Symulowanie wykrywania ryzyka w usłudze Identity Protection

Administratorzy mogą chcieć symulować ryzyko w swoim środowisku, aby wykonać następujące elementy:

  • Wypełnij dane w środowisku usługi Identity Protection, symulując wykrycia ryzyka i luki w zabezpieczeniach.
  • Skonfiguruj zasady dostępu warunkowego opartego na ryzyku i przetestuj wpływ tych zasad.

Ten artykuł zawiera kroki symulacji następujących typów wykrywania ryzyka:

  • Anonimowy adres IP (łatwe)
  • Nieznane właściwości logowania (średni poziom trudności)
  • Nietypowa podróż (trudne)
  • Ujawnione poświadczenia w usłudze GitHub dla tożsamości obciążeń (umiarkowane)

Inne wykrycia ryzyka nie mogą być symulowane w bezpieczny sposób.

Więcej informacji na temat każdego wykrywania ryzyka można znaleźć w artykule What is risk for user and workload identity (Co to jest ryzyko związane z tożsamościąużytkowników i obciążeń).

Anonimowy adres IP

Wykonanie poniższej procedury wymaga użycia:

  • Przeglądarka Tor do symulowania anonimowych adresów IP. Może być konieczne użycie maszyny wirtualnej, jeśli organizacja ogranicza korzystanie z przeglądarki Tor.
  • Konto testowe, które nie zostało jeszcze zarejestrowane na potrzeby uwierzytelniania wieloskładnikowego Azure AD.

Aby symulować logowanie z anonimowego adresu IP, wykonaj następujące kroki:

  1. Za pomocą przeglądarki Tor przejdź do strony https://myapps.microsoft.com.
  2. Wprowadź poświadczenia konta, które chcesz wyświetlić w raporcie Logowania z anonimowych adresów IP .

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 10–15 minut.

Nieznane właściwości logowania

Aby symulować nieznane lokalizacje, musisz zalogować się z lokalizacji i urządzenia, z którego konto testowe nie zostało wcześniej zalogowane.

Poniższa procedura używa nowo utworzonego elementu:

  • Połączenie sieci VPN w celu symulowania nowej lokalizacji.
  • Maszyna wirtualna do symulowania nowego urządzenia.

Wykonanie poniższej procedury wymaga użycia konta użytkownika, które ma:

  • Co najmniej 30-dniowa historia logowania.
  • Azure AD włączone uwierzytelnianie wieloskładnikowe.

Aby zasymulować logowanie z nieznanej lokalizacji, wykonaj następujące kroki:

  1. Po zalogowaniu się przy użyciu konta testowego niepowodzenie wyzwania uwierzytelniania wieloskładnikowego (MFA, multi-factor authentication), nie przekazując wyzwania uwierzytelniania wieloskładnikowego.
  2. Korzystając z nowej sieci VPN, przejdź do https://myapps.microsoft.com strony i wprowadź poświadczenia konta testowego.

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 10–15 minut.

Nietypowa podróż

Symulowanie nietypowego stanu podróży jest trudne, ponieważ algorytm używa uczenia maszynowego do wypychania fałszywych alarmów, takich jak nietypowe podróże ze znanych urządzeń lub logowania z sieci VPN, które są używane przez innych użytkowników w katalogu. Ponadto algorytm wymaga historii logowania 14 dni i 10 logowań użytkownika przed rozpoczęciem generowania wykryć ryzyka. Ze względu na złożone modele uczenia maszynowego i powyższe reguły istnieje prawdopodobieństwo, że poniższe kroki nie doprowadzą do wykrycia ryzyka. Aby zasymulować to wykrywanie, możesz zreplikować te kroki dla wielu kont Azure AD.

Aby zasymulować nietypowe wykrywanie ryzyka podróży, wykonaj następujące kroki:

  1. Korzystając ze standardowej przeglądarki, przejdź do strony https://myapps.microsoft.com.
  2. Wprowadź poświadczenia konta, dla którego chcesz wygenerować nietypowe wykrywanie ryzyka podróży.
  3. Zmień agenta użytkownika. Agenta użytkownika można zmienić w usłudze Microsoft Edge z poziomu narzędzi deweloperskich (F12).
  4. Zmień adres IP. Adres IP można zmienić przy użyciu sieci VPN, dodatku Tor lub utworzenia nowej maszyny wirtualnej na platformie Azure w innym centrum danych.
  5. Zaloguj się, aby używać https://myapps.microsoft.com tych samych poświadczeń co poprzednio i w ciągu kilku minut od poprzedniego logowania.

Logowanie jest wyświetlane na pulpicie nawigacyjnym usługi Identity Protection w ciągu 2–4 godzin.

Ujawnione poświadczenia dla tożsamości obciążeń

To wykrywanie ryzyka wskazuje, że wyciekły prawidłowe poświadczenia aplikacji. Ten wyciek może wystąpić, gdy ktoś zaewidencjonuje poświadczenia w publicznym artefaktzie kodu w usłudze GitHub. W związku z tym, aby zasymulować to wykrywanie, potrzebujesz konta usługi GitHub i możesz utworzyć konto usługi GitHub , jeśli jeszcze go nie masz.

Aby symulować wyciekły poświadczenia w usłudze GitHub dla tożsamości obciążeń, wykonaj następujące kroki:

  1. Przejdź do Azure Portal.

  2. Przejdź do usługi Azure Active Directory>Rejestracje aplikacji.

  3. Wybierz pozycję Nowa rejestracja , aby zarejestrować nową aplikację lub ponownie użyć istniejącej nieaktywnej aplikacji.

  4. Wybierz pozycję Wpisy tajne certyfikatów &>Nowy klucz tajny klienta, dodaj opis klucza tajnego klienta i ustaw wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia, a następnie wybierz pozycję Dodaj. Zapisz wartość wpisu tajnego do późniejszego użycia dla zatwierdzenia usługi GitHub.

    Uwaga

    Po opuszczeniu tej strony nie można ponownie pobrać wpisu tajnego.

  5. Pobierz identyfikator TenantID i Application(Client)ID na stronie Przegląd .

  6. Upewnij się, że wyłączysz aplikację za pośrednictwem ustawieniaWłaściwości>aplikacji> dla przedsiębiorstw usługi Azure Active Directory>włączone dla użytkowników, aby logowali się dopozycji Nie.

  7. Utwórz publiczne repozytorium GitHub, dodaj następującą konfigurację i zatwierdź zmianę.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. W ciągu około 8 godzin będzie można wyświetlić wykryte wycieki poświadczeń w obszarzeWykrywania tożsamości obciążenia wykrywania> ryzykazabezpieczeń> wusłudzeAzure Active Directory>, gdzie dodatkowe informacje będą zawierać adres URL zatwierdzenia usługi GitHub.

Testowanie zasad ryzyka

Ta sekcja zawiera kroki testowania użytkownika i zasad ryzyka logowania utworzonych w artykule How To: Configure and enable risk policies (Instrukcje: konfigurowanie i włączanie zasad ryzyka).

Zasady ryzyka związanego z użytkownikiem

Aby przetestować zasady zabezpieczeń ryzyka użytkownika, wykonaj następujące kroki:

  1. Przejdź do Azure Portal.
  2. Przejdź do obszaru Azure Active Directory Security Identity ProtectionOverview (Omówienieusługi Azure Active Directory>Security>Identity Protection>).
  3. Wybierz pozycję Konfiguruj zasady ryzyka użytkownika.
    1. W obszarze Przypisania
      1. Użytkownicy — wybierz pozycję Wszyscy użytkownicy lub Wybierz osoby i grupy w przypadku ograniczenia wdrożenia.
        1. Opcjonalnie możesz wykluczyć użytkowników z zasad.
      2. Warunki - Zaleceniem Microsoft ryzyka związanego z użytkownikiem jest ustawienie tej opcji na Wysoki.
    2. W obszarze Kontrolek
      1. Dostęp — zalecenie Microsoft to Zezwalaj na dostęp i Wymagaj zmiany hasła.
    3. Wymuszanie zasad - Wyłączone
    4. Zapisz — ta akcja spowoduje powrót do strony Przegląd .
  4. Podnieś poziom ryzyka związanego z użytkownikiem konta testowego, na przykład symulując jedną z wykryć ryzyka kilka razy.
  5. Poczekaj kilka minut, a następnie sprawdź, czy poziom ryzyka został podwyższony dla użytkownika. Jeśli nie, symuluj więcej wykryć ryzyka dla użytkownika.
  6. Wróć do zasad ryzyka i ustaw opcję Wymuszaj zasady na Włączone i Zapisz zmiany zasad.
  7. Teraz możesz przetestować dostęp warunkowy oparty na ryzyku użytkownika, logując się przy użyciu użytkownika z podwyższonym poziomem ryzyka.

Zasady zabezpieczeń ryzyka związanego z logowaniem

Aby przetestować zasady ryzyka logowania, wykonaj następujące kroki:

  1. Przejdź do Azure Portal.
  2. Przejdź do obszaru Azure Active Directory Security Identity ProtectionOverview (Omówienieusługi Azure Active Directory>Security>Identity Protection>).
  3. Wybierz pozycję Konfiguruj zasady ryzyka logowania.
    1. W obszarze Przypisania
      1. Użytkownicy — wybierz pozycję Wszyscy użytkownicy lub Wybierz osoby i grupy w przypadku ograniczenia wdrożenia.
        1. Opcjonalnie możesz wykluczyć użytkowników z zasad.
      2. Warunki - Zaleceniem Microsoft ryzyka logowania jest ustawienie tej opcji na Średni i powyżej.
    2. W obszarze Kontrolek
      1. Dostęp — zalecenie Microsoft to Zezwalanie na dostęp i Wymaganie uwierzytelniania wieloskładnikowego.
    3. Wymuszanie zasad - Na
    4. Zapisz — ta akcja spowoduje powrót do strony Przegląd .
  4. Teraz możesz przetestować dostęp warunkowy oparty na ryzyku logowania, logując się przy użyciu ryzykownej sesji (na przykład przy użyciu przeglądarki Tor).

Następne kroki