在 Microsoft Entra ID Protection 中模擬風險偵測
管理員 istrators 可能想要模擬其環境中的風險,以完成下列專案:
- 藉由模擬風險偵測和弱點,在 Microsoft Entra ID Protection 環境中填入數據。
- 設定風險型條件式存取原則,並測試這些原則的效果。
本文提供您模擬下列風險偵測類型的步驟:
- 匿名 IP 位址 (簡單)
- 不熟悉的登入屬性 (中等)
- 非慣用移動 (困難)
- GitHub 中工作負載身分識別的認證外洩 (中度)
其他風險偵測無法以安全的方式模擬。
如需每個風險偵測的詳細資訊,請參閱使用者和工作負載身分識別有哪些風險一文。
匿名 IP 位址
完成下列程式需要您使用:
- 用來模擬匿名 IP 位址的 Tor Browser。 如果您的組織限制使用 Tor 瀏覽器,您可能需要使用虛擬機。
- 尚未註冊 Microsoft Entra 多重要素驗證的測試帳戶。
若要模擬匿名 IP 的登入,請執行下列步驟:
- 使用 Tor Browser,流覽至 https://myapps.microsoft.com。
- 輸入您想要出現在 [從匿名 IP 位址 登入] 報告中的帳戶認證。
登入會在 10 - 15 分鐘內顯示在 Identity Protection 儀錶板上。
不熟悉的登入屬性
若要模擬不熟悉的位置,您必須使用之前未使用測試帳戶的位置和裝置。
下列程式使用新建立的程式:
- VPN 連線,以模擬新位置。
- 虛擬機,用來模擬新的裝置。
完成下列程式需要您使用具有的用戶帳戶:
- 至少 30 天的登入歷程記錄。
- Microsoft Entra 多重要素驗證。
若要從不熟悉的位置模擬登入,請執行下列步驟:
- 使用新的 VPN,瀏覽至 https://myapps.microsoft.com 測試帳戶的認證並輸入。
- 使用測試帳戶登入時,不會通過 MFA 挑戰,讓多重要素驗證挑戰失敗。
登入會在 10 - 15 分鐘內顯示在 Identity Protection 儀錶板上。
非慣用登入位置
模擬非典型旅行狀況是困難的。 此演算法會使用機器學習來清除誤判,例如從熟悉的裝置進行非典型旅行,或從目錄中其他使用者使用的 VPN 登入。 此外,演算法需要登入歷程記錄 14 天或 10 天的使用者登入,才能開始產生風險偵測。 由於複雜的機器學習模型和上述規則,因此下列步驟可能會觸發風險偵測。 您可能想要復寫多個 Microsoft Entra 帳戶的這些步驟,以模擬此偵測。
若要模擬非典型旅行風險偵測,請執行下列步驟:
- 使用標準瀏覽器,瀏覽至 https://myapps.microsoft.com。
- 輸入您想要為其產生非典型旅行風險偵測之帳戶的認證。
- 變更您的使用者代理程式。 您可以從開發人員工具變更 Microsoft Edge 中的使用者代理程式 (F12)。
- 變更您的IP位址。 您可以使用 VPN、Tor 附加元件,或在不同的資料中心在 Azure 中建立新的虛擬機,來變更您的 IP 位址。
- https://myapps.microsoft.com使用與先前登入后幾分鐘內相同的認證登入。
登入會在 2-4 小時內顯示在 Identity Protection 儀錶板中。
工作負載身分識別的認證外洩
此風險偵測指出應用程式的有效認證會外洩。 當有人在 GitHub 上的公用程式代碼成品中籤入認證時,就會發生此洩漏。 因此,若要模擬此偵測,您需要 GitHub 帳戶,而且如果您還沒有 GitHub 帳戶,則可以 註冊 GitHub 帳戶 。
在 GitHub 中模擬工作負載身分識別中外洩的認證
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式> 應用程式註冊]。
選取 [新增註冊 ] 以註冊新的應用程式,或重複使用現有的過時應用程式。
選取 [ 憑證與秘密>] [新增用戶端密碼 ],新增客戶端密碼的描述,並設定秘密的到期日,或指定自定義存留期,然後選取 [ 新增]。 記錄秘密的值,以供稍後用於 GitHub Commit。
注意
離開此頁面之後,您無法再次擷取秘密。
在 [概觀] 頁面中取得 TenantID 和 Application(Client)標識符。
請確定您已透過 [身分識別>應用程式>企業應用程式>屬性>] [啟用] 來停用應用程式,讓使用者登入 [否]。
建立 公用 GitHub 存放庫,新增下列設定,並將變更認可為擴展名為 .txt 的檔案。
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",在大約 8 小時內,您可以在保護>身分識別保護>風險偵測>工作負載身分識別偵測下檢視外泄的認證偵測,其中其他資訊包含 GitHub 認可的 URL。
測試風險原則
本節提供測試使用者和在文章中建立的登入風險原則的步驟: 如何:設定和啟用風險原則。
使用者風險原則
若要測試用戶風險安全策略,請執行下列步驟:
- 設定 以您計劃測試的用戶為目標的用戶風險原則 。
- 例如,藉由模擬其中一個風險偵測幾次,提高測試帳戶的用戶風險。
- 請稍候幾分鐘,然後確認用戶的風險已提高。 如果沒有,請模擬使用者更多的風險偵測。
- 返回您的風險原則,並將 [強制執行原則] 設定為 [開啟] 並儲存您的原則變更。
- 您現在可以使用具有較高風險層級的使用者登入,以測試用戶風險型條件式存取。
登入風險安全策略
若要測試登入風險原則,請執行下列步驟:
- 設定 以您計劃測試的用戶為目標的登入風險原則 。
- 您現在可以使用具風險的會話登入來測試登入風險型條件式存取(例如,使用 Tor 瀏覽器)。