Compartilhar via

Avaliar os riscos do aplicativo usando o Microsoft Security Copilot no Microsoft Entra

O Microsoft Security Copilot obtém insights de seus dados do Microsoft Entra por meio de muitas habilidades diferentes, como investigar riscos de identidade com a Proteção de ID do Microsoft Entra e explorar os detalhes do log de auditoria do Microsoft Entra. As habilidades de risco do aplicativo permitem que administradores de identidade e analistas de segurança que gerenciam aplicativos ou identidades de carga de trabalho no Microsoft Entra identifiquem e entendam os riscos por meio de prompts de linguagem natural. Usando prompts como "Listar detalhes de aplicativos de risco para meu inquilino", o analista obtém uma visão melhor do risco das identidades dos aplicativos e pode descobrir outros detalhes dos aplicativos no Microsoft Entra. Os detalhes podem incluir permissões concedidas (especialmente permissões com privilégios elevados), aplicativos não utilizados em seu locatário e aplicativos de fora de seu locatário.

O Security Copilot então usa o contexto do prompt para responder, como com uma lista de aplicativos ou permissões e exibe links para o Centro de Administração do Microsoft Entra para que os administradores possam ver uma lista completa e adotar as ações corretivas apropriadas para seus aplicativos arriscados. Os administradores de TI e analistas do SOC (Centro de Operações de Segurança) podem usar essas habilidades e outras pessoas para obter o contexto certo para ajudar a investigar e corrigir incidentes baseados em identidade usando prompts de linguagem natural.

Este artigo descreve como um analista do SOC ou administrador de TI pode usar as habilidades do Microsoft Entra para investigar um possível incidente de segurança.

Observação

Esses atributos de risco de aplicativo fornecem dados sobre aplicativos de instância única, SaaS de terceiros e aplicativos multilocatários que são aplicativos ou principais de serviço no Microsoft Entra. No momento, as identidades gerenciadas não estão no escopo.

Pré-requisitos

Cenário e investigação

Jason, um administrador de TI do Woodgrove Bank, está tentando proativamente identificar e entender quaisquer aplicativos arriscados em seu locatário. Ele inicia sua avaliação e entra no Microsoft Security Copilot ou no Centro de administração do Microsoft Entra. Para visualizar os detalhes do aplicativo e da entidade de serviço, ele deve entrar pelo menos como um Leitor de Segurança e ter uma atribuição de função do Microsoft Entra como Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou outra função de administrador semelhante no Microsoft Entra que tenha permissões para gerenciar identidades de aplicativo/carga de trabalho no Microsoft Entra. Ele pode usar o Microsoft Security Copilot para ativar essa função se ele estiver bloqueado devido à falta de permissões para executar determinadas ações:

  • Ative a {função necessária} para que eu possa executar {tarefa desejada}.

Os administradores de identidade que usam o Security Copilot como parte do centro de administração do Microsoft Entra podem escolher entre um conjunto de prompts de inicialização de risco do aplicativo que aparecem na parte superior da janela do Security Copilot. Selecione entre os prompts sugeridos que podem aparecer após uma resposta. Os alertas de início de risco do aplicativo aparecerão nas folhas do centro de administração relacionadas ao aplicativo: Aplicativos Empresariais, Registros de Aplicativos e Identidades de Carga de Trabalho de Risco da Proteção de Identidade.

Captura de tela que mostra os prompts initores no Security Copilot.

Explorar entidades de serviço arriscadas do Microsoft Entra

Jason inicia suas investigações fazendo perguntas em linguagem natural para ter uma visão melhor dos "pontos quentes" de risco. Isso usa dados de Identidade de carga de trabalho arriscada da Proteção de ID como um filtro inicial na escala de aplicativos no locatário com base nas detecções da Microsoft. Essas entidades de serviço têm um risco elevado de comprometimento.

Ele usa qualquer uma das seguintes solicitações para obter as informações de que precisa:

  • Mostre-me aplicativos arriscados.
  • Algum aplicativo corre o risco de ser mal-intencionado ou comprometido?
  • Listar 5 aplicativos com Alto Nível de Risco. Formatar a tabela da seguinte maneira: Nome de Exibição | ID | Estado de risco
  • Liste os aplicativos com o Estado de Risco "Comprometimento confirmado".
  • Mostre-me os detalhes do aplicativo arriscado com iD {ServicePrincipalObjectId} (ou ID do aplicativo {ApplicationId})

Importante

Você deve usar uma conta autorizada para administrar a Proteção de ID relacionada a essa habilidade, a fim de retornar informações de risco. Seu locatário também deve ter licença para Identidades de Carga de Trabalho Premium.

Explorar entidades de serviço do Microsoft Entra

Para obter mais informações sobre essas entidades de serviço identificadas como arriscadas, Jason pede mais informações do Microsoft Entra, incluindo informações como o proprietário.

Ele usa as seguintes solicitações para obter as informações de que precisa:

  • Fale-me mais sobre essas entidades de serviço (da resposta anterior).
  • Me forneça detalhes sobre o princípio de serviço com {DisplayName} (ou {ServicePrincipalId}).
  • Me dê uma lista de proprietários desses aplicativos?

Explorar aplicativos do Microsoft Entra

Jason também quer entender mais sobre os aplicativos em nível global, como informações sobre o publicador e o status de sua verificação.

Jason usa os seguintes prompts para recuperar as propriedades do aplicativo selecionadas:

  • Fale-me mais sobre o aplicativo {DisplayName} ou {AppId}.
  • Fale-me mais sobre esses aplicativos (da resposta anterior).

Exibir as permissões concedidas em uma entidade de serviço do Microsoft Entra

Jason continua sua avaliação e quer saber quais permissões foram concedidas a todos ou a um dos aplicativos para avaliar o impacto potencial caso sejam comprometidos. Normalmente, isso é difícil de avaliar em alguns dos diferentes tipos de permissões e funções de administrador, mas o Copilot simplifica-o em uma lista no contexto da investigação. Essa habilidade recupera permissões delegadas, permissões de aplicativo e funções de administrador do Microsoft Entra para uma entidade de serviço específica do Microsoft Entra.

Jason também pode identificar permissões de privilégios elevados concedidas a um principal de serviço, com base na avaliação de risco da Microsoft. Atualmente, essas permissões abrangem as permissões de aplicativos que geralmente permitem o acesso a todo o locatário sem um contexto de usuário, além de funções de administrador altamente privilegiadas no Microsoft Entra.

Importante

Atualmente, essa habilidade examina apenas as permissões de API e as funções de administrador do Microsoft Entra. No momento, ele não analisa as permissões de não diretório concedidas em locais como o RBAC do Azure ou outros sistemas de autorização. As permissões com privilégios elevados são limitadas a uma lista estática de manutenção da Microsoft que pode evoluir ao longo do tempo e não é atualmente acessível ou personalizável pelos clientes.

Ele usa as seguintes solicitações para obter as informações de permissões de que precisa:

  • Quais permissões são concedidas ao aplicativo com ID {ServicePrincipalId} ou ID do aplicativo {AppId}?
  • Quais permissões os aplicativos arriscados acima têm (da resposta anterior)?
  • Quais permissões concedidas a este aplicativo são altamente privilegiadas?

Explorar aplicativos não utilizados do Microsoft Entra

Jason percebe que tem outra oportunidade de "oportunidade fácil": reduzir o risco ao remover aplicativos não utilizados. Estas são vitórias rápidas porque:

  1. A remoção de um aplicativo não utilizado resolve muitos outros riscos com uma única ação de correção.
  2. Você pode frequentemente abordar de forma agressiva os aplicativos não utilizados por meio de uma ação centralizada, mantendo o risco de interrupção ou distúrbio nos negócios baixo, uma vez que os usuários realmente não utilizam os aplicativos.

Usando os prompts do Copilot integrados à recomendação existente do Microsoft Entra para aplicativos não utilizados, Jason extrai os dados pertinentes para investigar mais a fundo ou trabalhar com sua equipe para melhorar sua postura de segurança do tenant. A resposta inclui links para aplicativos específicos para facilitar a correção. O analista também pode perguntar sobre os detalhes de um aplicativo específico diretamente no Security Copilot.

Observação

A resposta do Copilot retorna uma lista de registros de aplicativos ou aplicativos que não foram usados nos últimos 90 dias e para os quais nenhum token foi emitido nesse período.

Ele usa as seguintes solicitações para obter as informações de que precisa:

  • Mostre-me aplicativos não utilizados.
  • Quantos aplicativos não utilizados eu tenho?

Explorar aplicativos ou entidades de serviço do Microsoft Entra com credenciais expiradas

Jason vê outra oportunidade de renovar as credenciais de um aplicativo antes da data de expiração para manter operações ininterruptas e minimizar o risco de qualquer tempo de inatividade resultante de credenciais desatualizadas. As credenciais de entidade de serviço e aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados no aplicativo ou na entidade de serviço. Essas credenciais são usadas para provar a identidade do aplicativo ou da entidade de serviço.

Usando os prompts do Copilot integrados à recomendação existente do Microsoft Entra para renovar as credenciais de aplicativo que estão expirando e a recomendação do Microsoft Entra para renovar as credenciais do principal de serviço que estão expirando, Jason extrai os dados relevantes para reduzir o risco de interrupção devido a credenciais expirando e atualizá-las ou rotacioná-las conforme necessário. A resposta inclui links para aplicativos específicos para facilitar a correção. O analista também pode perguntar sobre os detalhes de um aplicativo específico diretamente no Security Copilot.

Observação

A resposta do Copilot retorna uma lista de aplicativos ou principais de serviço que têm credenciais neles expirando nos próximos 30 dias. As seguintes credenciais são isentas dessa recomendação:

  • Credenciais que foram identificadas como estando para expirar, mas que desde então foram removidas do registro do aplicativo.
  • As credenciais cuja data de validade expirou são mostradas como concluídas na lista de recursos afetados.

Ele usa as seguintes solicitações para obter as informações de que precisa:

  • Quais aplicativos empresariais têm credenciais prestes a expirar?
  • Mostre-me principais de serviço com credenciais que expirarão em breve.
  • Mostre-me aplicativos com credenciais que estão expirando em breve.

Explorar aplicativos do Microsoft Entra fora do meu locatário

Jason também gostaria de analisar o fator de risco de aplicativos de terceiros ou aplicativos multilocatários que têm uma presença em seu locatário e estão registrados no locatário de outra organização. Como a postura de segurança desses aplicativos é afetada pela postura do locatário proprietário, é especialmente importante revisá-los para identificar riscos e oportunidades de redução da área de superfície. O Copilot pode retornar uma lista de principais de serviço dentro do locatário atual, com um registro de aplicativo multilocatário fora do locatário do usuário, ou fornecer detalhes sobre se um determinado principal de serviço está registrado fora do locatário.

Ele usa as seguintes solicitações para obter as informações de que precisa:

  • Mostre-me aplicativos fora do meu locatário.
  • Quantos aplicativos são de fora do meu locatário?

Corrigir

Usando o Security Copilot, Jason consegue coletar informações de risco abrangentes e informações básicas sobre os aplicativos e entidades de serviço em seu locatário do Microsoft Entra. Depois que Jason conclui sua avaliação, ele toma medidas para corrigir os aplicativos arriscados. O Copilot de Segurança apresenta links para o Centro de administração do Microsoft Entra em respostas para que os administradores executem as ações de correção apropriadas.

Ele lê sobre gerenciamento de acesso e segurança para aplicativos, identidades de carga de trabalho de segurança, proteção contra phishing de consentimento e guias estratégicos de resposta para determinar possíveis ações a serem adotadas em seguida.

Conteúdo relacionado

Saiba mais sobre:

  • Last updated on