保護工作負載身分識別
除了使用者身分識別之外,Microsoft Entra ID Protection 還可以偵測、調查及補救工作負載身分識別,以保護應用程式和服務主體。
工作負載身分識別是一種身分識別,可讓應用程式或服務主體存取資源,有時是在使用者的內容中。 這些工作負載身分識別與傳統使用者帳戶不同,因為它們:
- 無法執行多重要素驗證。
- 通常不會有正式的生命週期流程。
- 需要將其認證或祕密儲存於某處。
這些差異讓工作負載身分識別更難管理,並使其承受更高的盜用風險。
重要
只有工作負載身分識別 進階版 客戶才能看到偵測。 沒有工作負載身分識別的客戶 進階版 授權仍會收到所有偵測,但詳細數據報告受到限制。
注意
標識元保護會偵測單一租使用者、第三方 SaaS 和多租使用者應用程式的風險。 受控識別目前不在範圍內。
必要條件
若要使用工作負載身分識別風險,包括新的風險工作負載身分識別刀鋒視窗和入口網站 [風險偵測] 刀鋒視窗中的 [工作負載身分識別偵測] 索引卷標,您必須具備下列專案。
- 工作負載身分識別 進階版 授權:您可以在 [工作負載身分識別] 刀鋒視窗上檢視和取得授權。
- 指派下列其中一個系統管理員角色
- 安全性系統管理員
- 安全性操作員
- 已指派條件式存取系統管理員角色的安全性讀取者使用者可以建立原則,以使用風險作為條件。
工作負載身分識別風險偵測
我們偵測到跨登入行為和離線入侵指標的工作負載身分識別風險。
| 偵測名稱 | 偵測類型 | 描述 |
|---|---|---|
| Microsoft Entra 威脅情報 | 離線 | 此風險偵測會根據 Microsoft 內部及外部威脅情報來源,指出一些與已知攻擊模式一致的活動。 |
| 可疑登入 | 離線 | 此風險偵測指出對此服務主體而言不尋常的登入屬性或模式。 此偵測會瞭解租使用者中工作負載身分識別的基準登入行為。 此偵測需要 2 到 60 天,並在稍後登入期間出現下列一或多個不熟悉的屬性時引發:IP 位址/ASN、目標資源、使用者代理程式、裝載/非裝載 IP 變更、IP 國家/地區、認證類型。 由於工作負載身分識別登入的程式設計本質,我們會提供可疑活動的時間戳,而不是標示特定的登入事件。 在授權組態變更之後起始的登入可能會觸發此偵測。 |
| 管理員 已確認的服務主體遭到入侵 | 離線 | 此偵測指出系統管理員在具風險的工作負載身分識別 UI 或使用 riskyServicePrincipals API 中選取 [確認遭入侵]。 若要查看哪個系統管理員確認此帳戶遭入侵,請檢查帳戶的風險歷程記錄(透過 UI 或 API)。 |
| 認證外洩 | 離線 | 此風險偵測指出帳戶的有效認證外洩。 當有人在 GitHub 上的公用程式碼成品中簽入認證時,或者當認證透過資料缺口外洩時,可能就會發生這類外洩。 當 Microsoft 洩露的認證服務從 GitHub、深色 Web、貼上網站或其他來源取得認證時,會針對 Microsoft Entra ID 中的目前有效認證進行檢查,以尋找有效的相符專案。 |
| 惡意應用程式 | 離線 | 此偵測會結合ID Protection和 適用於雲端的 Microsoft Defender Apps 的警示,指出 Microsoft 何時停用應用程式違反服務條款。 建議您 對應用程式進行調查 。 注意:這些應用程式會顯示DisabledDueToViolationOfServicesAgreement在 disabledByMicrosoftStatus Microsoft Graph 中相關應用程式和服務主體資源類型的 屬性上。 若要防止他們在未來再次在組織中具現化,您無法刪除這些物件。 |
| 可疑的應用程式 | 離線 | 此偵測表示標識碼保護或 適用於雲端的 Microsoft Defender 應用程式識別出可能違反服務條款但尚未停用的應用程式。 建議您 對應用程式進行調查 。 |
| 異常服務主體活動 | 離線 | 此風險偵測會比較 Microsoft Entra ID 中的一般管理服務主體行為,並發現異常的行為模式,例如目錄的可疑變更。 針對進行變更的管理服務主體或已變更的物件觸發偵測。 |
識別具風險的工作負載身分識別
組織可以在兩個位置的其中一個位置找到標示為風險的工作負載身分識別:
- 以至少安全性讀取者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護身分識別保護>>風險] 工作負載身分識別。
Microsoft Graph API
您也可以使用 Microsoft Graph API 查詢有風險的工作負載身分識別。 標識元保護 API 中有兩個新的集合。
riskyServicePrincipalsservicePrincipalRiskDetections
匯出風險資料
組織可以藉由 設定 Microsoft Entra ID 中的診斷設定來匯出數據,以將風險數據傳送至 Log Analytics 工作區、將它封存至記憶體帳戶、將它串流至事件中樞,或將它傳送至 SIEM 解決方案。
使用風險型條件式存取強制執行訪問控制
針對工作負載身分識別使用條件式存取,您可以在標識符保護標示為「有風險」時,封鎖您所選擇的特定帳戶存取。原則可以套用至您租用戶中註冊的單一租用戶服務主體。 協力廠商 SaaS、多租用戶應用程式及受控識別均已超出範圍。
為了改善工作負載身分識別的安全性和復原能力,工作負載身分識別的持續存取評估 (CAE) 是一個功能強大的工具,可讓您立即強制執行條件式存取原則和任何偵測到的風險訊號。 已啟用 CAE 的第三方工作負載身分識別可存取 CAE 的第一方資源,具備 24 小時長時間存留令牌(LLT),這些令牌會受到持續安全性檢查。 如需 設定 CAE 和最新功能範圍之工作負載身分識別客戶端的相關信息,請參閱工作負載身分識別檔的 CAE。
調查具風險的工作負載身分識別
標識元保護為組織提供兩份報告,可用來調查工作負載身分識別風險。 這些報告是有風險的工作負載身分識別,以及工作負載身分識別的風險偵測。 所有報告都允許在 中下載事件。用於進一步分析的 CSV 格式。
調查期間要回答的一些關鍵問題包括:
- 帳戶是否顯示可疑的登入活動?
- 認證是否有未經授權的變更?
- 帳戶是否有可疑的組態變更?
- 帳戶是否取得未經授權的應用程式角色?
應用程式的 Microsoft Entra 安全性作業指南提供上述調查區域的詳細指引。
一旦您判斷工作負載身分識別是否遭到入侵,請關閉帳戶的風險,或確認帳戶在風險性工作負載身分識別報告中遭入侵。 如果您想要封鎖帳戶進一步登入,也可以選取 [停用服務主體]。
補救具風險的工作負載身分識別
- 針對服務主體或應用程式物件,指派給具風險工作負載識別的清查認證。
- 新增認證。 Microsoft 建議使用 x509 憑證。
- 拿掉遭入侵的認證。 如果您認為帳戶有風險,建議您移除所有現有的認證。
- 藉由輪替來補救服務主體可存取的任何 Azure KeyVault 秘密。
Microsoft Entra Toolkit 是 PowerShell 模組,可協助您執行其中一些動作。