随着组织采用、构建和部署自治 AI 代理,监视和保护这些代理的需求变得至关重要。 Microsoft Entra ID 保护 通过自动检测和响应使用 Microsoft Entra 代理 ID 平台的代理上的基于身份的风险,从而帮助保护组织。
先决条件
角色
若要使用风险代理报告,您必须被分配以下管理员角色之一。
- 安全管理员
- 安全操作员
- 安全读取器
若要配置使用代理风险作为条件的策略,必须分配 条件访问管理员 角色。
许可
- 在预览版中,代理的 ID 保护包含在 Microsoft Entra P2 许可证中。
工作原理
由于代理可以自主运行,并且代表用户运行,因此他们可以显示唯一的登录行为。 代理可以主动采取行动,与敏感数据交互,并在大规模条件下操作。 Microsoft Entra ID 保护 为代理设计,旨在识别和缓解与这些功能相关的风险。 系统确定代理正常活动的基线,然后持续监视代理Microsoft Entra ID中的异常情况。 代理出现可疑行为后,ID 保护会标记活动并将其标记为有风险。
导致风险的活动
下表提供了可能导致代理被标记为存在风险的异常活动。 目前,风险代理的所有风险检测都处于脱机状态。
| 代理风险检测 | 检测类型 | Description | riskEventType |
|---|---|---|---|
| 不熟悉的资源访问 | 离线 | 代理访问了其平时不常访问的资源。 此检测可能意味着攻击者尝试访问超出代理预期目的的敏感资源。 | 不熟悉资源访问 |
| 登录峰值 | 离线 | 与通常的登录频率相比,代理的登录次数更高。 此峰值可以是攻击者使用自动化或工具包的指标。 | signInSpike |
| 访问尝试失败 | 离线 | 代理尝试访问未被授权的资源但失败了。 此检测可能表明攻击者正在尝试将代理的令牌重放到未经授权的资源上。 | 访问尝试失败 |
| 由有风险的用户登录 | 离线 | 代理在委派身份验证期间代表有风险的用户登录。 此检测意味着攻击者可能使用遭到入侵的用户凭据来利用代理。 | 风险用户登录 |
| 已确认已泄露 | 离线 | 管理员确认代理人被泄露了 | 管理员确认代理被破坏 |
| Microsoft Entra威胁情报 | 离线 | Microsoft标识的活动,该活动与基于其内部和外部威胁情报源的已知攻击模式一致。 | 威胁情报账户 |
查看有风险的代理报告
Risky Agents 报告提供已标记为存在风险行为的所有代理的列表。 ID 保护仪表板上会显示高风险代理的摘要。 此快照视图概述了按风险级别标记为风险的代理数。 选择 “查看有风险的代理 ”以打开完整报表。
还可以直接从 ID 保护导航菜单导航到 Risky Agents 报告。 筛选和排序以查找特定的代理、风险状态或风险级别。
显示 Risky 代理报告的屏幕截图。
可以直接从报表中对代理采取行动,包括以下:
- 确认泄露:在手动调查后选择,或自动检测确认帐户已泄露。 此步骤在事件响应中非常有用,以防止进一步损坏。 确认泄露会自动将风险级别设置为“高”,并在代理 的风险检测中创建事件。 此作触发基于风险的条件访问策略,这些策略配置为阻止对高代理风险的访问。
- 确认安全:在调查后将用户标记为安全,并通过将风险级别设置为“无”来清除该用户的任何活动风险状态。 当您想标记误报,并希望系统避免标记类似活动时,请使用此选项。
- 消除风险:告知系统,经过调查后,代理检测到的风险已不再相关,或者在某些情况下它是一个良性的真阳性,并且希望系统继续标记类似的活动。
- 停用:防止该代理在 Microsoft Entra 身份和其连接的应用上进行任何登录。
查看有风险的代理详细信息
在风险代理报告中,选择一个条目以查看完整详细信息,包括该代理的相应风险检测。 与所有 ID 保护风险报告一样,您可以直接从报告或详细信息视图中对代理采取措施。
风险代理详细信息 包括:
- 代理显示名称和 ID
- 风险状态和风险级别
- 代理类型和赞助商(如果指定)
还可以导航到 “风险检测 ”报告,然后选择“ 代理检测 ”选项卡,查看检测风险事件的完整列表,从过去 90 天起。
显示 Risky 代理详细信息的屏幕截图。
代理的基于风险的条件访问
可以使用 代理的条件访问 来设置风险策略,阻止有风险的代理访问资源或其他代理。 使用此 条件访问模板 来帮助管理员在其组织中部署此策略。
Microsoft Graph
还可以查询有风险的代理使用 Microsoft 图形 API。 ID 保护 API 中有两个新集合。
riskyAgentsagentRiskDetections