Поделиться через

Имитация обнаружения рисков в защите идентификаторов Microsoft Entra

Администраторы могут имитировать обнаружения рисков в Службе защиты идентификаторов Microsoft Entra для заполнения данных и тестирования политик условного доступа на основе рисков.

В этой статье поэтапно описано моделирование следующих типов обнаружения рисков:

  • Анонимный IP-адрес (легко)
  • Необычные свойства входа (средняя сложность)
  • Необычное перемещение (сложно)
  • Утечка учетных данных в GitHub для рабочих удостоверений (умеренная)

Другие типы обнаружения рисков нельзя моделировать без угрозы для безопасности.

Дополнительные сведения о каждом обнаружении рисков см. в статьях "Что такое риск для идентификации пользователей и рабочей нагрузки".

Имитация анонимного IP-адреса

Для выполнения следующей процедуры необходимо использовать:

  • Браузер Tor для имитации анонимных IP-адресов. Если в вашей организации запрещено использование Tor Browser, может потребоваться воспользоваться виртуальной машиной.
  • Тестовая учетная запись, которая еще не зарегистрирована для многофакторной проверки подлинности Microsoft Entra.

Чтобы имитировать вход из анонимного IP-адреса, выполните следующие действия.

  1. С помощью браузера Tor перейдите в https://myapps.microsoft.comраздел .
  2. Введите учетные данные учетной записи, которую вы хотите видеть в отчете о входах с анонимных IP-адресов.

Вход отображается в отчете в течение 10 – 15 минут.

Имитация незнакомых свойств Sign-In

Чтобы имитировать незнакомые локации, необходимо использовать место и устройство, которые ваша тестовая учетная запись не использовала раньше.

Следующая процедура использует только что созданное:

  • VPN-подключение для имитации нового расположения
  • Виртуальная машина для имитации нового устройства

Для выполнения следующей процедуры требуется использовать учетную запись пользователя, которая имеет по крайней мере 30 дней журнала входа и удобные многофакторные методы проверки подлинности.

Чтобы имитировать вход из незнакомого расположения, выполните следующие действия.

  1. С помощью нового подключения VPN перейдите по адресу https://myapps.microsoft.com и введите учетные данные тестовой учетной записи.
  2. При входе с тестовой учетной записью не пройдите проверку многофакторной аутентификации, оставив вызов без ответа.

Вход отображается в отчете в течение 10 – 15 минут.

Имитация нетипичного путешествия

Имитация нетипичных условий путешествия трудна. Алгоритм использует машинное обучение для отсеивания ложных срабатываний, таких как нетипичные поездки с знакомых устройств, или входы через VPN, которые используются другими пользователями в системе. Кроме того, алгоритму требуется история входа пользователя за 14 дней или 10 входов, прежде чем он начнет создавать обнаружения рисков. Из-за сложных моделей машинного обучения и выше правил существует вероятность того, что следующие шаги не будут вызывать обнаружение рисков. Для имитации этого обнаружения может потребоваться выполнить репликацию нескольких учетных записей Microsoft Entra.

Чтобы имитировать нетипическое обнаружение рисков путешествия, выполните следующие действия.

  1. В стандартном браузере перейдите по адресу https://myapps.microsoft.com.
  2. Введите учетные данные аккаунта, для которого вы хотите сгенерировать нетипичное обнаружение риска в поездке.
  3. Измените агент пользователя. Чтобы изменить агент пользователя в Microsoft Edge, можно использовать Средства для разработчиков (F12).
  4. Измените свой IP-адрес. Чтобы его изменить, можно использовать VPN, надстройку Tor или создать новую виртуальную машину в Azure в другом центре обработки данных.
  5. Перейдите по адресу https://myapps.microsoft.com, введите те же учетные данные, что и при предыдущем входе, а затем, через несколько минут после последнего входа войдите в учетную запись.

Вход отображается в отчете в течение 2–4 часов.

Утечка учетных данных идентификаторов рабочих нагрузок

Это обнаружение рисков указывает на утечку допустимых учетных данных приложения. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub. Таким образом, чтобы смоделировать это обнаружение, вам нужна учетная запись GitHub и, если у вас еще нет, вы можете зарегистрироваться.

Симулирование утечки учетных данных в GitHub для идентичностей рабочих процессов

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к Entra ID>регистрации приложений.

  3. Выберите новую регистрацию , чтобы зарегистрировать новое приложение или повторно использовать существующее устаревшее приложение.

  4. Выберите "Сертификаты и секреты>нового секрета клиента ", добавьте описание секрета клиента и задайте срок действия секрета или укажите настраиваемое время существования и нажмите кнопку "Добавить". Запишите секретное значение для последующего использования при коммите в GitHub.

    Примечание.

    Вы не можете снова получить секрет после выхода из этой страницы.

  5. Получите идентификатор TenantID и Application(Client) на странице Обзора.

  6. Убедитесь, что приложение отключается с помощью наборасвойств>приложений>Entra ID> Enterprise, чтобы пользователи могли войти вNo.

  7. Создайте общедоступный репозиторий GitHub, добавьте следующую конфигурацию и зафиксируйте изменение в виде файла с расширением .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. Около 8 часов вы сможете просмотреть обнаружение утечки учетных данных в разделе Защита ID>Панель мониторинга>Обнаружение рисков>Обнаружение рабочих нагрузок, где в другой информации содержится URL-адрес вашего коммита на GitHub.

Тестирование политик рисков

В этом разделе описаны действия по тестированию пользователя и политик риска входа, созданных в статье "Практическое руководство. Настройка и включение политик риска".

Политика риска пользователя

Чтобы проверить политику безопасности в отношении риска для пользователя, выполните следующие действия :

  1. Настройте политику риска пользователей , предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Повысьте уровень риска пользователя тестовой учетной записи. Для этого смоделируйте несколько раз одно из событий обнаружения риска.
  3. Подождите несколько минут и убедитесь, что уровень риска пользователя повысился. Если нет, смоделируйте больше выявлений рисков для пользователя.
  4. Вернитесь к вашей политике риска и установите Применить политику в положение Вкл и Сохраните изменение политики.
  5. Теперь можно протестировать условный доступ на основе рисков пользователя. Для этого войдите в учетную запись, используя данные пользователя, чей уровень риска вы повысили.

Политика безопасности риска входа в систему

Чтобы проверить политику в отношении риска входа:

  1. Настройте политику риска входа , предназначенную для пользователей, с которыми вы планируете протестировать.
  2. Теперь вы можете протестировать условный доступ на основе рисков при входе, войдя в систему с помощью сеанса, представляющего риск (например, используя браузер Tor).

Связанное содержимое