Protezione delle identità del carico di lavoro
Microsoft Entra ID Protection consente di rilevare, analizzare e correggere le identità del carico di lavoro per proteggere le applicazioni e le entità servizio oltre alle identità utente.
Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:
- Non è possibile eseguire l'autenticazione a più fattori.
- Spesso non hanno un processo del ciclo di vita formale.
- Devono archiviare le credenziali o i segreti da qualche parte.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.
Importante
I rilevamenti sono visibili solo per i clienti Premium delle identità del carico di lavoro. I clienti senza licenze Premium per le identità del carico di lavoro ricevono ancora tutti i rilevamenti, ma la segnalazione dei dettagli è limitata.
Nota
Protezione ID rileva il rischio per le app SaaS a tenant singolo, SaaS di terze parti e multi-tenant. Le identità gestite non sono attualmente incluse nell'ambito.
Prerequisiti
Per usare il rischio di identità del carico di lavoro, inclusi il nuovo pannello Identità del carico di lavoro rischioso e la scheda Rilevamenti identità del carico di lavoro nel pannello Rilevamenti dei rischi nel portale, è necessario avere quanto segue.
- Licenze Premium delle identità del carico di lavoro: è possibile visualizzare e acquisire licenze nel pannello Identità del carico di lavoro.
- Uno dei ruoli di amministratore seguenti assegnati
- Amministratore della sicurezza
- Operatore per la sicurezza
- Gli utenti con autorizzazioni di lettura per la sicurezza assegnati al ruolo di amministratore dell'accesso condizionale possono creare criteri che usano il rischio come condizione.
Rilevamenti dei rischi di identità del carico di lavoro
Viene rilevato il rischio per le identità del carico di lavoro tra il comportamento di accesso e gli indicatori offline di compromissione.
| Nome rilevamento | Tipo di rilevamento | Descrizione |
|---|---|---|
| Intelligence sulle minacce per Microsoft Entra | Offline | Questo rilevamento di rischi indica un'attività coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft. |
| Accessi sospetti | Offline | Questo rilevamento di rischi indica le proprietà o i modelli di accesso insoliti per questa entità servizio. Il rilevamento apprende il comportamento di accesso delle baseline per le identità del carico di lavoro nel tenant. Questo rilevamento richiede tra 2 e 60 giorni e viene attivato se una o più delle proprietà non note seguenti vengono visualizzate durante un accesso successivo: indirizzo IP/ASN, risorsa di destinazione, agente utente, modifica IP/non hosting ip, paese IP, tipo di credenziale. A causa della natura programmatica degli accessi all'identità del carico di lavoro, viene fornito un timestamp per l'attività sospetta anziché contrassegnare un evento di accesso specifico. Gli accessi avviati dopo una modifica di configurazione autorizzata potrebbero attivare questo rilevamento. |
| Amministrazione confermata compromissione dell'entità servizio | Offline | Questo rilevamento indica un amministratore selezionato "Conferma compromesso" nell'interfaccia utente delle identità del carico di lavoro rischiose o l'uso dell'API riskyServicePrincipals. Per vedere quale amministratore ha confermato questo account compromesso, controllare la cronologia dei rischi dell'account (tramite l'interfaccia utente o l'API). |
| Credenziali perse | Offline | Questo rilevamento dei rischi indica che le credenziali valide dell'account sono perse. Questa perdita può verificarsi quando un utente effettua il check-in delle credenziali nell'artefatto del codice pubblico in GitHub o a seguito di una violazione dei dati. Quando il servizio credenziali perse Microsoft acquisisce le credenziali da GitHub, il Web scuro, incolla siti o altre origini, viene controllato rispetto alle credenziali valide correnti in Microsoft Entra ID per trovare corrispondenze valide. |
| Applicazione dannosa | Offline | Questo rilevamento combina avvisi di Protezione ID e app Microsoft Defender per il cloud per indicare quando Microsoft disabilita un'applicazione per violare le condizioni per il servizio. È consigliabile condurre un'indagine dell'applicazione. Nota: queste applicazioni vengono visualizzate DisabledDueToViolationOfServicesAgreement sulla disabledByMicrosoftStatus proprietà sui tipi di risorse dell'applicazione e dell'entità servizio correlati in Microsoft Graph. Per impedire la creazione di istanze nell'organizzazione in futuro, non è possibile eliminare questi oggetti. |
| Applicazione sospetta | Offline | Questo rilevamento indica che protezione ID o app Microsoft Defender per il cloud ha identificato un'applicazione che potrebbe violare le condizioni per il servizio, ma non l'ha disabilitata. È consigliabile condurre un'indagine dell'applicazione. |
| Attività anomale dell'entità servizio | Offline | Questo rilevamento dei rischi indica il normale comportamento dell'entità servizio amministrativa in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato sull'entità servizio amministrativa che apporta la modifica o l'oggetto modificato. |
Identificare le identità del carico di lavoro rischiose
Le organizzazioni possono trovare le identità del carico di lavoro contrassegnate per il rischio in una delle due posizioni seguenti:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
- Passare a Protezione>identità dei>carichi di lavoro rischiosi.
API Microsoft Graph
È anche possibile eseguire query sulle identità del carico di lavoro rischiose usando l'API Microsoft Graph. Sono disponibili due nuove raccolte nelle API di protezione ID.
riskyServicePrincipalsservicePrincipalRiskDetections
Esportare i dati sui rischi
Le organizzazioni possono esportare i dati configurando le impostazioni di diagnostica in Microsoft Entra ID per inviare dati di rischio a un'area di lavoro Log Analytics, archiviarli in un account di archiviazione, trasmetterli a un hub eventi o inviarli a una soluzione SIEM.
Applicare i controlli di accesso con l'accesso condizionale basato sul rischio
Usando l'accesso condizionale per le identità del carico di lavoro, è possibile bloccare l'accesso per account specifici scelti quando la protezione ID li contrassegna "a rischio". I criteri possono essere applicati alle entità servizio a tenant singolo registrate nel tenant. Le app SaaS, multi-tenant e le identità gestite di terze parti non rientrano nell'ambito.
Per migliorare la sicurezza e la resilienza delle identità del carico di lavoro, la valutazione dell'accesso continuo (CAE) per le identità del carico di lavoro è uno strumento potente che offre un'applicazione immediata dei criteri di accesso condizionale e dei segnali di rischio rilevati. Le identità del carico di lavoro abilitate per CAE che accedono alle risorse di terze parti abilitate per CAE sono dotate di token di lunga durata (LLT) di 24 ore soggetti a controlli di sicurezza continui. Per informazioni sulla configurazione dei client di identità del carico di lavoro per CAE e sull'ambito delle funzionalità aggiornato, vedere la documentazione CAE per le identità del carico di lavoro.
Analizzare le identità del carico di lavoro rischiose
Protezione ID fornisce alle organizzazioni due report che possono usare per analizzare il rischio di identità del carico di lavoro. Questi report sono le identità del carico di lavoro rischiose e i rilevamenti dei rischi per le identità del carico di lavoro. Tutti i report consentono il download di eventi in . Formato CSV per ulteriori analisi.
Alcune delle domande principali da rispondere durante l'indagine includono:
- Gli account mostrano attività di accesso sospette?
- Sono state apportate modifiche non autorizzate alle credenziali?
- Sono state apportate modifiche di configurazione sospette agli account?
- L'account ha acquisito ruoli applicazione non autorizzati?
La Guida alle operazioni di sicurezza di Microsoft Entra per le applicazioni fornisce indicazioni dettagliate sulle aree di indagine precedenti.
Dopo aver determinato se l'identità del carico di lavoro è stata compromessa, ignorare il rischio dell'account o confermare l'account come compromesso nel report Identità del carico di lavoro rischioso. È anche possibile selezionare "Disabilita entità servizio" se si vuole bloccare l'account da ulteriori accessi.
Correggere le identità del carico di lavoro rischiose
- Credenziali di inventario assegnate all'identità del carico di lavoro rischiosa, sia per l'entità servizio che per gli oggetti applicazione.
- Aggiungere una nuova credenziale. Microsoft consiglia di usare certificati x509.
- Rimuovere le credenziali compromesse. Se si ritiene che l'account sia a rischio, è consigliabile rimuovere tutte le credenziali esistenti.
- Correggere eventuali segreti di Azure KeyVault a cui l'entità servizio ha accesso ruotandoli.
Microsoft Entra Toolkit è un modulo di PowerShell che consente di eseguire alcune di queste azioni.