatészlelést szimulálhat a felhasználó számára.
  4. Térjen vissza a kockázati szabályzathoz, és állítsa be a Házirend kényszerítése beállítást, és mentse a szabályzatmódosítást.
  5. Mostantól tesztelheti a felhasználó kockázatalapú feltételes hozzáférését, ha emelt szintű kockázati szinttel rendelkező felhasználóval jelentkezik be.

Bejelentkezési kockázati biztonsági szabályzat

Bejelentkezési kockázati szabályzat teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfiguráljon egy bejelentkezési kockázati szabályzatot , amely a tesztelni kívánt felhasználókat célozza.
  2. Most már tesztelheti a bejelentkezés kockázatalapú feltételes hozzáférését egy kockázatos munkamenet használatával (például a Tor böngésző használatával).

Következő lépések