Имитация обнаружения рисков в Защита идентификации Microsoft Entra
Администраторы могут имитировать риск в своей среде, чтобы выполнить следующие действия:
- Заполните данные в среде Защита идентификации Microsoft Entra путем имитации обнаружения рисков и уязвимостей.
- Настройте политики условного доступа на основе рисков и проверьте влияние этих политик.
В этой статье приведены инструкции по имитации следующих типов обнаружения рисков:
- Анонимный IP-адрес (простой)
- Незнакомые свойства входа (умеренный)
- Нетипичное путешествие (трудно)
- Утечка учетных данных в GitHub для удостоверений рабочей нагрузки (умеренный)
Другие обнаружения рисков не могут быть имитированы безопасным образом.
Дополнительные сведения о каждом обнаружении рисков см. в статье "Что такое риск для идентификации пользователей и рабочей нагрузки".
Анонимный IP-адрес
Для выполнения следующей процедуры требуется использовать следующее:
- Браузер Tor для имитации анонимных IP-адресов. Возможно, потребуется использовать виртуальную машину, если ваша организация ограничивает использование браузера Tor.
- Тестовая учетная запись, которая еще не зарегистрирована для многофакторной проверки подлинности Microsoft Entra.
Чтобы имитировать вход из анонимного IP-адреса, выполните следующие действия.
- С помощью браузера Tor перейдите в https://myapps.microsoft.comраздел .
- Введите учетные данные учетной записи, которую вы хотите открыть в отчетах о входе из отчета об анонимных IP-адресах .
Вход отображается в отчете в течение 10 –15 минут.
Незнакомые свойства входа
Чтобы имитировать незнакомые расположения, необходимо использовать расположение и устройство, которое не использовалось раньше.
Следующая процедура использует только что созданное:
- VPN-подключение для имитации нового расположения.
- Виртуальная машина для имитации нового устройства.
Для выполнения следующей процедуры требуется использовать учетную запись пользователя, которая имеет:
- По крайней мере 30-дневный журнал входа.
- Многофакторная проверка подлинности Microsoft Entra.
Чтобы имитировать вход из незнакомого расположения, выполните следующие действия.
- Используя новый VPN, перейдите к https://myapps.microsoft.com учетной записи тестирования и введите учетные данные.
- При входе с помощью тестовой учетной записи сбой многофакторной проверки подлинности, не передав вызов MFA.
Вход отображается в отчете в течение 10 –15 минут.
Нетипичное путешествие
Имитация нетипичного состояния путешествия трудно. Алгоритм использует машинное обучение для отфильтровывания ложных срабатываний, таких как нетипическое путешествие с знакомых устройств, или входы из виртуальных сетей, которые используются другими пользователями в каталоге. Кроме того, алгоритму требуется журнал входа 14 дней или 10 имен входа пользователя, прежде чем он начнет создавать обнаружения рисков. Из-за сложных моделей машинного обучения и выше правил существует вероятность того, что следующие шаги не будут вызывать обнаружение рисков. Для имитации этого обнаружения может потребоваться выполнить репликацию нескольких учетных записей Microsoft Entra.
Чтобы имитировать нетипическое обнаружение рисков путешествия, выполните следующие действия.
- С помощью стандартного браузера перейдите в https://myapps.microsoft.comраздел .
- Введите учетные данные учетной записи, для которой требуется создать нетипическое обнаружение рисков путешествия.
- Измените агент пользователя. Вы можете изменить агент пользователя в Microsoft Edge из средств разработчика (F12).
- Измените IP-адрес. Вы можете изменить IP-адрес с помощью VPN, надстройки Tor или создания новой виртуальной машины в Azure в другом центре обработки данных.
- Войдите в систему, используя https://myapps.microsoft.com те же учетные данные, что и раньше, и в течение нескольких минут после предыдущего входа.
Вход отображается в отчете в течение 2–4 часов.
Утечка учетных данных для удостоверений рабочей нагрузки
Это обнаружение рисков указывает на утечку допустимых учетных данных приложения. Эта утечка может возникать, когда кто-то проверяет учетные данные в артефакте общедоступного кода на GitHub. Таким образом, чтобы имитировать это обнаружение, вам нужна учетная запись GitHub и она может зарегистрироваться, если у вас еще нет учетной записи GitHub.
Имитация утечки учетных данных в GitHub для удостоверений рабочей нагрузки
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к приложениям> удостоверений>Регистрация приложений.
Выберите новую регистрацию, чтобы зарегистрировать новое приложение или повторно использовать существующее устаревшее приложение.
Выберите "Сертификаты и секреты>нового секрета клиента", добавьте описание секрета клиента и задайте срок действия секрета или укажите настраиваемое время существования и нажмите кнопку "Добавить". Запишите значение секрета для последующего использования для GitHub Commit.
Заметка
Вы не можете снова получить секрет после выхода из этой страницы.
Получите идентификатор TenantID и Application(Client)на странице обзора .
Убедитесь, что приложение отключается с помощью параметра "Свойства> корпоративных приложений>>удостоверений>", чтобы пользователи могли войти в "Нет".
Создайте общедоступный репозиторий GitHub, добавьте следующую конфигурацию и зафиксируйте изменение в виде файла с расширением .txt.
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
Около 8 часов вы можете просмотреть обнаружение утечки учетных данных в разделе >"Обнаружение рисков>защиты идентификации">, где другие сведения содержат URL-адрес фиксации GitHub.
Тестирование политик риска
В этом разделе описаны действия по тестированию пользователя и политик риска входа, созданных в статье "Практическое руководство. Настройка и включение политик риска".
Политика риска пользователей
Чтобы проверить политику безопасности рисков пользователя, выполните следующие действия.
- Настройте политику риска пользователей, предназначенную для пользователей, с которыми вы планируете протестировать.
- Повышение риска для тестовой учетной записи путем имитации одного из обнаружений рисков несколько раз.
- Подождите несколько минут, а затем убедитесь, что риск повысился для пользователя. В противном случае имитируйте обнаружение рисков для пользователя.
- Вернитесь к политике риска и задайте значение "Применить политику" и "Сохранить изменение политики".
- Теперь вы можете протестировать условный доступ на основе рисков пользователей, выполнив вход с помощью пользователя с повышенным уровнем риска.
Политика безопасности риска для входа
Чтобы проверить политику риска входа, выполните следующие действия.
- Настройте политику риска входа, предназначенную для пользователей, с которыми вы планируете протестировать.
- Теперь вы можете протестировать условный доступ на основе рисков, выполнив вход с помощью рискованного сеанса (например, с помощью браузера Tor).