Symulowanie wykrywania ryzyka w Ochrona tożsamości Microsoft Entra

  • Artykuł

Administracja istratorzy mogą chcieć symulować ryzyko w swoim środowisku, aby wykonać następujące elementy:

  • Wypełnij dane w środowisku Ochrona tożsamości Microsoft Entra, symulując wykrywanie ryzyka i luki w zabezpieczeniach.
  • Skonfiguruj zasady dostępu warunkowego opartego na ryzyku i przetestuj wpływ tych zasad.

Ten artykuł zawiera kroki symulacji następujących typów wykrywania ryzyka:

  • Anonimowy adres IP (łatwe)
  • Nieznane właściwości logowania (średni poziom trudności)
  • Nietypowa podróż (trudne)
  • Ujawnione poświadczenia w usłudze GitHub dla tożsamości obciążeń (umiarkowane)

Inne wykrycia ryzyka nie mogą być symulowane w bezpieczny sposób.

Więcej informacji na temat każdego wykrywania ryzyka można znaleźć w artykule What is risk for user and workload identity (Co to jest ryzyko związane z tożsamością użytkowników i obciążeń).

Anonimowy adres IP

Wykonanie poniższej procedury wymaga użycia:

  • Przeglądarka Tor do symulowania anonimowych adresów IP. Może być konieczne użycie maszyny wirtualnej, jeśli organizacja ogranicza korzystanie z przeglądarki Tor.
  • Konto testowe, które nie zostało jeszcze zarejestrowane na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby symulować logowanie z anonimowego adresu IP, wykonaj następujące kroki:

  1. Za pomocą przeglądarki Tor przejdź do https://myapps.microsoft.comadresu .
  2. Wprowadź poświadczenia konta, które chcesz wyświetlić w raporcie Logowania z anonimowych adresów IP.

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 10–15 minut.

Nieznane właściwości logowania

Aby zasymulować nieznane lokalizacje, musisz użyć lokalizacji i urządzenia, którego konto testowe nie było wcześniej używane.

Poniższa procedura używa nowo utworzonej procedury:

  • Połączenie sieci VPN w celu symulowania nowej lokalizacji.
  • Maszyna wirtualna do symulowania nowego urządzenia.

Wykonanie poniższej procedury wymaga użycia konta użytkownika, które ma:

  • Co najmniej 30-dniowa historia logowania.
  • Uwierzytelnianie wieloskładnikowe firmy Microsoft.

Aby zasymulować logowanie z nieznanej lokalizacji, wykonaj następujące kroki:

  1. Przy użyciu nowej sieci VPN przejdź do https://myapps.microsoft.com adresu i wprowadź poświadczenia konta testowego.
  2. Podczas logowania się przy użyciu konta testowego niepowodzenie zadania uwierzytelniania wieloskładnikowego przez pominięcie wyzwania uwierzytelniania wieloskładnikowego.

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 10–15 minut.

Nietypowa podróż

Symulowanie nietypowego stanu podróży jest trudne. Algorytm używa uczenia maszynowego do wypychania wyników fałszywie dodatnich, takich jak nietypowe podróże ze znanych urządzeń lub logowania z sieci VPN, które są używane przez innych użytkowników w katalogu. Ponadto algorytm wymaga historii logowania 14 dni lub 10 logowań użytkownika przed rozpoczęciem generowania wykrywania ryzyka. Ze względu na złożone modele uczenia maszynowego i powyższe reguły istnieje prawdopodobieństwo, że poniższe kroki nie wyzwolą wykrywania ryzyka. Aby zasymulować to wykrywanie, możesz zreplikować te kroki dla wielu kont firmy Microsoft Entra.

Aby zasymulować nietypowe wykrywanie ryzyka podróży, wykonaj następujące kroki:

  1. Korzystając ze standardowej przeglądarki, przejdź do adresu https://myapps.microsoft.com.
  2. Wprowadź poświadczenia konta, dla którego chcesz wygenerować nietypowe wykrywanie ryzyka podróży.
  3. Zmień agenta użytkownika. Agent użytkownika można zmienić w przeglądarce Microsoft Edge z poziomu narzędzi deweloperskich (F12).
  4. Zmień adres IP. Adres IP można zmienić przy użyciu sieci VPN, dodatku Tor lub utworzenia nowej maszyny wirtualnej na platformie Azure w innym centrum danych.
  5. Zaloguj się, aby używać https://myapps.microsoft.com tych samych poświadczeń, co wcześniej i w ciągu kilku minut od poprzedniego logowania.

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 2–4 godzin.

Ujawnione poświadczenia dla tożsamości obciążeń

To wykrywanie ryzyka wskazuje, że wyciekły prawidłowe poświadczenia aplikacji. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub. W związku z tym, aby zasymulować to wykrywanie, potrzebujesz konta usługi GitHub i możesz utworzyć konto usługi GitHub, jeśli jeszcze go nie masz.

Symulowanie wycieku poświadczeń w usłudze GitHub dla tożsamości obciążeń

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  3. Wybierz pozycję Nowa rejestracja , aby zarejestrować nową aplikację lub ponownie użyć istniejącej nieaktualnej aplikacji.

  4. Wybierz pozycję Certyfikaty i wpisy tajne>Nowego klienta, dodaj opis wpisu tajnego klienta i ustaw wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia i wybierz pozycję Dodaj. Zapisz wartość wpisu tajnego do późniejszego użycia dla zatwierdzenia usługi GitHub.

    Uwaga

    Po opuszczeniu tej strony nie można ponownie pobrać wpisu tajnego.

  5. Pobierz identyfikator TenantID i Application(Client)ID na stronie Przegląd .

  6. Upewnij się, że wyłączysz aplikację za pomocą ustawienia Właściwości> aplikacji>>dla przedsiębiorstw tożsamości>dla użytkowników, aby zalogować się na wartość Nie.

  7. Utwórz publiczne repozytorium GitHub, dodaj następującą konfigurację i zatwierdź zmianę jako plik z rozszerzeniem txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. W ciągu około 8 godzin możesz wyświetlić wykryte wycieki poświadczeń w obszarze Wykrywanie ryzyka ochrony przed wykryciem tożsamości obciążenia ochrony>>przed zagrożeniami>, gdzie inne informacje zawierają adres URL zatwierdzenia usługi GitHub.

Testowanie zasad ryzyka

Ta sekcja zawiera kroki testowania użytkownika i zasad ryzyka logowania utworzonych w artykule How To: Configure and enable risk policies ( Instrukcje: konfigurowanie i włączanie zasad ryzyka).

Zasady ryzyka związanego z użytkownikiem

Aby przetestować zasady zabezpieczeń ryzyka użytkownika, wykonaj następujące kroki:

  1. Skonfiguruj zasady ryzyka użytkowników przeznaczone dla użytkowników, którym planujesz testować.
  2. Podnieś poziom ryzyka związanego z użytkownikiem konta testowego, na przykład symulując jedną z wykryć ryzyka kilka razy.
  3. Zaczekaj kilka minut, a następnie sprawdź, czy poziom ryzyka został podwyższony dla użytkownika. Jeśli nie, zasymuluj więcej wykryć ryzyka dla użytkownika.
  4. Wróć do zasad ryzyka i ustaw opcję Wymuszaj zasady na Włączone i Zapisz zmiany zasad.
  5. Teraz możesz przetestować dostęp warunkowy oparty na ryzyku użytkownika, logując się przy użyciu użytkownika z podwyższonym poziomem ryzyka.

Zasady zabezpieczeń ryzyka logowania

Aby przetestować zasady ryzyka logowania, wykonaj następujące kroki:

  1. Skonfiguruj zasady ryzyka logowania przeznaczone dla użytkowników, których chcesz przetestować.
  2. Teraz możesz przetestować dostęp warunkowy oparty na ryzyku logowania, logując się przy użyciu ryzykownej sesji (na przykład przy użyciu przeglądarki Tor).

Następne kroki