Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Naarmate organisaties autonome AI-agents aannemen, bouwen en implementeren, wordt de noodzaak om deze agents te bewaken en te beveiligen essentieel. Microsoft Entra ID Protection helpt uw organisatie te beschermen door automatisch identiteitsrisico's te detecteren en erop te reageren op agents die gebruikmaken van het Microsoft Entra Agent ID-platform .
Vereiste voorwaarden
Rollen
Als u onze riskante agentrapporten wilt gebruiken, moet een van de volgende beheerdersrollen zijn toegewezen.
Als u beleidsregels wilt configureren die agentrisico als voorwaarde gebruiken, moet de rol Beheerder voor voorwaardelijke toegang zijn toegewezen.
Licensing
- Id-beveiliging voor agents is opgenomen in de Microsoft Entra P2-licentie tijdens de preview-versie.
Hoe het werkt
Omdat agents autonoom en namens een gebruiker kunnen werken, kunnen ze uniek aanmeldingsgedrag weergeven. Agents kunnen initiatief nemen, communiceren met gevoelige gegevens en op schaal werken. Microsoft Entra ID Protection voor agents is ontworpen om risico's te identificeren en te beperken die zijn gekoppeld aan deze mogelijkheden. Het systeem bepaalt een basislijn voor de normale activiteit van een agent en controleert deze continu op afwijkingen in Microsoft Entra ID. Zodra een agent verdacht gedrag vertoont, markeert ID Protection de activiteit en markeert deze als riskant.
Activiteiten die bijdragen aan risico's
De volgende tabel bevat de afwijkende activiteiten die kunnen bijdragen aan de agent die wordt gemarkeerd voor risico' s. Op dit moment zijn alle risicodetecties voor riskante agents offline.
| Detectie van agentrisico's | Detectietype | Description | riskEventType |
|---|---|---|---|
| Onbekende toegang tot resources | Offline | De agent heeft zich gericht op bronnen die hij normaal gesproken niet zou benaderen. Deze detectie kan betekenen dat een aanvaller toegang probeert te krijgen tot gevoelige resources buiten het beoogde doel van de agent. | unfamiliarResourceAccess |
| Aanmeldingspieken | Offline | Agent heeft een hoger aantal aanmeldingen gemaakt in vergelijking met de gebruikelijke aanmeldingsfrequentie. Deze piek kan een indicator zijn dat een aanvaller automatisering of een toolkit gebruikt. | signInSpike |
| Mislukte toegangspoging | Offline | Agent heeft geprobeerd en heeft geen toegang tot resources waarvoor deze niet is geautoriseerd. Deze detectie kan erop wijzen dat een aanvaller probeert het token van een agent opnieuw af te spelen tegen een niet-geautoriseerde resource. | failedAccessAttempt |
| Aanmelden door riskante gebruiker | Offline | Agent die zich heeft aangemeld namens een riskante gebruiker tijdens een gedelegeerde verificatie. Deze detectie betekent dat een aanvaller mogelijk de referenties van een aangetaste gebruiker gebruikt om misbruik te maken van een agent. | riskyUserSignIn |
| Bevestigd als gecompromitteerd | Offline | De beheerder heeft bevestigd dat de agent in gevaar is gebracht. | beheerderBevestigdeAgentGecompromitteerd |
| Bedreigingsinformatie van Microsoft Entra | Offline | Microsoft heeft activiteiten geïdentificeerd die consistent zijn met bekende aanvalspatronen op basis van de interne en externe bedreigingsinformatiebronnen. | threatIntelligenceAccount |
Het rapport riskante agent weergeven
Het rapport Riskante agents bevat een lijst met alle agents die zijn gemarkeerd voor riskant gedrag. Er wordt een overzicht weergegeven van riskante agents op het dashboard id-beveiliging. Deze momentopnameweergave biedt een overzicht van het aantal agents dat is gemarkeerd voor risico op risiconiveau. Selecteer Riskante agents weergeven om het volledige rapport te openen.
U kunt ook rechtstreeks naar het rapport Riskante agents navigeren vanuit het navigatiemenu id-beveiliging. Filter en sorteer om specifieke agents, risicostatussen of risiconiveaus te vinden.
U kunt rechtstreeks vanuit het rapport actie ondernemen op agents, waaronder:
- Bevestig inbreuk: Selecteer na handmatig onderzoek of automatische detectie dat het account is gecompromitteerd. Deze stap is handig als onderdeel van incidentrespons om verdere schade te voorkomen. Bevestig dat inbreuk het risiconiveau automatisch instelt op Hoog en een gebeurtenis maakt in de risicodetecties van de agent. Met deze actie wordt beleid voor voorwaardelijke toegang op basis van risico's geactiveerd dat is geconfigureerd om de toegang tot hoog agentrisico te blokkeren.
- Bevestig veilig: Markeert de gebruiker als veilig na onderzoek en wist alle actieve risicostatussen voor die gebruiker door het risiconiveau in te stellen op Geen. Gebruik deze optie als u een fout-positief wilt markeren en voor het systeem wilt voorkomen dat vergelijkbare activiteiten worden gemarkeerd.
- Risico negeren: geeft aan dat het gedetecteerde risico voor een agent na onderzoek niet meer relevant is of een goedaardig positief is waar u wilt dat het systeem soortgelijke activiteiten blijft markeren.
- Uitschakelen: Hiermee voorkomt u alle aanmeldingen voor die agent in Microsoft Entra ID en verbonden apps.
De details van de riskante agent weergeven
Selecteer in het rapport riskante agent een vermelding om de volledige details weer te geven, inclusief de bijbehorende risicodetecties voor die agent. Net als bij alle id-beveiligingsrisicorapporten kunt u rechtstreeks vanuit het rapport of vanuit de detailweergave actie ondernemen op de agent.
Details van riskante agent zijn onder andere:
- Weergavenaam en id van agent
- Risicostatus en risiconiveau
- Agenttype en sponsors (indien opgegeven)
U kunt ook naar het rapport Risicodetecties navigeren en het tabblad Agentdetecties selecteren om een volledige lijst weer te geven van de detectierisico-gebeurtenissen van de afgelopen 90 dagen.
Op risico's gebaseerde voorwaardelijke toegang voor agents
U kunt voorwaardelijke toegang voor agents gebruiken om risicobeleid in te stellen waarmee riskante agents geen toegang krijgen tot resources of andere agents. Gebruik deze sjabloon voor voorwaardelijke toegang om beheerders te helpen dit beleid in hun organisatie te implementeren.
Microsoft Graph
U kunt ook query's uitvoeren op riskante agents met behulp van de Microsoft Graph API. Er zijn twee nieuwe verzamelingen in de ID Protection-API's.
riskyAgentsagentRiskDetections