Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra ID Protection pode detectar, investigar e corrigir as identidades de carga de trabalho para proteger aplicativos e entidades de serviço, além das identidades do usuário.
Uma identidade de carga de trabalho é uma identidade que permite acesso de um aplicativo aos recursos, às vezes no contexto de um usuário. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais porque:
- Não podem executar a autenticação multifator.
- Não têm nenhum processo formal de ciclo de vida.
- Precisa armazenar suas credenciais ou segredos em algum lugar.
Essas diferenças dificultam o gerenciamento de identidades de carga de trabalho e as colocam em maior risco de comprometimento.
Importante
Detalhes completos de risco e controles de acesso baseados em risco estão disponíveis para clientes do Workload Identities Premium; no entanto, os clientes sem as licenças do Workload Identities Premium ainda recebem todas as detecções, embora com detalhes limitados nos relatórios.
Observação
A Proteção de ID detecta riscos em aplicativos de locatário único, SaaS de terceiros e aplicativos multilocatários. No momento, as Identidades Gerenciadas não estão no escopo.
Pré-requisitos
Para usar relatórios de risco de identidade de carga de trabalho, incluindo identidades de carga de trabalho arriscadas e a guia Detecções de identidade de carga de trabalho nas detecções de risco no centro de administração, você deve ter o seguinte.
Uma das seguintes funções de administrador atribuídas
Os usuários atribuídos à função Administrador de Acesso Condicional podem criar políticas que usam o risco como condição.
Para tomar medidas sobre identidades de carga de trabalho arriscadas, recomendamos a configuração de políticas de Acesso Condicional baseadas em risco, que exigem licenciamento premium de identidades de carga de trabalho : você pode exibir, iniciar uma avaliação e adquirir licenças nas Identidades de Carga de Trabalho.
Observação
Com o Microsoft Security Copilot, você pode usar prompts de linguagem natural para obter insights sobre identidades de carga de trabalho arriscadas. Saiba mais sobre como avaliar os riscos do aplicativo usando o Microsoft Security Copilot no Microsoft Entra.
Detecções de risco da identidade da carga de trabalho
Detectamos o risco em identidades de carga de trabalho em comportamento de entrada e indicadores offline de comprometimento.
| Nome da detecção | Tipo de detecção | Descrição | tipoDeEventoDeRisco |
|---|---|---|---|
| Inteligência contra ameaças do Microsoft Entra | Offline | A detecção de risco indica atividades consistentes com padrões de ataque conhecidos com base nas fontes de inteligência contra ameaças internas e externas da Microsoft. | investigaçõesInteligênciaDeAmeaças |
| Entradas suspeitas | Offline | Essa detecção de risco indica propriedades de entrada ou padrões incomuns para essa entidade de serviço. A detecção aprende o comportamento de entrada de linhas de base para identidades de carga de trabalho em seu locatário. Essa detecção leva entre 2 e 60 dias e é disparada se uma ou mais das seguintes propriedades desconhecidas aparecerem durante uma entrada posterior: endereço IP/ASN, recurso de destino, agente do usuário, alteração de IP de hospedagem/não hospedagem, país do IP, tipo de credencial. Devido à natureza programática das entradas de identidade da carga de trabalho, fornecemos um carimbo de data/hora para a atividade suspeita em vez de sinalizar um evento de entrada específico. As entradas iniciadas após uma alteração de configuração autorizada podem disparar essa detecção. | suspiciousSignins |
| Entidade de serviço comprometida, confirmada pelo administrador | Offline | Essa detecção indica que um administrador selecionou "Confirmar comprometida" na interface do usuário de Identidades de Carga de Trabalho Arriscadas ou usando a API riskyServicePrincipals. Para ver qual administrador confirmou que essa conta está comprometida, verifique o histórico de risco da conta (por meio da interface de usuário ou API). | administradorConfirmouComprometimentoDoPrincípioDeServiço |
| Credenciais vazadas | Offline | Essa detecção de risco indica que as credenciais válidas da conta foram vazadas. Esse vazamento pode ocorrer quando alguém verifica as credenciais no artefato de código público no GitHub ou quando as credenciais são vazadas por meio de uma violação de dados. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais do GitHub, da dark web, da colagem de sites ou de outras fontes, elas são comparadas com as credenciais válidas atuais no Microsoft Entra ID para encontrar correspondências válidas. | credenciais vazadas |
| Aplicativo malicioso | Offline | Essa detecção combina alertas do ID Protection e do Microsoft Defender para Aplicativos de Nuvem para indicar quando a Microsoft desabilita um aplicativo por violar nossos termos de serviço. Recomendamos realizar uma investigação do aplicativo. Observação: esses aplicativos mostram DisabledDueToViolationOfServicesAgreement na disabledByMicrosoftStatus propriedade nos tipos de recurso relacionados de aplicativo e serviço principal no Microsoft Graph. Para impedir que eles sejam instanciados em sua organização novamente no futuro, não exclua esses objetos. |
aplicativo malicioso |
| Aplicativo suspeito | Offline | Essa detecção indica que o ID Protection ou o Microsoft Defender para Aplicativos de Nuvem identificaram um aplicativo que pode estar violando nossos termos de serviço, mas não o desativaram. Recomendamos realizar uma investigação do aplicativo. | aplicativo suspeito |
| Atividade de entidade de serviço anômala | Offline | Essa detecção de risco define a linha de base do comportamento normal da entidade de serviço no Microsoft Entra ID e detecta padrões anômalos de comportamento, como alterações suspeitas no diretório. A detecção é disparada na entidade de serviço administrativo que estiver fazendo a alteração ou no objeto que foi alterado. | atividadeAnômalaDePrincipalDeServiço |
| Tráfego de API suspeito | Offline | Essa detecção de risco é relatada quando o tráfego anormal do GraphAPI ou a enumeração de diretório de uma entidade de serviço é observada. A detecção de tráfego suspeito de API pode indicar reconhecimento anormal ou exfiltração de dados por um principal de serviço. | tráfego suspeito de API |
Identificar identidades de carga de trabalho arriscadas
As organizações podem encontrar identidades de carga de trabalho sinalizadas para risco em um dos dois locais:
- Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
- Navegue até Proteção de Identidade>Identidades de carga de trabalho de risco.
APIs do Microsoft Graph
Você também pode consultar identidades de carga de trabalho arriscadas usando a API do Microsoft Graph. Há duas novas coleções nas APIs de Proteção de Identidade.
riskyServicePrincipalsservicePrincipalRiskDetections
Exportar dados de risco
As organizações podem exportar dados definindo as configurações de diagnóstico na ID do Microsoft Entra para enviar dados de risco para um workspace do Log Analytics, arquivar em uma conta de armazenamento, transmiti-los para um hub de eventos ou enviá-los para uma solução SIEM.
Impor controles de acesso com acesso condicional com base em risco
Usando o Acesso Condicional para identidades de carga de trabalho, você pode bloquear o acesso a contas específicas escolhidas quando a Proteção de ID as marca como "em risco". A política pode ser aplicada a entidades de serviço de locatário único registradas em seu locatário. SaaS não Microsoft, aplicativos multilocatários e identidades gerenciadas estão fora do escopo.
Para aprimorar a segurança e a resiliência das suas identidades de carga de trabalho, a CAE (Avaliação contínua de acesso) para identidades de carga de trabalho é uma ferramenta avançada que oferece a imposição instantânea das políticas de acesso condicional e qualquer sinal de risco detectado. As identidades de carga de trabalho não Microsoft habilitadas para CAE que acessam recursos de primeira parte compatíveis com CAE são equipadas com LLTs (Tokens de Vida Longa) de 24 horas que estão sujeitos a verificações de segurança contínuas. Para obter mais informações sobre como configurar clientes de identidade de trabalho para CAE e escopo atual das funcionalidades, consulte a documentação de identidades de trabalho para CAE.
Investigar identidades de carga de trabalho arriscadas
OID Protection fornece às organizações dois relatórios que elas podem usar para investigar os riscos de identidade da carga de trabalho. Esses relatórios são as identidades de carga de trabalho arriscadas e as detecções de risco para identidades de carga de trabalho. Todos os relatórios permitem o download de eventos no formato CSV para análise adicional.
Algumas das principais perguntas a serem respondidas durante sua investigação incluem:
- As contas exibem atividades de entrada suspeitas?
- Houve alterações não autorizadas nas credenciais?
- Houve alterações de configuração suspeitas nas contas?
- A conta adquiriu funções de aplicativo não autorizadas?
O guia de operações de segurança do Microsoft Entra para Aplicativos fornece diretrizes detalhadas sobre áreas de investigação.
Depois de determinar se a identidade da carga de trabalho foi comprometida, você deve descartar o risco da conta ou confirmar que a conta foi comprometida no relatório de identidades de carga de trabalho arriscadas. Você também pode selecionar "Desabilitar entidade de serviço" se quiser bloquear a conta de novas entradas.
Corrigir identidades de carga de trabalho arriscadas
- Inventarie todas as credenciais atribuídas à identidade de carga de trabalho arriscada, seja para o principal de serviço ou objetos de aplicação.
- Adicionar uma credencial. A Microsoft recomenda usar os certificados x509.
- Remova as credenciais comprometidas. Se você acredita que a conta está em risco, recomendamos remover todas as credenciais existentes.
- Gire quaisquer segredos do Azure KeyVault aos quais a Entidade de Serviço tem acesso para corrigi-los.
O Microsoft Entra Toolkit é um módulo do PowerShell que pode ajudá-lo a executar algumas dessas ações.