分享方式:

在 Microsoft Entra ID Protection 中模擬風險偵測

  • 文章

管理員可能會想要模擬其環境中的風險,以便完成下列項目:

  • 藉由模擬風險偵測和弱點,在 Microsoft Entra ID Protection 環境中填入資料。
  • 設定以風險為基礎的條件式存取原則,並測試這些原則的效果。

本文將為您提供模擬下列風險偵測類型的步驟:

  • 匿名 IP 位址 (簡單)
  • 不熟悉的登入屬性 (中等)
  • 非慣用移動 (困難)
  • GitHub 中工作負載身分識別的認證外洩 (中等)

無法以安全的方式模擬其他風險偵測。

如需本文中每個風險偵測的詳細資訊,請參閱使用者工作負載身分識別的「什麼是風險」一文。

匿名 IP 位址

要完成下列程序,您必須使用:

  • Tor 瀏覽器,用以模擬匿名 IP 位址。 如果您的組織對 Tor 瀏覽器的使用有所限制,您可能需要使用虛擬機器。
  • 尚未註冊使用 Microsoft Entra 多重要素驗證的測試帳戶。

若要模擬從匿名 IP 登入,請執行下列步驟

  1. 使用 Tor 瀏覽器,瀏覽至 https://myapps.microsoft.com
  2. 輸入您要在 [從匿名 IP 位址登入] 報告中顯示之帳戶的認證。

登入會在 10 - 15 分鐘內顯示於報告。

不熟悉的登入屬性

若要模擬不熟悉的位置,您必須使用測試帳戶之前使用過的位置和裝置。

下列程序使用新建的:

  • VPN 連線,用以模擬新位置。
  • 虛擬機器,用以模擬新裝置。

要完成下列程序,您必須使用符合下列條件的使用者帳戶:

  • 至少有 30 天的登入歷程記錄。
  • Microsoft Entra 多重要素驗證。

若要模擬從不熟悉的位置登入,請執行下列步驟

  1. 使用新的 VPN,導覽至 https://myapps.microsoft.com,然後輸入您測試帳戶的認證。
  2. 使用測試帳戶登入時,未通過多重要素驗證查問,而使 MFA 查問失敗。

登入會在 10 - 15 分鐘內顯示於報告。

非慣用登入位置

模擬非慣用移動情況很困難。 因為此演算法會使用機器學習服務來剔除誤判,例如,來自熟悉裝置的非慣用移動,或從目錄中其他使用者所用的 VPN 登入。 此外,使用者必須要有 14 天的登入歷程記錄,或登入 10 次,此演算法才會開始產生風險偵測。 由於機器學習模型的複雜性和前述規則,下列步驟有可能不會觸發風險偵測。 您可能會想要為多個 Microsoft Entra 帳戶複寫這些步驟,以模擬此偵測。

若要模擬非典型的移動風險偵測,請執行下列步驟

  1. 使用標準瀏覽器,瀏覽至 https://myapps.microsoft.com
  2. 輸入您想要為其產生非典型移動風險偵測的帳戶認證。
  3. 變更您的使用者代理程式。 您可以在 Microsoft Edge 中,透過「開發人員工具」(F12) 變更使用者代理程式。
  4. 變更您的 IP 位址。 使用 VPN、Tor 附加元件,或在不同資料中心於 Azure 中建立新虛擬機器,即可變更您的 IP 位址。
  5. 在前次登入之後的幾分鐘內,使用與之前相同的認證登入 https://myapps.microsoft.com

登入會在 2-4 小時內顯示於報告。

工作負載身分識別的認證外洩

此風險偵測指出應用程式的有效認證已外洩。 此外洩可能起因於某人在 GitHub 上的公用程式碼成品中簽入認證。 因此,若要模擬此偵測,您需要 GitHub 帳戶,而且可以註冊 GitHub 帳戶 (如果您還沒有帳戶)。

模擬 GitHub 中工作負載身分識別的認證外洩

  1. 以至少安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]

  3. 選取 [新增註冊] 以註冊新的應用程式,或重複使用現有的舊版應用程式。

  4. 選取 [憑證與密碼]>[新增用戶端密碼],新增用戶端密碼的描述,並設定密碼的到期日或指定自訂存留期,然後選取 [新增]。 記錄秘密的值,供稍後用於 GitHub Commit。

    注意

    離開此頁面之後就無法再擷取秘密

  5. 在 [概觀] 頁面中取得租用戶識別碼和應用程式 (用戶端) 識別碼。

  6. 請確定已透過 [身分識別]>[應用程式]>[企業應用程式]>[屬性]> 將 [為使用者啟用登入] 設定為 [否],以停用應用程式。

  7. 建立公用 GitHub 存放庫,然後新增下列設定並確認 .txt 副檔名的檔案變更。

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. 在大約 8 小時內,您就能夠在 [資料保護]>[身分識別保護]>[風險偵測]>[工作負載身分識別偵測] 下檢視認證外洩偵測,其中有其他資訊包含 GitHub 認可的 URL。

測試風險原則

本小節提供您測試使用者的步驟,以及在文章中建立的登入風險原則,作法:設定和啟用風險原則

使用者風險原則

若要測試使用者風險安全性原則,請執行下列步驟:

  1. 設定以您計劃測試的使用者為目標的使用者風險原則
  2. 提高測試帳戶的使用者風險,例如,藉由模擬其中一個風險偵測多次來執行。
  3. 等候幾分鐘,然後驗證使用者的風險已提高。 如果不是,請為使用者模擬更多風險偵測。
  4. 返回您的風險原則,並將 [強制執行原則] 設定為 [開啟],並 [儲存] 原則變更。
  5. 您現在可以使用風險層級已提高的使用者進行登入,以測試以使用者風險為基礎的條件式存取。

登入風險安全性原則

若要測試登入風險原則,請執行下列步驟:

  1. 設定以您計劃測試的使用者為目標的登入風險原則
  2. 您現在可以使用具風險的工作階段 (例如,藉由使用 Tor 瀏覽器) 進行登入,以測試以登入風險為基礎的條件式存取。

下一步