Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Security Copilot получает аналитические сведения от данных Microsoft Entra с помощью множества различных навыков, таких как исследование рисков идентификации с помощью защиты идентификаторов Microsoft Entra и изучение сведений журнала аудита Microsoft Entra. Навыки управления рисками приложений позволяют администраторам идентификаций и аналитикам безопасности, которые управляют приложениями или идентичностями рабочих процессов в Microsoft Entra, определять и понимать риски с помощью запросов на естественном языке. Используя такие запросы, как "Список рискованных приложений для моего арендатора", аналитик получает лучшее представление о риске, связанном с идентификацией приложений, и может обнаруживать другие сведения о приложении в Microsoft Entra. Сведения могут включать разрешения, предоставленные (особенно разрешения с высоким уровнем привилегий), неиспользуемые приложения в клиенте и приложения за пределами своего клиента.
Затем Служба безопасности Copilot использует контекст запроса для ответа, например со списком приложений или разрешений, а затем всплывает ссылки на Центр администрирования Microsoft Entra, чтобы администраторы могли просмотреть полный список и принять соответствующие действия по исправлению для их рискованных приложений. ИТ-администраторы и аналитики центра безопасности (SOC) могут использовать эти и другие навыки, чтобы получить необходимый контекст и помочь в расследовании и устранении инцидентов, связанных с удостоверениями, используя команды на естественном языке.
В этой статье описывается, как аналитик SOC или ИТ-администратор могут использовать навыки Microsoft Entra для расследования потенциального инцидента безопасности.
Замечание
Эти навыки риска приложений предоставляют данные об отдельных клиентах, сторонних приложениях SaaS и мультитенантных приложениях, которые являются приложениями или субъектами-службами в Microsoft Entra. Управляемые удостоверения в настоящее время не входят в сферу действия.
Предпосылки
- Клиент с поддержкой Security Copilot. Дополнительные сведения см. в статье "Начало работы с Microsoft Security Copilot ".
Сценарий и исследование
Джейсон, ИТ-администратор в Woodgrove Bank, упреждающе пытается определить и понять любые рискованные приложения в своем клиенте. Он начинает оценку и входит в Microsoft Security Copilot или Центр администрирования Microsoft Entra. Чтобы просмотреть сведения о приложении и главном объекте службы, он входит в систему как минимум с правами Security Reader и с назначенной ролью Microsoft Entra администратора приложений, администратора облачных приложений или аналогичной роли администратора Microsoft Entra, которая имеет разрешения на управление учетными записями приложений и нагрузками в Microsoft Entra. Он может использовать Microsoft Security Copilot для активации этой роли, если он заблокирован из-за отсутствия разрешений на выполнение определенных действий:
- Активируйте {требуемую роль}, чтобы выполнить {нужную задачу}.
Администраторы удостоверений, использующие Security Copilot в рамках центра администрирования Microsoft Entra, могут выбирать из набора начальных подсказок для оценки рисков приложений, которые отображаются в верхней части окна Security Copilot. Выберите из предлагаемых запросов, которые могут появиться после ответа. Запросы о рисках приложений будут отображаться в разделах центра администрирования, связанных с приложениями: Корпоративные приложения, Регистрации приложений и Рискованные удостоверения рабочих нагрузок защиты идентификации.
Изучение рискованных субъектов-служб Microsoft Entra
Джейсон начинает свои исследования, формулируя вопросы на естественном языке, чтобы получить более полное представление о рисках и их "очагах". Это использует данные идентификаторов рабочей нагрузки с рисками, защищаемые Protection, в качестве первоначального фильтра в масштабе приложений арендатора на основе наших обнаружений Microsoft. Эти субъекты-службы несут повышенный риск компрометации.
Он использует любой из следующих запросов, чтобы получить необходимую информацию:
- Показать мне рискованные приложения.
- Может ли какое-либо приложение быть вредоносным или скомпрометированным?
- Список 5 приложений с высоким уровнем риска. Отформатируйте таблицу следующим образом: отображаемое имя | Идентификатор | Состояние риска
- Вывод списка приложений с состоянием риска "Подтвержденная компрометация".
- Отображение сведений о рискованных приложениях с идентификатором {ServicePrincipalObjectId} (или идентификатором приложения {ApplicationId})
Это важно
Для возврата сведений о рисках необходимо использовать учетную запись, авторизованную для администрирования защиты идентификаторов. Арендатор также должен иметь лицензию на использование Premium удостоверений рабочих нагрузок.
Изучите объекты-служб Microsoft Entra
Чтобы получить дополнительные сведения об этих субъектах-службах, идентифицированных как рискованные, Джейсон запрашивает дополнительные сведения от Microsoft Entra, включая информацию, например владельца.
Он использует следующие запросы, чтобы получить необходимую информацию:
- Расскажите подробнее об этих служебных учетных записях (из предыдущего ответа).
- Предоставьте мне сведения о субъекте-службе с помощью {DisplayName} (или {ServicePrincipalId}).
- Предоставьте мне список владельцев этих приложений?
Изучение приложений Microsoft Entra
Джейсон также хочет больше понять о глобальных приложениях, таких как подробности об издателе и статус проверки издателя.
Джейсон использует следующие запросы для получения выбранных свойств приложения:
- Узнайте больше о приложении {DisplayName} или {AppId}.
- Расскажите мне больше об этих приложениях (из предыдущего ответа).
Просмотрите разрешения, предоставленные учетной записи службы Microsoft Entra
Джейсон продолжает оценку и хочет выяснить, какие разрешения были предоставлены всем или отдельным приложениям, чтобы определить потенциальные последствия в случае их компрометации. Обычно трудно оценить различные типы разрешений и ролей администратора, но Copilot упрощает это путем предоставления списка в контексте расследования. Этот навык получает делегированные разрешения, разрешения приложений и роли администратора Microsoft Entra для заданного субъекта-службы Microsoft Entra.
Джейсон также может определить, какие разрешения с высоким уровнем привилегий предоставлены служебному принципалу, на основе оценки рисков корпорацией Майкрософт. В настоящее время они ограничены разрешениями приложений, которые обычно обеспечивают доступ на уровне клиента без контекста пользователя и ролей администратора Microsoft Entra с высоким уровнем привилегий.
Это важно
Этот навык в настоящее время рассматривает только разрешения API и роли администратора Microsoft Entra. В настоящее время он не смотрит на разрешения, отличные от каталога, предоставляемые в таких местах, как Azure RBAC или другие системы авторизации. Высокий уровень привилегированных разрешений ограничен статическим списком поддерживаемых корпорацией Майкрософт, которые могут развиваться с течением времени, и он в настоящее время не может просматриваться или настраиваться клиентами.
Он использует следующие запросы, чтобы получить необходимые им сведения о разрешениях:
- Какие разрешения предоставляются приложению с идентификатором {ServicePrincipalId} или идентификатором приложения {AppId}?
- Какие разрешения имеют указанные выше рискованные приложения (из предыдущего ответа)?
- Какие разрешения, предоставленные этому приложению, имеют высокий уровень привилегий?
Изучение неиспользуемых приложений Microsoft Entra
Джейсон понимает, что у него есть еще одна возможность легкого улучшения ситуации: снизить риск за счет удаления неиспользуемых приложений. Это быстрые победы, потому что:
- Удаление неиспользуемого приложения устраняет множество других рисков с помощью одного действия по исправлению.
- Часто можно агрессивно управлять неиспользуемыми приложениями с помощью централизованных мер, минимизируя риск сбоя или нарушения работы бизнеса, так как пользователи на самом деле не используют приложения.
Используя запросы Copilot, интегрированные с существующей рекомендацией Microsoft Entra для неиспользуемых приложений, Джейсон извлекает соответствующие данные для дальнейшего изучения или работы со своей командой для улучшения состояния безопасности клиента. Ответ содержит ссылки на определенные приложения для упрощения исправления. Аналитик может также задать сведения о конкретных приложениях непосредственно в Security Copilot.
Замечание
Ответ Copilot возвращает список регистраций приложений или самих приложений, не использующихся последние 90 дней и не получавших токены в этот период.
Он использует следующие запросы, чтобы получить необходимую информацию:
- Показать неиспользуемые приложения.
- Сколько неиспользуемых приложений есть?
Изучение приложений Microsoft Entra или субъектов-служб с учетными данными с истекающим сроком действия
Джейсон видит еще одну возможность продлить учетные данные приложения до их даты окончания срока действия для поддержания непрерывных операций и минимизации риска простоя в результате устаревших учетных данных. Учетные данные приложения и принципала службы могут включать сертификаты и другие виды секретов, которые должны быть зарегистрированы в этом приложении или принципале службы. Эти учетные данные используются для подтверждения удостоверения приложения или учетной записи службы.
Используя запросы Copilot, интегрированные с существующей рекомендацией Microsoft Entra для продления истекающих учетных данных приложения и рекомендацией Microsoft Entra для продления истекающих учетных данных основной службы, Джейсон извлекает соответствующие данные, чтобы уменьшить риск сбоя из-за истечения срока действия учетных данных и обновить или заменить их по мере необходимости. Ответ содержит ссылки на определенные приложения для упрощения исправления. Аналитик может также задать сведения о конкретных приложениях непосредственно в Security Copilot.
Замечание
Ответ Copilot возвращает список приложений или сервисных принципалов, у которых учетные данные истекают в течение следующих 30 дней. Следующие учетные данные не подпадают под действие этой рекомендации:
- Учетные данные, определенные как истекающие, но с тех пор удаленные из регистрации приложения.
- Учетные данные, срок действия которых истек, отображаются как завершено в списке затронутых ресурсов.
Он использует следующие запросы, чтобы получить необходимую информацию:
- В каких корпоративных приложениях учетные данные собираются истечь?
- Покажи мне service principals с учетными данными, которые истекают в ближайшее время.
- Отображение приложений с учетными данными, срок действия которых истекает в ближайшее время.
Изучение приложений Microsoft Entra за пределами моего клиента
Джейсон также хотел бы изучить фактор риска для внешних приложений или мультитенантных приложений, имеющих присутствие в его клиенте, но зарегистрированных в клиенте другой организации. Поскольку состояние безопасности этих приложений зависит от состояния владельца арендатора, особенно важно проверять их, чтобы определить риски и возможности для уменьшения областей потенциальной уязвимости. Copilot может возвращать список служебных принципалов в текущем клиенте при помощи многотенантной регистрации приложения за пределами клиента или предоставлять подробную информацию о том, зарегистрирован ли конкретный служебный принципал за пределами клиента.
Он использует следующие запросы, чтобы получить необходимую информацию:
- Показать мне приложения за пределами моего арендатора.
- Сколько приложений находятся за пределами моего клиента?
Устранить
С помощью Security Copilot Джейсон может собирать полную информацию о рисках и базовую информацию о приложениях и служебных принципалах в клиенте Microsoft Entra. После того как Джейсон завершит свою оценку, он принимает меры по устранению рискованных приложений. Security Copilot ссылается на Центр администрирования Microsoft Entra в ответах для администраторов, чтобы они могли предпринять соответствующие корректирующие действия.
Он читает о управлении доступом и безопасностью приложений, идентификациях рабочих нагрузок для обеспечения безопасности, защите от фишинга согласияи планах реагирования, чтобы определить возможные действия, которые необходимо предпринять далее.
Связанный контент
Дополнительные сведения:
- Управление доступом и безопасностью приложений
- Изучение риска в защите идентификаторов
- Защита удостоверений рабочих нагрузок с помощью Microsoft Entra ID Protection
- Защита от фишинга на получение согласия — Microsoft Entra ID | Microsoft Learn
- Расследование скомпрометированных и вредоносных приложений
- Реагирование на угрозы идентификации с помощью сводные данные о рискованных пользователях