保护工作负载标识
除用户标识外,Microsoft Entra ID 保护还可以检测、调查和修正工作负载标识,以保护应用程序和服务主体。
工作负载标识是允许应用程序或服务主体访问资源(有时在用户上下文中)的标识。 这些工作负载标识与传统用户帐户不同,因为它们:
- 无法执行多重身份验证。
- 通常没有正式的生命周期过程。
- 需要将其凭据或机密存储在某处。
这些差异使得工作负载标识更难管理,并使它们面临更高的泄露风险。
重要
检测仅对工作负载标识高级版客户可见。 没有工作负载标识高级版许可证的客户仍会收到所有检测,但详细信息报告是有限的。
注意
ID 保护可检测单租户、第三方 SaaS 和多租户应用的风险。 托管标识目前不在范围内。
先决条件
若要利用工作负载标识风险,包括新的“风险工作负载标识”边栏选项卡和门户中“风险检测”边栏选项卡中的“工作负载标识检测”选项卡,必须具有以下条件。
- 工作负载标识高级许可:可以在“工作负载标识”边栏选项卡上查看和获取许可证。
- 分配了以下管理员角色之一
- 安全管理员
- 安全操作员
- 分配有“条件访问”管理员角色的安全读者用户可以创建将风险用作条件的策略。
工作负载标识风险检测
我们通过登录行为和脱机入侵指标检查工作负载标识的风险。
| 检测名称 | 检测类型 | 说明 |
|---|---|---|
| Microsoft Entra 威胁情报 | 脱机 | 此风险检测指示某项活动与基于 Microsoft 内部和外部威胁情报来源的已知攻击模式一致。 |
| 可疑登录 | Offline | 此风险检测指示此服务主体不常见的登录属性或模式。 检测将了解租户中工作负载标识的基线登录行为。 此检测需要 2 到 60 天,如果以下一个或多个不熟悉的属性在以后登录期间出现,则触发该行为:IP 地址/ASN、目标资源、用户代理、托管/非托管 IP 更改、IP 国家/地区、凭据类型。 由于工作负载标识登录的编程性质,我们提供了可疑活动的时间戳,而不是标记特定的登录事件。 在授权配置更改后启动的登录可能会触发此检测。 |
| 管理员已确认服务主体被盗用 | 脱机 | 此检测指示管理员在风险工作负载标识 UI 中或使用 riskyServicePrincipals API 选择了“确认被盗用”。 若要查看哪位管理员确认了此帐户被盗用,请(通过 UI 或 API)检查帐户的风险历史记录。 |
| 凭据泄漏 | Offline | 此风险检测指示帐户的有效凭据已泄露。 如果有人在 GitHub 上的公共代码项目中签入凭据,或者由于数据泄露而泄露了凭据,则可能会发生此泄露。 当 Microsoft 凭据泄露服务从 GitHub、暗网、粘贴网站或其他来源获取凭据时,会根据 Microsoft Entra ID 中的当前有效凭据对其进行检查,找到有效的匹配项。 |
| 恶意应用程序 | Offline | 此检测将来自 ID 保护和 Microsoft Defender for Cloud Apps 的警报组合在一起,以指示 Microsoft 禁用违反服务条款的应用程序的时间。 我们建议对应用程序进行调查。 注意:这些应用程序在 Microsoft Graph 中的相关应用程序和服务主体资源类型上的 disabledByMicrosoftStatus 属性上显示 DisabledDueToViolationOfServicesAgreement。 若要防止将来在组织中再次实例化这些对象,不能删除这些对象。 |
| 可疑应用程序 | Offline | 此检测指示 ID 保护或 Microsoft Defender for Cloud Apps 已识别出可能违反我们的服务条款的应用程序,但尚未禁用它。 我们建议对应用程序进行调查。 |
| 异常服务主体活动 | 脱机 | 此风险检测以 Microsoft Entra ID 中的正常管理服务主体行为为基准,并发现异常行为模式(例如对目录的可疑更改)。 针对进行更改的管理服务主体或已更改的对象触发检测。 |
识别风险工作负载标识
组织可以在两个位置之一找到标记为风险的工作负载标识:
- 至少以安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“标识保护”>“存在风险的工作负载标识”。
Microsoft 图形 API
还可以使用 Microsoft Graph API 查询风险工作负载标识。 ID 保护 API 中有两个新集合。
riskyServicePrincipalsservicePrincipalRiskDetections
导出风险数据
组织可以通过配置 Microsoft Entra ID 中的诊断设置来导出数据,以将风险数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心,或者将数据发送到 SIEM 解决方案。
使用基于风险的条件访问强制实施访问控制
为工作负载标识使用条件访问,可以在 ID 保护将你选择的特定帐户标记为“有风险”时阻止对这些帐户的访问。策略可应用于在租户中注册的单租户服务主体。 第三方 SaaS、多租户应用和托管标识不在范围内。
为提高工作负载标识的安全性和复原能力,工作负载标识的连续访问评估 (CAE) 这款功能强大的工具可立即实施条件访问策略,还会针对任何检测到的风险提供信号提示。 启用了 CAE 的第三方工作负载标识(其访问启用了 CAE 的第一方资源)配备了 24 小时长期令牌 (LLT),这些令牌需要持续接受安全检查。 有关为工作负载标识客户端配置 CAE 和最新功能范围的信息,请参阅适用于工作负载标识的 CAE 文档。
调查风险工作负载标识
ID 保护服务为组织提供了两种可用于调查工作负载标识风险的报表。 这些报表是风险工作负载标识,以及工作负载标识的风险检测。 所有报表都能以 .CSV 格式下载事件,以便进一步分析。
调查期间要回答的一些关键问题包括:
- 帐户是否显示可疑登录活动?
- 凭据是否有未经授权的更改?
- 帐户是否有可疑的配置更改?
- 帐户是否获取了未经授权的应用程序角色?
Microsoft Entra 应用程序安全操作指南提供了有关上述调查领域的详细指导。
确定工作负载标识受到危害后,请消除帐户的风险或在风险工作负载标识报表中确认帐户受到危害。 如果要阻止帐户进一步登录,还可以选择“禁用服务主体”。
修正风险工作负载标识
- 分配给风险工作负载标识的清单凭据,无论是针对服务主体还是应用程序对象。
- 添加新凭据。 Microsoft 建议使用 x509 证书。
- 删除被入侵的凭据。 如果认为帐户存在风险,建议删除所有现有凭据。
- 通过轮换服务主体有权访问的任何 Azure KeyVault 机密来修正这些机密。
Microsoft Entra 工具包是一个 PowerShell 模块,可帮助你执行其中一些操作。