Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra ID Protection è in grado di rilevare, analizzare e correggere le identità dei carichi di lavoro per proteggere le applicazioni e le entità servizio oltre alle identità utente.
Un'identità del carico di lavoro è un'identità che consente a un'applicazione di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:
- Non è possibile eseguire l'autenticazione a più fattori.
- Spesso non hanno un processo del ciclo di vita formale.
- Devono archiviare le credenziali o i segreti da qualche parte.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.
Importante
I dettagli completi dei rischi e i controlli di accesso basati sul rischio sono disponibili per i clienti con licenze Workload Identities Premium; tuttavia, i clienti senza licenze Workload Identities Premium ricevono comunque tutti i rilevamenti, sebbene con dettagli di report limitati.
Nota
Protezione ID rileva il rischio per le app a tenant singolo, SaaS non Microsoft e multi-tenant. Le identità gestite non sono attualmente incluse nell'ambito.
Prerequisiti
Per utilizzare i report sui rischi delle identità di carico di lavoro, incluse le identità di carico di lavoro rischiose e la scheda Rilevamenti delle identità di carico di lavoro nel Rilevamenti rischi nel centro di amministrazione, è necessario avere quanto segue.
Uno dei ruoli di amministratore seguenti assegnati
Gli utenti assegnati al ruolo Amministratore accesso condizionale possono creare criteri che usano il rischio come condizione.
Per intervenire sulle identità del carico di lavoro rischiose, è consigliabile configurare criteri di accesso condizionale basati sul rischio, che richiedono licenze Premium per le identità del carico di lavoro : è possibile visualizzare, avviare una versione di valutazione e acquisire licenze nelle identità del carico di lavoro.
Nota
Con Microsoft Security Copilot, è possibile usare i prompt del linguaggio naturale per ottenere informazioni dettagliate sulle identità del carico di lavoro rischiose. Altre informazioni su come valutare i rischi delle applicazioni usando Microsoft Security Copilot in Microsoft Entra.
Rilevamenti dei rischi di identità dei carichi di lavoro
Rileviamo rischi nelle identità dei carichi di lavoro in base al comportamento di accesso e agli indicatori offline di compromissione.
| Nome rilevamento | Tipo di rilevamento | Descrizione | tipoDiEventoRischio |
|---|---|---|---|
| Intelligence sulle minacce per Microsoft Entra | Fuori rete | Questo rilevamento di rischi indica un'attività coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft. | indagini di intelligence sulle minacce |
| Accessi sospetti | Fuori rete | Questa rilevazione del rischio indica proprietà o modelli di accesso insoliti per questo principal del servizio. Il rilevamento acquisisce il comportamento di accesso di base per le identità dei carichi di lavoro nel tuo tenant. Il rilevamento richiede tra 2 e 60 giorni e viene attivato se una o più delle proprietà sconosciute seguenti appaiono durante un accesso successivo: indirizzo IP/ASN, risorsa di destinazione, agente utente, modifica IP di hosting/non hosting, paese IP, tipo di credenziale. A causa della natura programmatica degli accessi per identità dei carichi di lavoro, viene fornito un timestamp per l'attività sospetta invece di contrassegnare un evento di accesso specifico. Gli accessi avviati dopo una modifica di configurazione autorizzata potrebbero attivare questo rilevamento. | suspiciousSignins |
| L'amministratore ha confermato che il principale del servizio è compromesso. | Fuori rete | Questo rilevamento indica che un amministratore ha selezionato "Conferma compromesso" nell'interfaccia utente delle identità dei carichi di lavoro rischiosi o usando l'API riskyServicePrincipals. Per vedere quale amministratore ha confermato questo account compromesso, controllare la cronologia dei rischi dell'account (tramite l'interfaccia utente o l'API). | amministratoreConfermatoPrincipaleDelServizioCompromesso |
| Credenziali trapelate | Fuori rete | Questo rilevamento di rischi indica che le credenziali valide dell'utente sono andate perse. Questa perdita può verificarsi quando un utente memorizza le credenziali in un repository pubblico su GitHub, oppure quando le credenziali vengono trapelate attraverso una violazione dei dati. Quando il servizio di credenziali trapelate di Microsoft acquisisce le credenziali da GitHub, dal dark web, da siti di pastebin o da altre origini, tali credenziali vengono confrontate con le credenziali valide attuali in Microsoft Entra ID per trovare corrispondenze valide. | credenziali trapelate |
| Applicazione dannosa | Fuori rete | Questo rilevamento combina avvisi di Protezione ID e app Microsoft Defender for Cloud Apps per indicare quando Microsoft disabilita un'applicazione per violare le condizioni del servizio. È consigliabile condurre un'indagine dell'applicazione. Nota: queste applicazioni vengono visualizzate nella proprietà DisabledDueToViolationOfServicesAgreement sui tipi di risorse disabledByMicrosoftStatus e principal del servizio correlati in Microsoft Graph. Per impedire che vengano nuovamente istanziati nella vostra organizzazione in futuro, non è possibile eliminare questi oggetti. |
applicazione dannosa |
| Applicazione sospetta | Fuori rete | Questo rilevamento indica che Protezione ID o Microsoft Defender for Cloud Apps ha identificato un'applicazione che potrebbe violare le nostre condizioni del servizio, ma non l'ha disabilitata. È consigliabile condurre un'indagine dell'applicazione. | applicazione sospetta |
| Attività anomala dell'entità di servizio | Fuori rete | Questo rilevamento di rischi stabilisce i parametri di riferimento per il normale comportamento del principale del servizio amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, come modifiche sospette alla directory. Il rilevamento viene attivato contro il principale del servizio amministrativo che apporta la modifica o contro l'oggetto che è stato modificato. | Attività Anomala del Principal di Servizio |
| Traffico API sospetto | Fuori rete | Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico anomalo di Graph API o l'enumerazione della directory di un'entità servizio principale. Il rilevamento del traffico API sospetto potrebbe indicare una cognizione anomala o un'esfiltrazione di dati da parte di un principale di servizio. | traffico sospetto delle API |
Identificare le identità dei carichi di lavoro rischiose
Le organizzazioni possono trovare le identità dei carichi di lavoro contrassegnate per il rischio in una delle due posizioni seguenti:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
- Passare a IDENTITÀdel carico di lavoro rischioso> ID.
API di Microsoft Graph
È anche possibile eseguire query sulle identità del carico di lavoro rischiose usando l'API Microsoft Graph. Sono disponibili due nuove raccolte nelle API di protezione ID.
riskyServicePrincipalsservicePrincipalRiskDetections
Esportare i dati sui rischi
Le organizzazioni possono esportare i dati configurando le impostazioni di diagnostica in Microsoft Entra ID per inviare dati di rischio a un'area di lavoro Log Analytics, archiviarli in un account di archiviazione, trasmetterli a un hub eventi o inviarli a una soluzione SIEM.
Applicare i controlli di accesso con l'accesso condizionale basato sul rischio
Usando l'accesso condizionale per le identità del carico di lavoro, è possibile bloccare l'accesso per account specifici scelti quando la protezione ID li contrassegna "a rischio". I criteri possono essere applicati alle entità servizio a tenant singolo registrate nel tenant. Le app non SaaS, multi-tenant e le identità gestite non Microsoft non rientrano nell'ambito.
Per migliorare la sicurezza e la resilienza delle identità dei carichi di lavoro, la valutazione continua dell'accesso (CAE) per le identità dei carichi di lavoro è uno strumento potente che offre un'applicazione immediata dei criteri di accesso condizionale e dei segnali di rischio rilevati. Le identità dei carichi di lavoro non Microsoft abilitate per CAE che accedono alle risorse proprietarie con supporto CAE sono dotate di token a lunga durata validi per 24 ore, soggetti a controlli di sicurezza continui. Per ulteriori informazioni sulla configurazione dei client di identità del carico di lavoro per CAE e sull'ambito delle funzionalità attuali, vedere la documentazione CAE relativa alle identità del carico di lavoro.
Analizzare le identità dei carichi di lavoro rischiose
La Protezione dell'Identità fornisce alle organizzazioni due rapporti che possono utilizzare per esaminare il rischio relativo all'identità delle attività lavorative. Questi report riguardano le identità a rischio dei carichi di lavoro e i rilevamenti dei rischi per tali identità di carichi di lavoro. Tutti i report consentono il download degli eventi in formato CSV per un'ulteriore analisi.
Alcune delle domande principali a cui rispondere durante l'indagine includono:
- Gli account mostrano attività di accesso sospette?
- Sono state apportate modifiche non autorizzate alle credenziali?
- Sono state apportate modifiche di configurazione sospette agli account?
- L'account ha acquisito ruoli applicativi non autorizzati?
La Guida alle operazioni di sicurezza di Microsoft Entra per le applicazioni fornisce indicazioni dettagliate sulle aree di indagine.
Dopo aver determinato se l'identità lavorativa è stata compromessa, è necessario annullare il rischio dell'account o confermare l'account come compromesso nel rapporto sulle identità lavorative a rischio. È anche possibile selezionare "Disabilita principale del servizio" se si desidera impedire ulteriori accessi all'account.
Rimedi alle identità dei carichi di lavoro rischiosi
- Inventariare tutte le credenziali associate all'identità di carico di lavoro a rischio, sia per i principali di servizio che per gli oggetti applicazione.
- Aggiungi una nuova credenziale. Microsoft consiglia di usare certificati x509.
- Rimuovere le credenziali compromesse. Se si ritiene che l'account sia a rischio, è consigliabile rimuovere tutte le credenziali esistenti.
- Correggere eventuali segreti di Azure KeyVault a cui l'entità servizio ha accesso ruotandoli.
Microsoft Entra Toolkit è un modulo di PowerShell che consente di eseguire alcune di queste azioni.