Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита идентификаций Microsoft Entra может обнаруживать, исследовать и исправлять идентификации рабочих нагрузок для защиты приложений и принципов служб в дополнение к идентификациям пользователей.
Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению получать доступ к ресурсам, иногда в контексте пользователя. Идентификаторы рабочей нагрузки отличаются от традиционных учетных записей пользователей:
- Они не могут выполнять многофакторную проверку подлинности.
- Во многих случаях у них нет формального процесса жизненного цикла.
- Они должны где-то хранить свои учетные данные или секреты.
Такие различия затрудняют управление идентификацией рабочих нагрузок и увеличивают риск их компрометации.
Внимание
Полные сведения о рисках и средства управления доступом на основе рисков доступны клиентам с лицензией Workload Identities Premium; однако клиенты без лицензий Workload Identities Premium по-прежнему получают все обнаружения с ограниченными сведениями для отчетов.
Примечание.
Защита идентификаторов обнаруживает риск для отдельных клиентов, приложений, отличных от Microsoft SaaS и мультитенантных приложений. Управляемые удостоверения не входят в текущую область охвата.
Предварительные условия
Чтобы использовать отчеты о рисках удостоверений рабочей нагрузки, включая рисковые удостоверения рабочей нагрузки и вкладку обнаружения удостоверений рабочей нагрузки в обнаружении рисков в Центре администрирования, вам потребуется следующее.
Одна из следующих ролей администратора, назначенных
Пользователи, которым назначена роль администратора условного доступа , могут создавать политики, использующие риск в качестве условия.
Чтобы принять меры по рискованным удостоверениям рабочих нагрузок, мы рекомендуем настроить политики условного доступа с учетом рисков, для чего требуется лицензия Workload Identities Premium: вы можете просматривать, начать пробную версию и приобретать лицензии на идентификации рабочих нагрузок.
Примечание.
С помощью Microsoft Security Copilotвы можете использовать запросы на естественном языке для получения аналитических сведений об идентификациях рискованных рабочих нагрузок. Узнайте больше о том, как оценить риски приложений с помощью Microsoft Security Copilot в Microsoft Entra.
Обнаружение рисков идентичности рабочей нагрузки
Мы выявляем риски для идентификационных данных рабочих нагрузок, анализируя поведение при входе в систему и компрометирующие индикаторы в оффлайн-режиме.
| Название обнаружения | Тип обнаружения | Описание | тип события риска |
|---|---|---|---|
| Аналитика угроз Microsoft Entra | Не в сети | Это обнаружение риска указывает на некоторые действия, соответствующие известным шаблонам атак на основе внутренних и внешних источников аналитики угроз в Майкрософт. | исследованияThreatIntelligence |
| Подозрительные авторизации | Не в сети | Это обнаружение риска указывает на свойства или шаблоны входа, необычные для данного субъекта-службы. Обнаружение обучается базовому поведению входа для идентификаторов рабочих нагрузок в вашем тенанте. Это обнаружение занимает от 2 до 60 дней и срабатывает, если во время последующего входа в систему появляется одно или несколько неизвестных свойств: IP-адрес / ASN, целевой ресурс, пользовательский агент, изменение хостинга/без хостинга IP-адреса, страна IP, тип учётных данных. В связи с программным характером входа в систему с использованием учетных данных рабочей нагрузки, мы предоставляем отметку времени для подозрительных действий, вместо того чтобы отмечать конкретное событие входа. Вход, инициируемый после изменения авторизованной конфигурации, может активировать это обнаружение. | подозрительные входы |
| Администратор подтвердил компрометацию субъекта-службы | Не в сети | Это обнаружение указывает на то, что администратор выбрал 'Подтвердить компрометацию' в интерфейсе управления рисковыми рабочими процессами или использовал API для службы управления рисковыми принципами. Чтобы узнать, какой администратор подтвердил скомпрометированную учетную запись, проверьте журнал рисков учетной записи (с помощью пользовательского интерфейса или API). | администратор подтвердил компрометацию служебного принципала |
| Утечка учетных данных | Не в сети | Обнаружение риска указывает на утечку действительных учетных данных. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub или когда учетные данные становятся известны в результате утечки данных. Когда служба утечки учетных данных Microsoft получает учетные данные из GitHub, даркнета, сайтов для вставки или других источников, они проверяются на наличие текущих допустимых учетных данных в системе Microsoft Entra ID, чтобы найти допустимые совпадения. | утечка учетных данных |
| Вредоносное приложение | Не в сети | Это обнаружение объединяет оповещения от защиты ID и Microsoft Defender для облачных приложений, чтобы указать, когда Microsoft отключает приложение за нарушение условий использования. Рекомендуется изучить приложение. Примечание: Эти приложения показывают DisabledDueToViolationOfServicesAgreement в свойстве disabledByMicrosoftStatus на связанных типах ресурсов приложения и принципала службы в Microsoft Graph. Чтобы предотвратить их повторное создание в вашей организации в будущем, удалить эти объекты невозможно. |
вредоносное приложение |
| Подозрительное приложение | Не в сети | Это обнаружение означает, что Защита идентификации или Microsoft Defender для облачных приложений определили приложение, которое может нарушать наши условия обслуживания, но при этом не отключило его. Рекомендуется изучить приложение. | подозрительное приложение |
| Аномальное действие субъекта-службы | Не в сети | Эта схема обнаружения рисков определяет базовую линию поведения административного сервис-принципала в Microsoft Entra ID и распознает аномальные шаблоны в работе, например, подозрительные изменения в каталоге. Обнаружение активируется для основной служебной учетной записи, вносящей изменения, или для объекта, который был изменен. | аномальнаяАктивностьСервисногоПринципала |
| Подозрительный трафик API | Не в сети | Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик GraphAPI или перебор каталога главного объекта службы. Обнаружение подозрительного трафика API может указывать на необычную разведку или кражу данных служебным принципалом. | подозрительный API-трафик |
Определение рискованных идентичностей рабочей нагрузки
Организации могут найти идентификаторы рабочих нагрузок, помеченные как рискованные, в одном из двух местоположений.
- Войдите в центр администрирования Microsoft Entra как минимум в роли читателя по безопасности.
- Перейдите к Защите идентификаторов>Рискованные удостоверения рабочих нагрузок.
API-интерфейсы Microsoft Graph
С помощью API Microsoft Graph также можно запрашивать рискованные идентификации рабочей нагрузки. В API защиты идентификаторов есть две новые коллекции.
riskyServicePrincipalsservicePrincipalRiskDetections
Экспорт данных о рисках
Организации могут экспортировать данные, настроив параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные риска в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать их в концентратор событий или отправлять их в решение SIEM.
Обеспечение контроля доступа с условным доступом, основанным на рисках
С помощью условного доступа для идентификаторов рабочего процесса можно заблокировать доступ для определенных учетных записей, которые вы выбираете, когда защита идентификаторов помечает их как "под угрозой". Политику можно применить к служебным принципалам с одним арендатором, зарегистрированным в вашем арендаторе. Не-Microsoft SaaS, мультитенантные приложения и управляемые удостоверения не входят в сферу.
Для повышения безопасности и устойчивости удостоверений рабочей нагрузки используйте функцию оценки непрерывного доступа (CAE). Этот мощный инструмент обеспечивает мгновенное применение политик условного доступа и учитывает любые обнаруженные сигналы риска. Удостоверения рабочей нагрузки, не связанные с продуктами Майкрософт, для доступа к ресурсам, поддерживающим ЦС, оснащены 24-часовыми токенами длительной жизни (LLT), которые подвергаются постоянным проверкам безопасности. Дополнительные сведения о настройке клиентов удостоверений рабочей нагрузки для CAE и текущем объёме функций см. в документации по CAE для удостоверений рабочей нагрузки.
Исследование идентичностей рабочей нагрузки с потенциальным риском
Защита идентификаторов предоставляет организациям два отчета, которые они могут использовать для изучения риска идентификации рабочей нагрузки. Эти отчеты касаются рискованных идентичностей рабочей нагрузки и обнаружения рисков для таких идентичностей. Все отчеты позволяют загружать события в . Формат CSV для дальнейшего анализа.
Ниже приведены некоторые ключевые вопросы, на которые следует ответить на этапе изучения.
- Показывают ли учетные записи подозрительную активность входа в систему?
- Были ли несанкционированные изменения учетных данных?
- Были ли подозрительные изменения конфигурации учетных записей?
- Получила ли учетная запись несанкционированные роли в приложении?
Руководство по операциям безопасности Microsoft Entra для приложений содержит подробные рекомендации по областям исследования.
Когда вы определите, было ли скомпрометировано удостоверение рабочей нагрузки, следует отменить риск учетной записи или подтвердить компрометацию учетной записи в отчете о рисковых удостоверениях рабочих нагрузок. Вы также можете выбрать "Отключить служебный принципал", если вы хотите заблокировать учетную запись от дальнейших входов в систему.
Устранение рискованных идентификаторов рабочей нагрузки
- Перечислите все учетные данные, назначенные идентификатору рискованной рабочей нагрузки, будь то для служебного принципала или объектов приложения.
- Добавьте новые учетные данные. Корпорация Майкрософт рекомендует использовать сертификаты x509.
- Удалите скомпрометированные учетные данные. Если вы считаете, что учетная запись находится в группе риска, рекомендуется удалить все существующие учетные данные.
- Исправьте все секреты Azure KeyVault, к которым субъект-служба имеет доступ, путем их смены.
Microsoft Entra Toolkit — это модуль PowerShell, который поможет вам выполнить некоторые из этих действий.