Implementare la sicurezza per le identità del carico di lavoro
Microsoft Entra Identity Protection protegge da sempre gli utenti rilevando, analizzando e correggendo i rischi basati sulle identità. Identity Protection ha esteso queste funzionalità alle identità del carico di lavoro per proteggere applicazioni, entità servizio e identità gestite.
Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:
- Non è possibile eseguire l'autenticazione a più fattori.
- Spesso non hanno un processo del ciclo di vita formale.
- Devono archiviare le credenziali o i segreti da qualche parte.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.
Requisiti per usare la protezione delle identità del carico di lavoro
Per usare il rischio di identità del carico di lavoro, inclusi il nuovo pannello Risky workload identities (Identità del carico di lavoro rischioso) (anteprima) e la scheda Workload identity detections (Rilevamenti delle identità del carico di lavoro) nel pannello Rilevamenti dei rischi, nel portale di Azure è necessario avere quanto segue.
Licenze di Microsoft Entra ID Premium P2
All'utente connesso deve essere assegnato:
- Amministratore globale
- Amministratore della sicurezza
- Operatore per la sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
Quali tipi di rischi vengono rilevati?
| Nome rilevamento | Tipo di rilevamento | Descrizione |
|---|---|---|
| Intelligence sulle minacce per Microsoft Entra | Offline | Questo rilevamento di rischi indica un'attività coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft. |
| Accessi sospetti | Offline | Questo rilevamento di rischi indica le proprietà o i modelli di accesso insoliti per questa entità servizio. |
| Il rilevamento apprende il comportamento di accesso delle baseline per le identità del carico di lavoro nel tenant tra 2 e 60 giorni e viene attivato se una o più delle proprietà sconosciute seguenti appaiono durante un accesso successivo: indirizzo IP/ASN, risorsa di destinazione, agente utente, modifica IP di hosting/non hosting, paese IP, tipo di credenziale. | ||
| Aggiunta insolita di credenziali a un'app OAuth | Offline | Questo rilevamento viene individuato da Microsoft Defender for Cloud Apps. Questo rilevamento identifica l'aggiunta sospetta di credenziali con privilegi a un'app OAuth. Il rilevamento può indicare che un utente malintenzionato ha compromesso l'app e la usa per attività dannose. |
| Account compromesso confermato dall'amministratore | Offline | Questo rilevamento indica che un amministratore ha selezionato "Conferma compromesso" nell'interfaccia utente delle identità dei carichi di lavoro rischiosi o usando l'API riskyServicePrincipals. Per vedere quale amministratore ha confermato questo account compromesso, controllare la cronologia dei rischi dell'account (tramite l'interfaccia utente o l'API). |
| Credenziali perse (anteprima pubblica) | Offline | Questo rilevamento di rischi indica che le credenziali valide dell'utente sono andate perse. Questa perdita può verificarsi quando un utente effettua il check-in delle credenziali nell'artefatto del codice pubblico in GitHub o a seguito di una violazione dei dati. |
Aggiungere la protezione dell'accesso condizionale
Usando l'accesso condizionale per le identità del carico di lavoro è possibile bloccare l'accesso per account specifici scelti quando Identity Protection li contrassegna "a rischio". I criteri possono essere applicati a entità servizio a tenant singolo registrate nel tenant. Le app SaaS, multi-tenant e le identità gestite di terze parti non rientrano nell'ambito.