保护工作负载标识

除用户标识外,Microsoft Entra ID 保护还可以检测、调查和修正工作负载标识,以保护应用程序和服务主体。

工作负载标识是允许应用程序访问资源(有时在用户上下文中)的标识。 这些工作负载标识与传统用户帐户的不同之处在于:

  • 无法执行多重身份验证。
  • 通常没有正式的生命周期过程。
  • 需要将其凭据或机密存储在某处。

这些差异使得工作负载标识更难管理,并使它们面临更高的泄露风险。

重要

工作负载标识高级版客户可以使用完整的风险详细信息和基于风险的访问控制;但是,没有工作负载标识高级版许可证的客户仍会收到具有有限报告详细信息的所有检测。

注意

ID 保护可检测单租户、第三方 SaaS 和多租户应用的风险。 托管标识目前不在范围内。

先决条件

若要利用工作负载标识风险报告,包括新的“风险工作负载标识”边栏选项卡和门户中“风险检测”边栏选项卡中的“工作负载标识检测”选项卡,必须具有以下条件

  • 分配了以下管理员角色之一
    • 安全管理员
    • 安全操作员
    • 分配有条件访问管理员角色的安全信息读取者用户可以创建将风险用作条件的策略。

若要对有风险的工作负载标识采取措施,我们建议设置基于风险的条件访问策略,这确实需要工作负载标识高级版许可:可以在“工作负载标识”边栏选项卡上查看、开始试用和获取许可证。

工作负载标识风险检测

我们通过登录行为和脱机入侵指标检查工作负载标识的风险。

检测名称 检测类型 说明 riskEventType
Microsoft Entra 威胁情报 脱机 此风险检测指示某项活动与基于 Microsoft 内部和外部威胁情报来源的已知攻击模式一致。 investigationsThreatIntelligence
可疑登录 Offline 此风险检测指示此服务主体不常见的登录属性或模式。

检测将了解租户中工作负载标识的基线登录行为。 此检测需要 2 到 60 天,如果以下一个或多个不熟悉的属性在以后登录期间出现,则触发该行为:IP 地址/ASN、目标资源、用户代理、托管/非托管 IP 更改、IP 国家/地区、凭据类型。

由于工作负载标识登录的编程性质,我们提供了可疑活动的时间戳,而不是标记特定的登录事件。

在授权配置更改后启动的登录可能会触发此检测。
suspiciousSignins
管理员已确认服务主体被盗用 脱机 此检测指示管理员在风险工作负载标识 UI 中或使用 riskyServicePrincipals API 选择了“确认被盗用”。 若要查看哪位管理员确认了此帐户被盗用,请(通过 UI 或 API)检查帐户的风险历史记录。 adminConfirmedServicePrincipalCompromised
凭据泄漏 Offline 此风险检测指示帐户的有效凭据已泄露。 如果有人在 GitHub 上的公共代码项目中签入凭据,或者由于数据泄露而泄露了凭据,则可能会发生此泄露。

当 Microsoft 凭据泄露服务从 GitHub、暗网、粘贴网站或其他来源获取凭据时,会根据 Microsoft Entra ID 中的当前有效凭据对其进行检查,找到有效的匹配项。
leakedCredentials
恶意应用程序 Offline 此检测将来自 ID 保护和 Microsoft Defender for Cloud Apps 的警报组合在一起,以指示 Microsoft 禁用违反服务条款的应用程序的时间。 我们建议对应用程序进行调查。 注意:这些应用程序在 Microsoft Graph 中的相关应用程序服务主体资源类型上的 disabledByMicrosoftStatus 属性上显示 DisabledDueToViolationOfServicesAgreement。 若要防止将来在组织中再次实例化这些对象,不能删除这些对象。 maliciousApplication
可疑应用程序 Offline 此检测指示 ID 保护或 Microsoft Defender for Cloud Apps 已识别出可能违反我们的服务条款的应用程序,但尚未禁用它。 我们建议对应用程序进行调查 suspiciousApplication
异常服务主体活动 脱机 此风险检测以 Microsoft Entra ID 中的正常管理服务主体行为为基准,并发现异常行为模式(例如对目录的可疑更改)。 针对进行更改的管理服务主体或已更改的对象触发检测。 anomalousServicePrincipalActivity
可疑 API 流量 脱机 当观察到异常的 GraphAPI 流量或服务主体目录枚举时,会报告此风险检测。 可疑 API 流量检测可能指示服务主体异常侦查或数据外泄。 suspiciousAPITraffic

识别风险工作负载标识

组织可以在两个位置之一找到标记为风险的工作负载标识:

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“标识保护”>“存在风险的工作负载标识”。

屏幕截图显示根据报表中的工作负载标识检测到的风险。

Microsoft 图形 API

还可以使用 Microsoft Graph API 查询风险工作负载标识。 ID 保护 API 中有两个新集合。

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

导出风险数据

组织可以通过配置 Microsoft Entra ID 中的诊断设置来导出数据,以将风险数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心,或者将数据发送到 SIEM 解决方案。

使用基于风险的条件访问强制实施访问控制

为工作负载标识使用条件访问,可以在 ID 保护将你选择的特定帐户标记为“有风险”时阻止对这些帐户的访问。策略可应用于在租户中注册的单租户服务主体。 第三方 SaaS、多租户应用和托管标识不在范围内。

为提高工作负载标识的安全性和复原能力,工作负载标识的连续访问评估 (CAE) 这款功能强大的工具可立即实施条件访问策略,还会针对任何检测到的风险提供信号提示。 启用了 CAE 的第三方工作负载标识(其访问启用了 CAE 的第一方资源)配备了 24 小时长期令牌 (LLT),这些令牌需要持续接受安全检查。 有关为工作负载标识客户端配置 CAE 和最新功能范围的信息,请参阅适用于工作负载标识的 CAE 文档

调查风险工作负载标识

ID 保护服务为组织提供了两种可用于调查工作负载标识风险的报表。 这些报表是风险工作负载标识,以及工作负载标识的风险检测。 所有报表都能以 .CSV 格式下载事件,以便进一步分析。

调查期间要回答的一些关键问题包括:

  • 帐户是否显示可疑登录活动?
  • 凭据是否有未经授权的更改?
  • 帐户是否有可疑的配置更改?
  • 帐户是否获取了未经授权的应用程序角色?

Microsoft Entra 应用程序安全操作指南提供了有关上述调查领域的详细指导。

确定工作负载标识受到危害后,请消除帐户的风险或在风险工作负载标识报表中确认帐户受到危害。 如果要阻止帐户进一步登录,还可以选择“禁用服务主体”。

确认工作负载标识泄露或消除风险。

修正风险工作负载标识

  1. 分配给风险工作负载标识的清单凭据,无论是针对服务主体还是应用程序对象。
  2. 添加新凭据。 Microsoft 建议使用 x509 证书。
  3. 删除被入侵的凭据。 如果认为帐户存在风险,建议删除所有现有凭据。
  4. 通过轮换服务主体有权访问的任何 Azure KeyVault 机密来修正这些机密。

Microsoft Entra 工具包是一个 PowerShell 模块,可帮助你执行其中一些操作。

后续步骤