Risicodetectie simuleren in Microsoft Entra ID Protection
Beheerders willen mogelijk risico's in hun omgeving simuleren om de volgende items uit te voeren:
- Vul gegevens in de Microsoft Entra ID Protection-omgeving in door risicodetecties en beveiligingsproblemen te simuleren.
- Stel beleid voor voorwaardelijke toegang op basis van risico's in en test het effect van deze beleidsregels.
Dit artikel bevat stappen voor het simuleren van de volgende typen risicodetectie:
- Anoniem IP-adres (eenvoudig)
- Onbekende aanmeldingseigenschappen (gemiddeld)
- Atypische reis (moeilijk)
- Gelekte referenties in GitHub voor workloadidentiteiten (gemiddeld)
Andere risicodetecties kunnen niet op een veilige manier worden gesimuleerd.
Meer informatie over elke risicodetectie vindt u in het artikel What is risk for user and workload identity.
Anoniem IP-adres
Voor het voltooien van de volgende procedure moet u het volgende gebruiken:
- De Tor-browser om anonieme IP-adressen te simuleren. Mogelijk moet u een virtuele machine gebruiken als uw organisatie het gebruik van de Tor-browser beperkt.
- Een testaccount dat nog niet is geregistreerd voor Meervoudige Verificatie van Microsoft Entra.
Voer de volgende stappen uit om een aanmelding vanaf een anoniem IP-adres te simuleren:
- Navigeer met de Tor-browser naar https://myapps.microsoft.com.
- Voer de referenties in van het account dat u wilt weergeven in de aanmeldingen van anonieme IP-adressen .
De aanmelding wordt binnen 10 - 15 minuten weergegeven in het rapport.
Onbekende aanmeldingseigenschappen
Als u onbekende locaties wilt simuleren, moet u een locatie en apparaat gebruiken dat uw testaccount nog niet eerder heeft gebruikt.
In de volgende procedure wordt een zojuist gemaakte procedure gebruikt:
- VPN-verbinding om een nieuwe locatie te simuleren.
- Virtuele machine om een nieuw apparaat te simuleren.
Voor het voltooien van de volgende procedure moet u een gebruikersaccount gebruiken met:
- Ten minste een aanmeldingsgeschiedenis van 30 dagen.
- Meervoudige verificatie van Microsoft Entra.
Voer de volgende stappen uit om een aanmelding vanaf een onbekende locatie te simuleren:
- Navigeer met uw nieuwe VPN naar https://myapps.microsoft.com de referenties van uw testaccount en voer deze in.
- Wanneer u zich aanmeldt met uw testaccount, mislukt u de meervoudige verificatievraag door de MFA-uitdaging niet door te geven.
De aanmelding wordt binnen 10 - 15 minuten weergegeven in het rapport.
Atypisch reizen
Het simuleren van de atypische reisvoorwaarde is moeilijk. Het algoritme maakt gebruik van machine learning om onwaar-positieven, zoals atypisch reizen van bekende apparaten, of aanmeldingen van VPN's die door andere gebruikers in de directory worden gebruikt, uit te voeren. Daarnaast vereist het algoritme een aanmeldingsgeschiedenis van 14 dagen of 10 aanmeldingen van de gebruiker voordat er risicodetecties worden gegenereerd. Vanwege de complexe machine learning-modellen en bovenstaande regels is er een kans dat de volgende stappen geen risicodetectie activeren. U kunt deze stappen repliceren voor meerdere Microsoft Entra-accounts om deze detectie te simuleren.
Voer de volgende stappen uit om een atypische detectie van reisrisico's te simuleren:
- Navigeer met uw standaardbrowser naar https://myapps.microsoft.com.
- Voer de referenties in van het account waarvoor u een atypische reisrisicodetectie wilt genereren.
- Wijzig uw gebruikersagent. U kunt de gebruikersagent in Microsoft Edge wijzigen vanuit Ontwikkelhulpprogramma's (F12).
- Wijzig uw IP-adres. U kunt uw IP-adres wijzigen met behulp van een VPN, een Tor-invoegtoepassing of het maken van een nieuwe virtuele machine in Azure in een ander datacenter.
- Meld u aan om dezelfde referenties te https://myapps.microsoft.com gebruiken als vóór en binnen enkele minuten na de vorige aanmelding.
De aanmelding wordt binnen 2-4 uur weergegeven in het rapport.
Gelekte referenties voor workloadidentiteiten
Deze risicodetectie geeft aan dat de geldige referenties van de toepassing worden gelekt. Dit lek kan optreden wanneer iemand de referenties in een openbaar code-artefact op GitHub controleert. Als u deze detectie wilt simuleren, hebt u een GitHub-account nodig en kunt u zich registreren voor een GitHub-account als u er nog geen hebt.
Gelekte referenties simuleren in GitHub voor workloadidentiteiten
Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar identiteitstoepassingen>> App-registraties.
Selecteer Nieuwe registratie om een nieuwe toepassing te registreren of een bestaande verouderde toepassing opnieuw te gebruiken.
Selecteer Certificaten & Geheimen>Nieuw clientgeheim, voeg een beschrijving van uw clientgeheim toe en stel een vervaldatum in voor het geheim of geef een aangepaste levensduur op en selecteer Toevoegen. Noteer de waarde van het geheim voor later gebruik voor uw GitHub Commit.
Notitie
U kunt het geheim niet meer ophalen nadat u deze pagina hebt verlaten.
Haal de TenantID en Application(Client)ID op op de pagina Overzicht .
Zorg ervoor dat u de toepassing uitschakelt via eigenschappen van bedrijfstoepassingen>>>> die zijn ingeschakeld voor gebruikers om zich aan te melden bij Nee.
Maak een openbare GitHub-opslagplaats, voeg de volgende configuratie toe en voer de wijziging door als een bestand met de extensie .txt.
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
Over ongeveer 8 uur kunt u een gelekte referentiedetectie bekijken onder >Identiteitsbeveiligingsrisicodetectie>> workloaddetectie, waarbij andere informatie de URL van uw GitHub-doorvoer bevat.
Risicobeleid testen
In deze sectie vindt u stappen voor het testen van de gebruiker en het beleid voor aanmeldingsrisico's dat is gemaakt in het artikel: How To: Configure and enable risk policies.
Beleid voor gebruikersrisico's
Voer de volgende stappen uit om een beveiligingsbeleid voor gebruikersrisico's te testen:
- Configureer een beleid voor gebruikersrisico's dat is gericht op de gebruikers waarmee u wilt testen.
- Verhoog het gebruikersrisico van een testaccount door bijvoorbeeld een van de risicodetecties een paar keer te simuleren.
- Wacht enkele minuten en controleer vervolgens of het risico voor uw gebruiker is verhoogd. Zo niet, simuleer dan meer risicodetecties voor de gebruiker.
- Ga terug naar uw risicobeleid en stel Beleid afdwingen in op Aan en sla de beleidswijziging op.
- U kunt nu voorwaardelijke toegang op basis van gebruikersrisico's testen door u aan te melden met behulp van een gebruiker met een verhoogd risiconiveau.
Beveiligingsbeleid voor aanmeldingsrisico's
Voer de volgende stappen uit om een beleid voor aanmeldingsrisico's te testen:
- Configureer een beleid voor aanmeldingsrisico's dat is gericht op de gebruikers waarmee u wilt testen.
- U kunt nu voorwaardelijke toegang op basis van aanmeldingsrisico's testen door u aan te melden met behulp van een riskante sessie (bijvoorbeeld met behulp van de Tor-browser).