Zabezpieczanie tożsamości obciążeń

  • Artykuł

Ochrona tożsamości Microsoft Entra mogą wykrywać, badać i korygować tożsamości obciążeń w celu ochrony aplikacji i jednostek usługi oprócz tożsamości użytkowników.

Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:

  • Nie można wykonać uwierzytelniania wieloskładnikowego.
  • Często nie mają formalnego procesu cyklu życia.
  • Musisz przechowywać swoje poświadczenia lub tajne wpisy w jakimś miejscu.

Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.

Ważne

Wykrycia są widoczne tylko dla klientów usługi Workload Identities Premium . Klienci bez licencji usługi Workload Identities Premium nadal otrzymują wszystkie wykrycia, ale raportowanie szczegółów jest ograniczone.

Uwaga

Usługa ID Protection wykrywa ryzyko dotyczące pojedynczej dzierżawy, aplikacji SaaS innych firm i aplikacji wielodostępnych. Tożsamości zarządzane nie są obecnie w zakresie.

Wymagania wstępne

Aby korzystać z ryzyka tożsamości obciążenia, w tym nowego bloku Tożsamości obciążeń ryzykownych i karty Wykrywanie tożsamości obciążenia w bloku Wykrywanie ryzyka w portalu, musisz mieć następujące elementy.

  • Licencjonowanie usługi Workload Identities Premium: możesz wyświetlać i uzyskiwać licencje w bloku Tożsamości obciążeń.
  • Przypisano jedną z następujących ról administratora
    • Administrator zabezpieczeń
    • Operator zabezpieczeń
    • Użytkownicy czytelnika zabezpieczeń przypisani do roli administratora dostępu warunkowego mogą tworzyć zasady, które używają ryzyka jako warunku.

Wykrywanie ryzyka tożsamości obciążenia

Wykrywamy ryzyko związane z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia bezpieczeństwa w trybie offline.

Nazwa wykrywania Typ wykrywania opis
Microsoft Entra threat intelligence W trybie offline To wykrywanie ryzyka wskazuje pewne działania zgodne ze znanymi wzorcami ataków na podstawie wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft.
Podejrzane logowania W trybie offline To wykrywanie ryzyka wskazuje właściwości logowania lub wzorce, które są nietypowe dla tej jednostki usługi.

Wykrywanie uczy się zachowania logowania punktów odniesienia dla tożsamości obciążeń w dzierżawie. To wykrywanie trwa od 2 do 60 dni i jest uruchamiane, jeśli co najmniej jedna z następujących nieznanych właściwości pojawia się podczas późniejszego logowania: adres IP/ NUMER ASN, zasób docelowy, agent użytkownika, zmiana adresu IP/hostowania, kraj IP, typ poświadczeń.

Ze względu na programowy charakter logowań tożsamości obciążenia udostępniamy sygnaturę czasową podejrzanego działania zamiast flagowania określonego zdarzenia logowania.

Logowania inicjowane po autoryzowanej zmianie konfiguracji mogą wyzwolić to wykrywanie.
Administracja potwierdzono naruszenie zabezpieczeń jednostki usługi W trybie offline To wykrywanie oznacza, że administrator wybrał pozycję "Potwierdź naruszone" w interfejsie użytkownika ryzykownych tożsamości obciążeń lub przy użyciu interfejsu API riskyServicePrincipals. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego konta, sprawdź historię ryzyka konta (za pośrednictwem interfejsu użytkownika lub interfejsu API).
Ujawnione poświadczenia W trybie offline To wykrywanie ryzyka wskazuje, że wyciekły prawidłowe poświadczenia konta. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub lub po wycieku poświadczeń za pośrednictwem naruszenia danych.

Gdy usługa microsoft leaked credentials uzyskuje poświadczenia z usługi GitHub, ciemnej sieci Web, wklejania witryn lub innych źródeł, są sprawdzane względem bieżących prawidłowych poświadczeń w identyfikatorze Entra firmy Microsoft w celu znalezienia prawidłowych dopasowań.
Złośliwa aplikacja W trybie offline To wykrywanie łączy alerty z usługi ID Protection i Microsoft Defender dla Chmury Apps, aby wskazać, kiedy firma Microsoft wyłącza aplikację w celu naruszenia warunków użytkowania usługi. Zalecamy przeprowadzenie badania aplikacji. Uwaga: te aplikacje są wyświetlane DisabledDueToViolationOfServicesAgreement we disabledByMicrosoftStatus właściwości powiązanej aplikacji i typach zasobów jednostki usługi w programie Microsoft Graph. Aby zapobiec ponownemu utworzeniu wystąpienia w organizacji w przyszłości, nie można usunąć tych obiektów.
Podejrzana aplikacja W trybie offline To wykrywanie wskazuje, że usługa ID Protection lub Microsoft Defender dla Chmury Apps zidentyfikowała aplikację, która może naruszać warunki użytkowania usługi, ale nie została wyłączona. Zalecamy przeprowadzenie badania aplikacji.
Nietypowe działanie jednostki usługi W trybie offline To wykrywanie ryzyka określa normalne zachowanie jednostki usługi administracyjnej w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest wyzwalane względem jednostki usługi administracyjnej dokonującej zmiany lub obiektu, który został zmieniony.

Identyfikowanie ryzykownych tożsamości obciążeń

Organizacje mogą znaleźć tożsamości obciążeń oflagowane pod kątem ryzyka w jednej z dwóch lokalizacji:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do sekcji Ochrona>tożsamości>ryzykownych tożsamości obciążeń.

Zrzut ekranu przedstawiający zagrożenia wykryte pod kątem tożsamości obciążeń w raporcie.

Interfejsy API programu Microsoft Graph

Możesz również wykonywać zapytania dotyczące ryzykownych tożsamości obciążeń przy użyciu interfejsu API programu Microsoft Graph. W interfejsach API ochrony identyfikatorów istnieją dwie nowe kolekcje.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Eksportowanie danych dotyczących ryzyka

Organizacje mogą eksportować dane, konfigurując ustawienia diagnostyczne w usłudze Microsoft Entra ID , aby wysyłać dane o podwyższonym ryzyku do obszaru roboczego usługi Log Analytics, archiwizować je na koncie magazynu, przesyłać strumieniowo do centrum zdarzeń lub wysyłać je do rozwiązania SIEM.

Wymuszanie kontroli dostępu przy użyciu dostępu warunkowego opartego na ryzyku

Korzystając z dostępu warunkowego dla tożsamości obciążeń, możesz zablokować dostęp dla określonych kont, które należy wybrać, gdy usługa ID Protection oznacza je jako "zagrożone". Zasady można stosować do jednostek usługi z jedną dzierżawą zarejestrowanych w dzierżawie. Aplikacje SaaS innych firm, aplikacje wielodostępne i tożsamości zarządzane są poza zakresem.

W celu zwiększenia bezpieczeństwa i odporności tożsamości obciążeń, funkcja ciągłej oceny dostępu (CAE) dla tożsamości obciążeń to zaawansowane narzędzie, które oferuje natychmiastowe wymuszanie zasad dostępu warunkowego i wszelkich wykrytych sygnałów ryzyka. Tożsamości obciążeń innych firm z obsługą caE, które uzyskują dostęp do zasobów pierwszej firmy z obsługą caE, są wyposażone w 24-godzinne tokeny długotrwałe (LLT), które podlegają ciągłym testom zabezpieczeń. Zapoznaj się z dokumentacją caE dla tożsamości obciążeń, aby uzyskać informacje na temat konfigurowania klientów tożsamości obciążeń dla caE i aktualnego zakresu funkcji.

Badanie ryzykownych tożsamości obciążeń

Usługa ID Protection udostępnia organizacjom dwa raporty, których mogą używać do badania ryzyka związanego z tożsamością obciążenia. Te raporty są tożsamościami ryzykownych obciążeń i wykrywaniem ryzyka dla tożsamości obciążeń. Wszystkie raporty umożliwiają pobieranie zdarzeń w programie . Format CSV do dalszej analizy.

Oto niektóre kluczowe pytania, na które należy odpowiedzieć podczas badania:

  • Czy na kontach są wyświetlane podejrzane działania logowania?
  • Czy wprowadzono nieautoryzowane zmiany w poświadczeniach?
  • Czy na kontach wprowadzono podejrzane zmiany konfiguracji?
  • Czy konto nabyło nieautoryzowane role aplikacji?

Przewodnik po operacjach zabezpieczeń firmy Microsoft dla aplikacji zawiera szczegółowe wskazówki dotyczące powyższych obszarów badania.

Po ustaleniu, czy tożsamość obciążenia została naruszona, odrzuć ryzyko konta lub potwierdź konto jako naruszone w raporcie Tożsamości obciążenia Ryzykowne. Możesz również wybrać opcję "Wyłącz jednostkę usługi", jeśli chcesz zablokować konto z dalszych logowania.

Potwierdź naruszenie tożsamości obciążenia lub odrzuć ryzyko.

Korygowanie ryzykownych tożsamości obciążeń

  1. Poświadczenia spisu przypisane do ryzykownych tożsamości obciążenia, niezależnie od tego, czy są to obiekty jednostki usługi, czy aplikacji.
  2. Dodaj nowe poświadczenie. Firma Microsoft zaleca używanie certyfikatów x509.
  3. Usuń poświadczenia naruszone. Jeśli uważasz, że konto jest zagrożone, zalecamy usunięcie wszystkich istniejących poświadczeń.
  4. Koryguj wszystkie wpisy tajne usługi Azure KeyVault, do których jednostka usługi ma dostęp, obracając je.

Microsoft Entra Toolkit to moduł programu PowerShell, który może pomóc w wykonaniu niektórych z tych akcji.

Następne kroki