Бөлісу құралы:

Защита идентичностей рабочих нагрузок

  • Мақала

Защита идентификаций Microsoft Entra может обнаруживать, исследовать и исправлять идентификации рабочих нагрузок для защиты приложений и принципов служб в дополнение к идентификациям пользователей.

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению получать доступ к ресурсам, иногда в контексте пользователя. Идентификаторы рабочей нагрузки отличаются от традиционных учетных записей пользователей:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление идентификацией рабочих нагрузок и увеличивают риск их компрометации.

Внимание

Полные сведения о рисках и средства управления доступом на основе рисков доступны клиентам с лицензией Workload Identities Premium; однако клиенты без лицензий Workload Identities Premium по-прежнему получают все обнаружения с ограниченными сведениями для отчетов.

Примечание.

Защита идентификаторов обнаруживает риск для отдельных клиентов, сторонних приложений SaaS и мультитенантных приложений. Управляемые удостоверения не входят в текущую область охвата.

Предварительные условия

Чтобы использовать отчеты о рисках идентификаторов рабочей нагрузки, включая панель "Рискованные идентификаторы рабочей нагрузки" и вкладку "Обнаружения идентификаторов рабочей нагрузки" в панели "Обнаружения рисков" на портале, вам потребуется следующее.

  • Одна из следующих ролей администратора, назначенных

    • Администратор безопасности
    • Оператор безопасности
    • Анализатор безопасности

    Пользователи, которым назначена роль администратора условного доступа, могут создавать политики, использующие риск в качестве условия.

Чтобы принять меры по идентификаторам рискованных рабочих нагрузок, мы рекомендуем настроить политики условного доступа на основе рисков, которые требуют лицензии для идентификаторов рабочих нагрузок уровня Premium : вы можете просмотреть, запустить пробную версию и получить лицензии в разделе идентификаторов рабочих нагрузок .

Примечание.

С помощью Microsoft Security Copilotвы можете использовать запросы на естественном языке для получения аналитических сведений об идентификациях рискованных рабочих нагрузок. Узнайте больше о том, как оценить риски приложений с помощью Microsoft Security Copilot в Microsoft Entra.

Обнаружение рисков идентичности рабочей нагрузки

Мы выявляем риски для идентификационных данных рабочих нагрузок, анализируя поведение при входе в систему и компрометирующие индикаторы в оффлайн-режиме.

Название обнаружения Тип обнаружения Описание тип события риска
Аналитика угроз Microsoft Entra Offline Это обнаружение риска указывает на некоторые действия, соответствующие известным шаблонам атак на основе внутренних и внешних источников аналитики угроз в Майкрософт. исследованияThreatIntelligence
Подозрительные авторизации Offline Это обнаружение риска указывает на свойства или шаблоны входа, необычные для данного субъекта-службы. Обнаружение обучается базовому поведению входа для идентификаторов рабочих нагрузок в вашем тенанте. Это обнаружение занимает от 2 до 60 дней и срабатывает, если во время последующего входа в систему появляется одно или несколько неизвестных свойств: IP-адрес / ASN, целевой ресурс, пользовательский агент, изменение хостинга/без хостинга IP-адреса, страна IP, тип учётных данных. В связи с программным характером входа в систему с использованием учетных данных рабочей нагрузки, мы предоставляем отметку времени для подозрительных действий, вместо того чтобы отмечать конкретное событие входа. Вход, инициируемый после изменения авторизованной конфигурации, может активировать это обнаружение. подозрительные входы
Администратор подтвердил компрометацию субъекта-службы Offline Это обнаружение указывает на то, что администратор выбрал 'Подтвердить компрометацию' в интерфейсе управления рисковыми рабочими процессами или использовал API для службы управления рисковыми принципами. Чтобы узнать, какой администратор подтвердил скомпрометированную учетную запись, проверьте журнал рисков учетной записи (с помощью пользовательского интерфейса или API). администратор подтвердил компрометацию служебного принципала
Утечка учетных данных Offline Обнаружение риска указывает на утечку действительных учетных данных. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub или когда учетные данные становятся известны в результате утечки данных. Когда служба утечки учетных данных Microsoft получает учетные данные из GitHub, даркнета, сайтов для вставки или других источников, они проверяются на наличие текущих допустимых учетных данных в системе Microsoft Entra ID, чтобы найти допустимые совпадения. утечка учетных данных
Вредоносное приложение Offline Это обнаружение объединяет оповещения от защиты ID и Microsoft Defender для облачных приложений, чтобы указать, когда Microsoft отключает приложение за нарушение условий использования. Рекомендуется изучить приложение. Примечание: Эти приложения показывают DisabledDueToViolationOfServicesAgreement в свойстве disabledByMicrosoftStatus на связанных типах ресурсов приложения и принципала службы в Microsoft Graph. Чтобы предотвратить их повторное создание в вашей организации в будущем, удалить эти объекты невозможно. вредоносное приложение
Подозрительное приложение Offline Это обнаружение означает, что Защита идентификации или Microsoft Defender для облачных приложений определили приложение, которое может нарушать наши условия обслуживания, но при этом не отключило его. Рекомендуется изучить приложение. подозрительное приложение
Аномальное действие субъекта-службы Offline Эта схема обнаружения рисков определяет базовую линию поведения административного сервис-принципала в Microsoft Entra ID и распознает аномальные шаблоны в работе, например, подозрительные изменения в каталоге. Обнаружение активируется для основной служебной учетной записи, вносящей изменения, или для объекта, который был изменен. аномальнаяАктивностьСервисногоПринципала
Подозрительный трафик API Offline Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик GraphAPI или перебор каталога главного объекта службы. Обнаружение подозрительного трафика API может указывать на необычную разведывательную активность или несанкционированную кражу данных основным объектом службы. подозрительный API-трафик

Определение рискованных идентичностей рабочей нагрузки

Организации могут найти идентификаторы рабочих нагрузок, помеченные как рискованные, в одном из двух местоположений.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли читателя по безопасности.
  2. Перейдите к Защита>Защита идентификации>Рискованные учетные записи рабочих нагрузок.

Снимок экрана, показывающий риски, обнаруженные в отчете в отношении идентичностей рабочих нагрузок.

API-интерфейсы Microsoft Graph

С помощью API Microsoft Graph также можно запрашивать рискованные идентификации рабочей нагрузки. В API защиты идентификаторов есть две новые коллекции.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Экспорт данных о рисках

Организации могут экспортировать данные, настроив параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные риска в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать их в концентратор событий или отправлять их в решение SIEM.

Обеспечение контроля доступа с условным доступом, основанным на рисках

С помощью условного доступа для идентификаторов рабочего процесса можно заблокировать доступ для определенных учетных записей, которые вы выбираете, когда защита идентификаторов помечает их как "под угрозой". Политику можно применить к служебным принципалам с одним арендатором, зарегистрированным в вашем арендаторе. На сторонние SaaS-приложения, многопользовательские приложения и управляемые удостоверения не распространяется зона охвата.

Для повышения безопасности и устойчивости удостоверений рабочей нагрузки используйте функцию оценки непрерывного доступа (CAE). Этот мощный инструмент обеспечивает мгновенное применение политик условного доступа и учитывает любые обнаруженные сигналы риска. Удостоверения рабочих нагрузок третьих лиц с поддержкой CAE, обращающиеся к ресурсам первой стороны с поддержкой CAE, оснащены маркерами длительного действия (LLT) сроком на 24 часа, которые подвергаются непрерывным проверкам безопасности. Обратитесь к документации CAE по идентификациям рабочих нагрузок, чтобы получить сведения о настройке клиентов идентификаторов рабочих нагрузок с учетом CAE и актуального объема функций.

Исследование идентичностей рабочей нагрузки с потенциальным риском

Защита идентификаторов предоставляет организациям два отчета, которые они могут использовать для изучения риска идентификации рабочей нагрузки. Эти отчеты касаются рискованных идентичностей рабочей нагрузки и обнаружения рисков для таких идентичностей. Все отчеты позволяют загружать события в . Формат CSV для дальнейшего анализа.

Ниже приведены некоторые ключевые вопросы, на которые следует ответить на этапе изучения.

  • Показывают ли учетные записи подозрительную активность входа в систему?
  • Выполнялись ли несанкционированные изменения учетных данных?
  • Выполнялись ли подозрительные изменения конфигурации в учетных записях?
  • Получила ли учетная запись несанкционированные роли в приложении?

Руководство по операциям безопасности Microsoft Entra для приложений содержит подробные рекомендации по указанным выше областям исследования.

После того, как вы определите, был ли идентификатор рабочей нагрузки скомпрометирован, нейтрализуйте риск учетной записи или подтвердите, что учетная запись скомпрометирована в отчете о рискованных идентификаторах рабочей нагрузки. Вы также можете выбрать "Отключить служебный принципал", если вы хотите заблокировать учетную запись от дальнейших входов в систему.

Подтвердите компрометацию идентификации рабочей нагрузки или отвергните риск.

Устранение рискованных идентификаторов рабочей нагрузки

  1. Сведения об учетных данных, назначенных идентификатору рисковой рабочей нагрузки, как для объекта основной службы, так и для объектов приложения.
  2. Добавьте новые учетные данные. Корпорация Майкрософт рекомендует использовать сертификаты x509.
  3. Удалите скомпрометированные учетные данные. Если вы считаете, что учетная запись находится в группе риска, рекомендуется удалить все существующие учетные данные.
  4. Исправьте все секреты Azure KeyVault, к которым субъект-служба имеет доступ, путем их смены.

Microsoft Entra Toolkit — это модуль PowerShell, который поможет вам выполнить некоторые из этих действий.

Связанный контент