Поделиться через


Защита удостоверений рабочей нагрузки

Защита идентификации Microsoft Entra могут обнаруживать, исследовать и исправлять удостоверения рабочей нагрузки для защиты приложений и субъектов-служб в дополнение к удостоверениям пользователей.

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Такие удостоверения рабочей нагрузки отличаются от традиционных учетных записей пользователей, так как:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление удостоверениями рабочей нагрузки и повышают риск их компрометации.

Внимание

Обнаружения видны только клиентам рабочей нагрузки Premium . Клиенты без удостоверений рабочей нагрузки Premium по-прежнему получают все обнаружения, но отчеты о деталях ограничены.

Примечание.

Защита идентификаторов обнаруживает риск для отдельных клиентов, сторонних приложений SaaS и мультитенантных приложений. Управляемые удостоверения в настоящее время не находятся в области.

Необходимые компоненты

Чтобы использовать риск идентификации рабочей нагрузки, включая новую колонку "Удостоверения рабочей нагрузки рисков" и вкладку "Обнаружение удостоверений рабочей нагрузки" в колонке "Обнаружения рисков" на портале, необходимо иметь следующее.

  • Лицензирование удостоверений рабочей нагрузки Premium: вы можете просматривать и получать лицензии в колонке удостоверений рабочей нагрузки.
  • Одна из следующих ролей администратора, назначенных
    • Администратор безопасности
    • Оператор безопасности
    • Пользователи средства чтения безопасности, назначенные роли администратора условного доступа, могут создавать политики, использующие риск в качестве условия.

Обнаружение рисков идентификации рабочей нагрузки

Мы обнаруживаем риск в удостоверениях рабочей нагрузки в отношении поведения входа и автономных индикаторов компрометации.

Имя обнаружения Тип обнаружения Description
Аналитика угроз Microsoft Entra Offline Это обнаружение риска указывает на некоторые действия, соответствующие известным шаблонам атак на основе внутренних и внешних источников аналитики угроз в Майкрософт.
Подозрительные входы Offline Это обнаружение риска указывает на свойства или шаблоны входа, необычные для данного субъекта-службы.

Обнаружение узнает о базовом поведении входа в систему для удостоверений рабочей нагрузки в клиенте. Это обнаружение занимает от 2 до 60 дней и возникает, если во время последующего входа отображается одно или несколько неизвестных свойств: IP-адрес / ASN, целевой ресурс, агент пользователя, изменение IP-адреса или не размещенного IP-адреса, страна IP, тип учетных данных.

Из-за программного характера событий входа в удостоверения рабочей нагрузки мы вводим отметку времени для подозрительных действий, а не отмечаем конкретное событие входа.

Вход, инициируемый после изменения авторизованной конфигурации, может активировать это обнаружение.
Администратор подтвердил компрометацию субъекта-службы Offline Это обнаружение указывает, что администратор выбрал параметр "Подтвердить скомпрометирован" в пользовательском интерфейсе удостоверений рабочей нагрузки рисков или с помощью API riskyServicePrincipals. Чтобы узнать, какой администратор подтвердил скомпрометированную учетную запись, проверьте журнал рисков учетной записи (с помощью пользовательского интерфейса или API).
Утечка учетных данных Offline Это обнаружение рисков указывает на утечку допустимых учетных данных учетной записи. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub или когда учетные данные становятся известны в результате утечки данных.

Когда служба утечки учетных данных Майкрософт получает учетные данные из GitHub, темного веб-сайта, вставки сайтов или других источников, они проверяются на наличие текущих допустимых учетных данных в идентификаторе Microsoft Entra, чтобы найти допустимые совпадения.
Вредоносное приложение Offline Это обнаружение объединяет оповещения от защиты идентификаторов и Microsoft Defender для облака приложения, чтобы указать, когда корпорация Майкрософт отключает приложение для нарушения условий обслуживания. Рекомендуется изучить приложение. Примечание. Эти приложения отображаются DisabledDueToViolationOfServicesAgreement в свойстве disabledByMicrosoftStatus связанных типов ресурсов приложения и субъекта-службы в Microsoft Graph. Чтобы предотвратить создание экземпляров в организации в будущем, вы не сможете удалить эти объекты.
Подозрительное приложение Offline Это обнаружение означает, что защита идентификаторов или Microsoft Defender для облака приложения определили приложение, которое может нарушать условия обслуживания, но не отключило его. Рекомендуется изучить приложение.
Аномальное действие субъекта-службы Offline Эта схема обнаружения рисков обычно использует поведение субъекта-службы администрирования в идентификаторе Microsoft Entra ID и обнаруживает аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение активируется для субъекта-службы администрирования, внося изменения или измененный объект.

Идентификация рискованных удостоверений рабочей нагрузки

Организации могут найти удостоверения рабочей нагрузки, помеченные для риска в одном из двух расположений:

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к удостоверениям рабочей нагрузки защиты удостоверений защиты>>идентификации.

Снимок экрана, показывающий риски, обнаруженные в отношении удостоверений рабочих нагрузок в отчете.

API-интерфейсы Microsoft Graph

Рискованные удостоверения рабочей нагрузки также можно запрашивать с помощью API Microsoft Graph. В API защиты идентификаторов есть две новые коллекции.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Экспорт данных о рисках

Организации могут экспортировать данные, настроив параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные риска в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать их в концентратор событий или отправлять их в решение SIEM.

Принудительное применение элементов управления доступом с помощью условного доступа на основе рисков

С помощью условного доступа для удостоверений рабочей нагрузки можно заблокировать доступ для определенных учетных записей, которые вы выбираете, когда защита идентификаторов помечает их как "под угрозой". Политику можно применить к субъектам-службам с одним клиентом, зарегистрированным в клиенте. На сторонние приложения SaaS, приложения с несколькими клиентами и управляемые удостоверения политика не распространяется.

Для повышения безопасности и устойчивости удостоверений рабочей нагрузки для удостоверений непрерывного доступа (CAE) для удостоверений рабочей нагрузки — это мощный инструмент, который обеспечивает мгновенное применение политик условного доступа и любые обнаруженные сигналы риска. Удостоверения сторонних рабочих нагрузок с поддержкой CAE, обращающиеся к сторонним ресурсам, оснащены 24 часами маркеров длительной жизни (LLT), которые подвергаются непрерывным проверкам безопасности. Сведения о настройке клиентов удостоверений рабочей нагрузки для ЦС и актуальной области функций см. в документации по ЦС ЦС для удостоверений рабочей нагрузки.

Изучение рискованных удостоверений рабочей нагрузки

Защита идентификаторов предоставляет организациям два отчета, которые они могут использовать для изучения риска идентификации рабочей нагрузки. Эти отчеты представляют собой рискованные удостоверения рабочей нагрузки и обнаружения рисков для таких удостоверений. Все отчеты позволяют загружать события в . Формат CSV для дальнейшего анализа.

Ниже приведены некоторые ключевые вопросы, на которые следует ответить на этапе изучения.

  • Показывают ли учетные записи подозрительные действия входа?
  • Выполнялись ли несанкционированные изменения учетных данных?
  • Выполнялись ли подозрительные изменения конфигурации в учетных записях?
  • Получила ли учетная запись неавторизованные роли приложения?

Руководство по операциям безопасности Microsoft Entra для приложений содержит подробные рекомендации по указанным выше областям исследования.

После того как вы определите, скомпрометировано ли удостоверение рабочей нагрузки, опустите риск учетной записи или подтвердите, что учетная запись скомпрометирована в отчете о удостоверениях рабочей нагрузки рискованно. Вы также можете выбрать "Отключить субъект-службу", если вы хотите заблокировать учетную запись от дальнейших входов.

Подтвердите компрометацию удостоверений рабочей нагрузки или опустите риск.

Исправление рискованных удостоверений рабочей нагрузки

  1. Учетные данные инвентаризации, назначенные рискованному удостоверению рабочей нагрузки, либо для субъекта-службы, либо для объектов приложения.
  2. Добавьте новые учетные данные. Корпорация Майкрософт рекомендует использовать сертификаты x509.
  3. Удалите скомпрометированные учетные данные. Если вы считаете, что учетная запись находится в группе риска, рекомендуется удалить все существующие учетные данные.
  4. Исправьте все секреты Azure KeyVault, к которым субъект-служба имеет доступ, путем их смены.

Microsoft Entra Toolkit — это модуль PowerShell, который поможет вам выполнить некоторые из этих действий.

Следующие шаги