Aracılığıyla paylaş

İş yükü kimliklerinin güvenliğini sağlamak

  • Makale

Microsoft Entra Kimlik Koruması, kullanıcı kimliklerine ek olarak uygulamaları ve hizmet sorumlularını korumak için iş yükü kimliklerini algılayabilir, araştırabilir ve düzeltebilir.

Uygulamanın kaynaklara, bazen kullanıcı bağlamında erişimini sağlayan bir kimlik olan iş yükü kimliği. Bu iş yükü kimlikleri, geleneksel kullanıcı hesaplarından farklıdır:

  • Çok faktörlü kimlik doğrulaması gerçekleştirilemiyor.
  • Genellikle resmi bir yaşam döngüsü süreci yoktur.
  • Kimlik bilgilerini veya gizli bilgilerini bir yerde depolamaları gerekiyor.

Bu farklılıklar, iş yükü kimliklerinin yönetilmesini zorlaştırır ve bu kimlikleri tehlikeye atma riski daha yüksektir.

Önemli

İş Yükü Kimlikleri Premium müşterilerine tüm risk ayrıntıları ve risk tabanlı erişim denetimleri sağlanır; ancak İş Yükü Kimlikleri Premium lisansı olmayan müşteriler, sınırlı raporlama ayrıntılarıyla tüm algılamaları almaya devam eder.

Notu

Kimlik Koruması tek kiracı, üçüncü taraf SaaS ve çok kiracılı uygulamalar üzerindeki riski algılar. Yönetilen Kimlikler şu anda kapsam içinde değildir.

Önkoşullar

Riskli iş yükü kimlikleri sekmesi ve portaldaki Risk algılamaları dikey penceresi içindeki İş Yükü kimlik algılamaları sekmesi de dahil olmak üzere iş yükü kimlik riski raporlarından yararlanmak için aşağıdakilere sahip olmanız gerekir.

  • Aşağıdaki yönetici rollerinden biri atandı

    • Güvenlik Yöneticisi
    • Güvenlik Operatörü
    • Güvenlik Okuyucusu

    Koşullu Erişim Yöneticisi rolüne atanan kullanıcılar, riski koşul olarak kullanan ilkeler oluşturabilir.

Riskli iş yükü kimlikleriyle ilgili işlem yapmak için, İş Yükü Kimlikleri Premium lisansı gerektiren risk tabanlı Koşullu Erişim ilkeleri ayarlamanızı öneriyoruz: İş Yükü Kimlikleri dikey penceresinde görüntüleyebilir, lisans satın alabilir ve deneme sürümünü başlatabilirsiniz.

Not

Microsoft Security Copilotile, riskli iş yükü kimlikleri hakkında içgörüler elde etmek için doğal dil istemlerini kullanabilirsiniz. Microsoft Entra'de Microsoft Security Copilot kullanarak uygulama risklerini değerlendirme konusunda daha fazla bilgi edinin.

İş yükü kimliği risk algılamaları

Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılarız.

Algılama adı Algılama türü Açıklama Risk Olayı Türü
Microsoft Entra tehdit bilgileri Çevrimdışı Bu risk algılama, Microsoft'un iç ve dış tehdit bilgileri kaynaklarına dayalı olarak bilinen saldırı düzenleriyle tutarlı olan bazı etkinlikleri gösterir. Tehdit İstihbaratı Soruşturmaları
Şüpheli Oturum Açmalar Çevrimdışı Bu risk algılama, bu hizmet sorumlusu için olağan dışı olan oturum açma özelliklerini veya desenlerini gösterir. Algılama, kiracınızdaki iş yükü kimlikleri için temel oturum açma davranışını öğrenir. Bu algılama 2 ile 60 gün arasında sürer ve sonraki oturum açma işlemleri sırasında aşağıdaki tanıdık olmayan özelliklerden biri veya daha fazlası görünürse tetiklenir: IP adresi / ASN, hedef kaynak, kullanıcı aracısı, barındırma/barındırma dışı IP değişikliği, IP ülkesi, kimlik bilgisi türü. İş yükü kimliği oturum açmalarının programlı yapısı nedeniyle, belirli bir oturum açma olayını işaretlemek yerine şüpheli etkinlik için bir zaman damgası sağlarız. Yetkili bir yapılandırma değişikliği sonrasında başlatılan oturum açma işlemleri bu algılamayı tetikleyebilir. şüpheli girişler
Yönetici, hizmet ilkesinin ihlal edildiğini doğruladı. Çevrimdışı Bu algılama, bir yöneticinin Riskli İş Yükü Kimlikleri kullanıcı arabiriminde veya riskyServicePrincipals API'sini kullanarak 'Güvenliği aşıldığını onayla' öğesini seçtiğini gösterir. Bu hesabın gizliliğinin ihlal edildiğini onaylayan yöneticiyi görmek için hesabın risk geçmişini denetleyin (kullanıcı arabirimi veya API aracılığıyla). yöneticiTarafındanOnaylanmışHizmetAsılKişisiTehlikede
Sızdırılan Kimlik Bilgileri Çevrimdışı Bu risk algılama hesabın geçerli kimlik bilgilerinin sızdırıldığını gösterir. Bu sızıntı, birisi GitHub'daki genel kod yapıtındaki kimlik bilgilerini denetlediğinde veya kimlik bilgileri bir veri ihlali yoluyla sızdırıldığında ortaya çıkabilir. Microsoft sızdırılan kimlik bilgileri hizmeti, GitHub, dark web, yapıştırma siteleri veya diğer kaynaklardan kimlik bilgilerini edindiğinde, bunlar geçerli eşleşmeleri bulmak için Microsoft Entra ID içindeki güncel geçerli kimlik bilgileriyle karşılaştırılır. sızdırılmışKimlikBilgileri
Kötü amaçlı uygulama Çevrimdışı Bu algılama, Microsoft'un hizmet koşullarımızı ihlal ettiği için bir uygulamayı devre dışı bırakmasını belirtmek için Kimlik Koruması ve Bulut için Microsoft Defender Uygulamalarından gelen uyarıları birleştirir. Uygulamayla ilgili bir araştırma yapmanızı öneririz. Not: Bu uygulamalar, Microsoft Graph'ta ilgili DisabledDueToViolationOfServicesAgreement ve disabledByMicrosoftStatus kaynak türlerindeki özelliğinde olarak gösterilir. Gelecekte kuruluşunuzda yeniden örneklenmelerini önlemek için bu nesneleri silemezsiniz. kötü niyetli uygulama
Şüpheli uygulama Çevrimdışı Bu algılama, Kimlik Koruması veya Microsoft Defender for Cloud Apps'in hizmet koşullarımızı ihlal ediyor olabilecek bir uygulama tanımladığını, ancak uygulamayı devre dışı bırakmadığını gösterir. Uygulamayla ilgili bir araştırma yapmanızı öneririz. şüpheli uygulama
Anormal hizmet sorumlusu etkinliği Çevrimdışı Bu risk algılama, Microsoft Entra Kimliği'ndeki normal yönetim hizmeti sorumlusu davranışını temel alır ve dizinde şüpheli değişiklikler gibi anormal davranış desenleri belirler. Algılama, değişiklik yapan yönetim hizmet sorumlusuna veya değiştirilen nesneye karşı tetiklendi. anormalServisPrincipalAktivitesi
Şüpheli API Trafiği Çevrimdışı Bu risk algılama, bir hizmet sorumlusunun anormal GraphAPI trafiği veya dizin numaralandırması gözlemlendiğinde bildirilir. Şüpheli API Trafik algılaması, hizmet sorumlusu tarafından anormal keşif veya veri sızdırma olduğunu gösterebilir. şüpheli API trafiği

Riskli iş yükü kimliklerini tanımlama

Kuruluşlar iki konumdan birinde riskli olarak işaretlenmiş iş yükü kimliklerini bulabilir:

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Koruma>Kimlik Koruma>Riskli iş yükü kimliklerine göz atın.

Rapordaki iş yükü kimliklerine karşı algılanan riskleri gösteren ekran görüntüsü.

Microsoft Graph API'leri

Microsoft Graph API'sini kullanarak riskli iş yükü kimliklerini de sorgulayabilirsiniz. ID Protection API'lerinde iki yeni koleksiyon vardır.

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Risk verilerini dışarı aktarma

Kuruluşlar Log Analytics çalışma alanına risk verileri göndermek, depolama hesabına arşivleme, olay hub'ına akışla aktarmak veya SIEM çözümüne göndermek için Microsoft Entra ID'de tanılama ayarlarını yapılandırarak verileri dışarı aktarabilir.

Risk tabanlı Koşullu Erişim ile erişim denetimlerini zorunlu kılma

İş yükü kimlikleri için Koşullu Erişim'i kullanarak, Kimlik Koruması bunları "risk altında" olarak işaretlediğinde seçtiğiniz belirli hesaplar için erişimi engelleyebilirsiniz. İlke, kiracınızda kayıtlı tek kiracılı hizmet sorumlularına uygulanabilir. Üçüncü taraf SaaS, çok kiracılı uygulamalar ve yönetilen kimlikler kapsam dışındadır.

İş yükü kimliklerinizin güvenliği ve dayanıklılığının artırılması için, iş yükü kimlikleri için Sürekli Erişim Değerlendirmesi (CAE), Koşullu Erişim ilkelerinizin ve algılanan risk sinyallerinin anında uygulanmasını sağlayan güçlü bir araçtır. CAE özellikli birinci taraf kaynaklarına erişen CAE özellikli üçüncü taraf iş yükü kimlikleri, sürekli güvenlik denetimlerine tabi olan 24 saatlik Uzun Ömürlü Belirteçler (LLT) ile donatılmıştır. CAE için iş yükü kimlik istemcilerini yapılandırma ve güncel özellik kapsamı hakkında bilgi için iş yükü kimlikleri için CAE belgelerine bakın.

Riskli iş yükü kimliklerini araştırın

KIMLIK Koruması, kuruluşlara iş yükü kimlik riskini araştırmak için kullanabilecekleri iki rapor sağlar. Bu raporlar riskli iş yükü kimlikleri ve iş yükü kimlikleri için risk algılamalarıdır. Tüm raporlar, olayların daha fazla analiz için .CSV formatında indirilmesine izin verir.

Araştırmanız sırasında yanıtlamanız gereken önemli sorulardan bazıları şunlardır:

  • Hesaplar şüpheli oturum açma etkinliği gösteriyor mu?
  • Kimlik bilgilerinde yetkisiz değişiklikler yapıldı mı?
  • Hesaplarda şüpheli yapılandırma değişiklikleri yapıldı mı?
  • Hesap yetkisiz uygulama rolleri aldı mı?

Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzu, yukarıdaki araştırma alanları hakkında ayrıntılı yönergeler sağlar.

İş yükü kimliğinin risk altına girip girmediğini belirledikten sonra, hesabın riskini temizleyin veya Riskli iş yükü kimlikleri raporunda hesabın risk altında olduğunu onaylayın. Hesabın daha fazla oturum açmasını engellemek istiyorsanız "Hizmet sorumlusunu devre dışı bırak" seçeneğini de belirleyebilirsiniz.

İş yükü kimliği ihlalini doğrulayın veya riski reddedin.

Riskli iş yükü kimliklerini düzeltme

  1. Hizmet sorumlusu veya uygulama nesneleri için riskli iş yükü kimliğine atanan envanter kimlik bilgileri.
  2. Yeni bir kimlik bilgisi ekleyin. Microsoft, x509 sertifikalarının kullanılmasını önerir.
  3. Güvenliği aşılmış kimlik bilgilerini kaldırın. Hesabın risk altında olduğunu düşünüyorsanız, mevcut tüm kimlik bilgilerini kaldırmanızı öneririz.
  4. Hizmet Sorumlusunun erişimi olan tüm Azure KeyVault gizli dizilerini döndürerek düzeltin.

Microsoft Entra Toolkit, bu eylemlerden bazılarını gerçekleştirmenize yardımcı olabilecek bir PowerShell modülüdür.

İlgili içerik