Dela via


Simulera riskidentifieringar i Microsoft Entra ID Protection

Administratörer kanske vill simulera risker i sin miljö för att utföra följande:

  • Fyll i data i Microsoft Entra ID Protection-miljön genom att simulera riskidentifieringar och sårbarheter.
  • Konfigurera riskbaserade principer för villkorsstyrd åtkomst och testa effekten av dessa principer.

Den här artikeln innehåller steg för att simulera följande typer av riskidentifiering:

  • Anonym IP-adress (enkelt)
  • Obekanta inloggningsegenskaper (måttlig)
  • Atypiska resor (svårt)
  • Läckta autentiseringsuppgifter i GitHub för arbetsbelastningsidentiteter (måttlig)

Andra riskidentifieringar kan inte simuleras på ett säkert sätt.

Mer information om varje riskidentifiering finns i artikeln Vad är risk för användar- och arbetsbelastningsidentitet.

Anonym IP-adress

För att slutföra följande procedur måste du använda:

  • Tor Browser för att simulera anonyma IP-adresser. Du kan behöva använda en virtuell dator om din organisation begränsar användningen av Tor-webbläsaren.
  • Ett testkonto som ännu inte har registrerats för Microsoft Entra multifaktorautentisering.

Utför följande steg för att simulera en inloggning från en anonym IP-adress:

  1. Med hjälp av Tor Browser navigerar du till https://myapps.microsoft.com.
  2. Ange autentiseringsuppgifterna för det konto som du vill ska visas i rapporten Inloggningar från anonyma IP-adresser .

Inloggningen visas i rapporten inom 10–15 minuter.

Okända inloggningsegenskaper

Om du vill simulera okända platser måste du använda en plats och en enhet som testkontot inte har använt tidigare.

Följande procedur använder en nyskapade:

  • VPN-anslutning för att simulera ny plats.
  • Virtuell dator för att simulera en ny enhet.

Om du slutför följande procedur måste du använda ett användarkonto som har:

  • Minst en 30-dagars inloggningshistorik.
  • Microsoft Entra multifaktorautentisering.

Utför följande steg för att simulera en inloggning från en okänd plats:

  1. Med ditt nya VPN navigerar du till och anger autentiseringsuppgifterna för https://myapps.microsoft.com ditt testkonto.
  2. När du loggar in med ditt testkonto misslyckas du med multifaktorautentiseringsutmaningen genom att inte klara MFA-utmaningen.

Inloggningen visas i rapporten inom 10–15 minuter.

Atypiska resor

Det är svårt att simulera det atypiska resetillståndet. Algoritmen använder maskininlärning för att eliminera falska positiva identifieringar, till exempel atypiska resor från välbekanta enheter eller inloggningar från VPN som används av andra användare i katalogen. Dessutom kräver algoritmen en inloggningshistorik på 14 dagar eller 10 inloggningar för användaren innan den börjar generera riskidentifieringar. På grund av de komplexa maskininlärningsmodellerna och ovanstående regler finns det en risk att följande steg inte utlöser en riskidentifiering. Du kanske vill replikera de här stegen för flera Microsoft Entra-konton för att simulera den här identifieringen.

Utför följande steg för att simulera en atypisk reseriskidentifiering:

  1. Använd standardwebbläsaren och gå till https://myapps.microsoft.com.
  2. Ange autentiseringsuppgifterna för det konto som du vill generera en atypisk reseriskidentifiering för.
  3. Ändra användaragenten. Du kan ändra användaragenten i Microsoft Edge från Developer Tools (F12).
  4. Ändra DIN IP-adress. Du kan ändra din IP-adress med hjälp av ett VPN, ett Tor-tillägg eller genom att skapa en ny virtuell dator i Azure i ett annat datacenter.
  5. Logga in på https://myapps.microsoft.com med samma autentiseringsuppgifter som tidigare och inom några minuter efter den tidigare inloggningen.

Inloggningen visas i rapporten inom 2–4 timmar.

Läckta autentiseringsuppgifter för arbetsbelastningsidentiteter

Den här riskidentifieringen anger att programmets giltiga autentiseringsuppgifter har läckt ut. Den här läckan kan inträffa när någon checkar in autentiseringsuppgifterna i en offentlig kodartefakt på GitHub. För att simulera den här identifieringen behöver du därför ett GitHub-konto och kan registrera ett GitHub-konto om du inte redan har ett.

Simulera läckta autentiseringsuppgifter i GitHub för arbetsbelastningsidentiteter

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar.

  3. Välj Ny registrering för att registrera ett nytt program eller återanvända ett befintligt inaktuellt program.

  4. Välj Certifikat och hemligheter>Ny klienthemlighet, lägg till en beskrivning av din klienthemlighet och ange en förfallotid för hemligheten eller ange en anpassad livslängd och välj Lägg till. Registrera hemlighetens värde för senare användning för github-incheckningen.

    Not

    Du kan inte hämta hemligheten igen när du har lämnat den här sidan.

  5. Hämta TenantID och Application(Client)ID på översiktssidan.

  6. Se till att du inaktiverar programmet via Identity>Applications>Enterprise Application>Properties> Set Aktiverat för användare att logga in på Nej.

  7. Skapa en offentlig GitHub-lagringsplats, lägg till följande konfiguration och checka in ändringen som en fil med tillägget .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. Om cirka 8 timmar kan du visa en läckad identifiering av autentiseringsuppgifter under Identifiering av riskidentifiering>av skyddsidentitet för identitet för identitet i skyddsidentitet i skyddsidentitet>>där annan information innehåller URL:en för din GitHub-incheckning.

Testa riskprinciper

Det här avsnittet innehåller steg för att testa användaren och inloggningsriskprinciperna som skapats i artikeln Så här: Konfigurera och aktivera riskprinciper.

Princip för användarrisk

Utför följande steg för att testa en säkerhetsprincip för användarrisker:

  1. Konfigurera en användarriskprincip som riktar sig till de användare som du planerar att testa med.
  2. Öka användarrisken för ett testkonto genom att till exempel simulera en av riskidentifieringarna några gånger.
  3. Vänta några minuter och kontrollera sedan att risken har ökat för användaren. Annars simulerar du fler riskidentifieringar för användaren.
  4. Gå tillbaka till din riskprincip och ange Framtvinga princip till och Spara principändringen.
  5. Nu kan du testa användarriskbaserad villkorlig åtkomst genom att logga in med en användare med en förhöjd risknivå.

Säkerhetsprincip för inloggningsrisk

Utför följande steg för att testa en inloggningsriskprincip:

  1. Konfigurera en inloggningsriskprincip som riktar sig till de användare som du planerar att testa med.
  2. Du kan nu testa inloggningsriskbaserad villkorlig åtkomst genom att logga in med en riskfylld session (till exempel med hjälp av Tor-webbläsaren).

Nästa steg