Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej

Azure AD Identity Protection chronił historycznie użytkowników w wykrywaniu, badaniach i korygowaniu zagrożeń opartych na tożsamościach. Teraz rozszerzamy te możliwości na tożsamości obciążeń w celu ochrony aplikacji, jednostek usługi i tożsamości zarządzanych.

Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:

  • Nie można wykonać uwierzytelniania wieloskładnikowego.
  • Często nie mają formalnego procesu cyklu życia.
  • Muszą gdzieś przechowywać swoje poświadczenia lub wpisy tajne.

Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.

Ważne

W publicznej wersji zapoznawczej można zabezpieczyć tożsamości obciążeń za pomocą usługi Identity Protection i wersji Azure Active Directory — wersja Premium P2 aktywnej w dzierżawie. Po ogólnej dostępności mogą być wymagane dodatkowe licencje.

Wymagania wstępne

Aby korzystać z ryzyka związanego z tożsamością obciążenia, w tym nowego bloku Tożsamości obciążeń ryzykownych (wersja zapoznawcza) i karty Wykrywanie tożsamości obciążenia w bloku Wykrywanie ryzyka, w Azure Portal musisz mieć następujące elementy.

  • licencjonowanie Azure AD — wersja Premium P2
  • Przypisano jedną z następujących ról administratora
    • Administrator globalny
    • Administrator zabezpieczeń
    • Operator zabezpieczeń
    • Czytelnik zabezpieczeń

Użytkownicy przypisani do roli administratora dostępu warunkowego mogą tworzyć zasady, które używają ryzyka jako warunku.

Wykrywanie ryzyka związanego z tożsamością obciążenia

Wykrywamy ryzyko związane z tożsamościami obciążeń w przypadku zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.

Nazwa wykrywania Typ wykrywania Opis
Analiza zagrożeń w usłudze Azure AD Tryb offline To wykrywanie ryzyka wskazuje pewne działania zgodne ze znanymi wzorcami ataków na podstawie wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft.
Podejrzane logowania Tryb offline To wykrywanie ryzyka wskazuje właściwości logowania lub wzorce, które są nietypowe dla tej jednostki usługi.

Wykrywanie uczy się zachowania logowania punktów odniesienia dla tożsamości obciążeń w dzierżawie w okresie od 2 do 60 dni i jest uruchamiane, jeśli podczas późniejszego logowania pojawi się co najmniej jedna z następujących nieznanych właściwości: adres IP/numer ASN, zasób docelowy, agent użytkownika, zmiana adresu IP/nieobsługiwany adres IP, kraj IP, typ poświadczeń.

Ze względu na programowy charakter logowań tożsamości obciążenia udostępniamy znacznik czasu dla podejrzanego działania zamiast oznaczania określonego zdarzenia logowania.

Logowania inicjowane po autoryzowanej zmianie konfiguracji mogą wyzwolić to wykrywanie.
Administracja potwierdzono naruszenie konta Tryb offline To wykrywanie wskazuje, że administrator wybrał pozycję "Potwierdź naruszone" w interfejsie użytkownika ryzykownych tożsamości obciążeń lub przy użyciu ryzykownego interfejsu APIServicePrincipals. Aby sprawdzić, który administrator potwierdził naruszenie tego konta, sprawdź historię ryzyka konta (za pośrednictwem interfejsu użytkownika lub interfejsu API).
Ujawnione poświadczenia Tryb offline To wykrywanie ryzyka wskazuje, że wyciekły prawidłowe poświadczenia konta. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub lub po wycieku poświadczeń przez naruszenie zabezpieczeń danych.

Gdy usługa microsoft leaked credentials uzyskuje poświadczenia z usługi GitHub, ciemnej sieci Web, wklejania witryn lub innych źródeł, są sprawdzane względem bieżących prawidłowych poświadczeń w Azure AD w celu znalezienia prawidłowych dopasowań.
Złośliwa aplikacja Tryb offline To wykrywanie wskazuje, że firma Microsoft wyłączyła aplikację za naruszenie naszych warunków użytkowania. Zalecamy przeprowadzenie badania aplikacji.
Podejrzana aplikacja Tryb offline To wykrywanie wskazuje, że firma Microsoft zidentyfikowała aplikację, która może naruszać nasze warunki użytkowania usługi, ale nie wyłączyła jej. Zalecamy przeprowadzenie badania aplikacji.

Identyfikowanie ryzykownych tożsamości obciążeń

Organizacje mogą znaleźć tożsamości obciążeń oflagowane pod kątem ryzyka w jednej z dwóch lokalizacji:

  1. Przejdź do Azure Portal.
  2. Przejdź do obszaru Tożsamości obciążeń ryzykownychzabezpieczeń>usługi Azure Active Directory>(wersja zapoznawcza).
  3. Możesz też przejść doobszaru Wykrycia ryzykazabezpieczeń>usługi Azure Active Directory>.
    1. Wybierz kartę Wykrywanie tożsamości obciążenia .

Zrzut ekranu przedstawiający zagrożenia wykryte dla tożsamości obciążeń w raporcie.

Interfejs API programu Graph

Możesz również wykonywać zapytania dotyczące ryzykownych tożsamości obciążeń przy użyciu interfejs Graph API firmy Microsoft. Istnieją dwie nowe kolekcje w interfejsach API usługi Identity Protection

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Eksportowanie danych dotyczących ryzyka

Organizacje mogą eksportować dane, konfigurując ustawienia diagnostyczne w Azure AD w celu wysyłania danych o podwyższonym ryzyku do obszaru roboczego usługi Log Analytics, archiwizowania ich na koncie magazynu, przesyłania strumieniowego do centrum zdarzeń lub wysyłania ich do rozwiązania SIEM.

Wymuszanie kontroli dostępu przy użyciu dostępu warunkowego opartego na ryzyku

Przy użyciu dostępu warunkowego dla tożsamości obciążeń można zablokować dostęp dla określonych kont wybranych, gdy usługa Identity Protection oznacza je jako "zagrożone". Zasady można stosować do jednostek usługi z jedną dzierżawą, które zostały zarejestrowane w dzierżawie. Aplikacje SaaS innych firm, aplikacje wielodostępne i tożsamości zarządzane są poza zakresem.

Badanie ryzykownych tożsamości obciążeń

Usługa Identity Protection udostępnia organizacjom dwa raporty, których mogą używać do badania ryzyka związanego z tożsamością obciążenia. Te raporty są tożsamościami ryzykownych obciążeń i wykrywaniem ryzyka dla tożsamości obciążeń. Wszystkie raporty umożliwiają pobieranie zdarzeń w formacie .CSV w celu dalszej analizy poza Azure Portal.

Oto niektóre kluczowe pytania, na które należy odpowiedzieć podczas badania:

  • Czy konta pokazują podejrzane działania logowania?
  • Czy wprowadzono nieautoryzowane zmiany poświadczeń?
  • Czy na kontach wprowadzono podejrzane zmiany konfiguracji?
  • Czy konto uzyskało nieautoryzowane role aplikacji?

Przewodnik po operacjach zabezpieczeń usługi Azure Active Directory dla aplikacji zawiera szczegółowe wskazówki dotyczące powyższych obszarów badania.

Po ustaleniu, czy tożsamość obciążenia została naruszona, odrzuć ryzyko konta lub potwierdź konto jako naruszone w raporcie Ryzykowne tożsamości obciążenia (wersja zapoznawcza). Możesz również wybrać opcję "Wyłącz jednostkę usługi", jeśli chcesz zablokować konto podczas dalszych logowania.

Potwierdź naruszenie tożsamości obciążenia lub odrzuć ryzyko w Azure Portal.

Korygowanie ryzykownych tożsamości obciążeń

  1. Poświadczenia spisu przypisane do ryzykownych tożsamości obciążeń, zarówno dla jednostki usługi, jak i obiektów aplikacji.
  2. Dodaj nowe poświadczenie. Firma Microsoft zaleca używanie certyfikatów x509.
  3. Usuń naruszone poświadczenia. Jeśli uważasz, że konto jest zagrożone, zalecamy usunięcie wszystkich istniejących poświadczeń.
  4. Koryguj wszystkie wpisy tajne usługi Azure KeyVault, do których jednostka usługi ma dostęp, obracając je.

Zestaw narzędzi Azure AD to moduł programu PowerShell, który może pomóc w wykonaniu niektórych z tych akcji.

Następne kroki