Защита удостоверений рабочей нагрузки
Защита идентификации Microsoft Entra могут обнаруживать, исследовать и исправлять удостоверения рабочей нагрузки для защиты приложений и субъектов-служб в дополнение к удостоверениям пользователей.
Удостоверение рабочей нагрузки — это удостоверение , которое позволяет приложению получать доступ к ресурсам, иногда в контексте пользователя. Такие удостоверения рабочей нагрузки отличаются от традиционных учетных записей пользователей, так как:
- Они не могут выполнять многофакторную проверку подлинности.
- Во многих случаях у них нет формального процесса жизненного цикла.
- Они должны где-то хранить свои учетные данные или секреты.
Такие различия затрудняют управление удостоверениями рабочей нагрузки и повышают риск их компрометации.
Внимание
Полные сведения о рисках и средства управления доступом на основе рисков доступны клиентам рабочей нагрузки "Премиум"; однако клиенты без лицензий "Удостоверения рабочей нагрузки Premium" по-прежнему получают все обнаружения с ограниченными сведениями о отчетах.
Примечание.
Защита идентификаторов обнаруживает риск для отдельных клиентов, сторонних приложений SaaS и мультитенантных приложений. Управляемые удостоверения в настоящее время не находятся в области.
Необходимые компоненты
Чтобы использовать отчеты о рисках для удостоверений рабочей нагрузки, включая новую колонку "Удостоверения рабочей нагрузки" и вкладку "Обнаружение удостоверений рабочей нагрузки" в колонке "Обнаружение рисков" на портале, необходимо иметь следующее.
- Одна из следующих ролей администратора, назначенных
- Администратор безопасности
- Оператор безопасности
- Пользователи средства чтения безопасности, назначенные роли администратора условного доступа, могут создавать политики, использующие риск в качестве условия.
Чтобы принять меры по удостоверениям рискованных рабочих нагрузок, рекомендуется настроить политики условного доступа на основе рисков, для которых требуется лицензирование удостоверений рабочей нагрузки Premium : вы можете просмотреть, запустить пробную версию и получить лицензии в колонке удостоверений рабочей нагрузки.
Обнаружение рисков идентификации рабочей нагрузки
Мы обнаруживаем риск в удостоверениях рабочей нагрузки в отношении поведения входа и автономных индикаторов компрометации.
Имя обнаружения | Тип обнаружения | Description | riskEventType |
---|---|---|---|
Аналитика угроз Microsoft Entra | Offline | Это обнаружение риска указывает на некоторые действия, соответствующие известным шаблонам атак на основе внутренних и внешних источников аналитики угроз в Майкрософт. | исследованияThreatIntelligence |
Подозрительные входы | Offline | Это обнаружение риска указывает на свойства или шаблоны входа, необычные для данного субъекта-службы. Обнаружение узнает о базовом поведении входа в систему для удостоверений рабочей нагрузки в клиенте. Это обнаружение занимает от 2 до 60 дней и возникает, если во время последующего входа отображается одно или несколько неизвестных свойств: IP-адрес / ASN, целевой ресурс, агент пользователя, изменение IP-адреса или не размещенного IP-адреса, страна IP, тип учетных данных. Из-за программного характера событий входа в удостоверения рабочей нагрузки мы вводим отметку времени для подозрительных действий, а не отмечаем конкретное событие входа. Вход, инициируемый после изменения авторизованной конфигурации, может активировать это обнаружение. |
подозрительныеsignins |
Администратор подтвердил компрометацию субъекта-службы | Offline | Это обнаружение указывает, что администратор выбрал параметр "Подтвердить скомпрометирован" в пользовательском интерфейсе удостоверений рабочей нагрузки рисков или с помощью API riskyServicePrincipals. Чтобы узнать, какой администратор подтвердил скомпрометированную учетную запись, проверьте журнал рисков учетной записи (с помощью пользовательского интерфейса или API). | adminConfirmedServicePrincipalCompromised |
Утечка учетных данных | Offline | Это обнаружение рисков указывает на утечку допустимых учетных данных учетной записи. Такая утечка может произойти, когда кто-то синхронизирует учетные данные в артефакте открытого кода на GitHub или когда учетные данные становятся известны в результате утечки данных. Когда служба утечки учетных данных Майкрософт получает учетные данные из GitHub, темного веб-сайта, вставки сайтов или других источников, они проверяются на наличие текущих допустимых учетных данных в идентификаторе Microsoft Entra, чтобы найти допустимые совпадения. |
утечкаCredentials |
Вредоносное приложение | Offline | Это обнаружение объединяет оповещения от защиты идентификаторов и Microsoft Defender для облака приложения, чтобы указать, когда корпорация Майкрософт отключает приложение для нарушения условий обслуживания. Рекомендуется изучить приложение. Примечание. Эти приложения отображаются DisabledDueToViolationOfServicesAgreement в свойстве disabledByMicrosoftStatus связанных типов ресурсов приложения и субъекта-службы в Microsoft Graph. Чтобы предотвратить создание экземпляров в организации в будущем, вы не сможете удалить эти объекты. |
вредоносное приложениеApplication |
Подозрительное приложение | Offline | Это обнаружение означает, что защита идентификаторов или Microsoft Defender для облака приложения определили приложение, которое может нарушать условия обслуживания, но не отключило его. Рекомендуется изучить приложение. | подозрительное приложениеApplication |
Аномальное действие субъекта-службы | Offline | Эта схема обнаружения рисков обычно использует поведение субъекта-службы администрирования в идентификаторе Microsoft Entra ID и обнаруживает аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение активируется для субъекта-службы администрирования, внося изменения или измененный объект. | aomalousServicePrincipalActivity |
Подозрительный трафик API | Offline | Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик GraphAPI или перечисление каталога субъекта-службы. Обнаружение подозрительного трафика API может указывать на ненормальную разведку или кражу данных субъектом-службой. | подозрительныйAPITraffic |
Идентификация рискованных удостоверений рабочей нагрузки
Организации могут найти удостоверения рабочей нагрузки, помеченные для риска в одном из двух расположений:
- Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
- Перейдите к удостоверениям рабочей нагрузки защиты удостоверений защиты>>идентификации.
API-интерфейсы Microsoft Graph
Рискованные удостоверения рабочей нагрузки также можно запрашивать с помощью API Microsoft Graph. В API защиты идентификаторов есть две новые коллекции.
riskyServicePrincipals
servicePrincipalRiskDetections
Экспорт данных о рисках
Организации могут экспортировать данные, настроив параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные риска в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать их в концентратор событий или отправлять их в решение SIEM.
Принудительное применение элементов управления доступом с помощью условного доступа на основе рисков
С помощью условного доступа для удостоверений рабочей нагрузки можно заблокировать доступ для определенных учетных записей, которые вы выбираете, когда защита идентификаторов помечает их как "под угрозой". Политику можно применить к субъектам-службам с одним клиентом, зарегистрированным в клиенте. На сторонние приложения SaaS, приложения с несколькими клиентами и управляемые удостоверения политика не распространяется.
Для повышения безопасности и устойчивости удостоверений рабочей нагрузки для удостоверений непрерывного доступа (CAE) для удостоверений рабочей нагрузки — это мощный инструмент, который обеспечивает мгновенное применение политик условного доступа и любые обнаруженные сигналы риска. Удостоверения сторонних рабочих нагрузок с поддержкой CAE, обращающиеся к сторонним ресурсам, оснащены 24 часами маркеров длительной жизни (LLT), которые подвергаются непрерывным проверкам безопасности. Сведения о настройке клиентов удостоверений рабочей нагрузки для ЦС и актуальной области функций см. в документации по ЦС ЦС для удостоверений рабочей нагрузки.
Изучение рискованных удостоверений рабочей нагрузки
Защита идентификаторов предоставляет организациям два отчета, которые они могут использовать для изучения риска идентификации рабочей нагрузки. Эти отчеты представляют собой рискованные удостоверения рабочей нагрузки и обнаружения рисков для таких удостоверений. Все отчеты позволяют загружать события в . Формат CSV для дальнейшего анализа.
Ниже приведены некоторые ключевые вопросы, на которые следует ответить на этапе изучения.
- Показывают ли учетные записи подозрительные действия входа?
- Выполнялись ли несанкционированные изменения учетных данных?
- Выполнялись ли подозрительные изменения конфигурации в учетных записях?
- Получила ли учетная запись неавторизованные роли приложения?
Руководство по операциям безопасности Microsoft Entra для приложений содержит подробные рекомендации по указанным выше областям исследования.
После того как вы определите, скомпрометировано ли удостоверение рабочей нагрузки, опустите риск учетной записи или подтвердите, что учетная запись скомпрометирована в отчете о удостоверениях рабочей нагрузки рискованно. Вы также можете выбрать "Отключить субъект-службу", если вы хотите заблокировать учетную запись от дальнейших входов.
Исправление рискованных удостоверений рабочей нагрузки
- Учетные данные инвентаризации, назначенные рискованному удостоверению рабочей нагрузки, либо для субъекта-службы, либо для объектов приложения.
- Добавьте новые учетные данные. Корпорация Майкрософт рекомендует использовать сертификаты x509.
- Удалите скомпрометированные учетные данные. Если вы считаете, что учетная запись находится в группе риска, рекомендуется удалить все существующие учетные данные.
- Исправьте все секреты Azure KeyVault, к которым субъект-служба имеет доступ, путем их смены.
Microsoft Entra Toolkit — это модуль PowerShell, который поможет вам выполнить некоторые из этих действий.