除用户标识外,Microsoft Entra ID 保护还可以检测、调查和修正工作负载标识,以保护应用程序和服务主体。
工作负荷标识是一种标识,允许应用程序访问资源,有时在用户的上下文中。 这些工作负载标识与传统用户帐户的不同之处在于:
- 无法执行多重身份验证。
- 通常没有正式的生命周期过程。
- 需要将其凭据或机密存储在某处。
这些差异使得工作负载标识更难管理,并使它们面临更高的泄露风险。
重要
工作负荷标识高级客户可以使用完整的风险详细信息和基于风险的访问控制;但是,没有 工作负载标识高级 许可证的客户仍会收到所有检测,其中包含有限的报告详细信息。
注意
ID 保护可检测单租户、非Microsoft SaaS 和多租户应用的风险。 托管身份目前不在考虑范围内。
先决条件
若要使用工作负荷标识风险报告,包括风险工作负荷标识和管理中心风险检测中的“工作负荷标识检测”选项卡,必须具备以下各项。
分配的以下管理员角色之一
分配 有条件访问管理员 角色的用户可以创建将风险用作条件的策略。
若要对有风险的工作负荷标识采取措施,我们建议设置基于风险的条件访问策略,这需要 工作负载标识高级 许可:可以查看、启动试用版,并在 工作负荷标识上获取许可证。
注意
借助 Microsoft Security Copilot,您可以使用自然语言提示来了解有风险的工作负荷标识。 详细了解如何在 Microsoft Entra 中使用 Microsoft Security Copilot 评估应用程序风险。
工作负载标识风险检测
我们通过登录行为和脱机入侵指标检查工作负载标识的风险。
| 检测名称 | 检测类型 | 说明 | 风险事件类型 |
|---|---|---|---|
| Microsoft Entra 威胁情报 | 脱机 | 此风险检测指示某项活动与基于 Microsoft 内部和外部威胁情报来源的已知攻击模式一致。 | 调查威胁情报 |
| 可疑登录 | 脱机 | 此风险检测指示此服务主体不常见的登录属性或模式。 检测将了解租户中工作负载标识的基线登录行为。 此检测需要 2 到 60 天,如果以下一个或多个不熟悉的属性在以后登录期间出现,则触发该行为:IP 地址/ASN、目标资源、用户代理、托管/非托管 IP 更改、IP 国家/地区、凭据类型。 由于工作负载标识登录的编程性质,我们提供了可疑活动的时间戳,而不是标记特定的登录事件。 在授权配置更改后启动的登录可能会触发此检测。 | 可疑登录 |
| 管理员已确认服务主体被盗用 | 脱机 | 此检测指示管理员在风险工作负载标识 UI 中或使用 riskyServicePrincipals API 选择了“确认被盗用”。 若要查看哪位管理员确认了此帐户被盗用,请(通过 UI 或 API)检查帐户的风险历史记录。 | 管理员确认的服务主体被入侵 |
| 凭据泄漏 | 脱机 | 此风险检测指示帐户的有效凭据已泄露。 如果有人在 GitHub 上的公共代码项目中签入凭据,或者由于数据泄露而泄露了凭据,则可能会发生此泄露。 当 Microsoft 凭据泄露服务从 GitHub、暗网、粘贴网站或其他来源获取凭据时,会根据 Microsoft Entra ID 中的当前有效凭据对其进行检查,找到有效的匹配项。 | 泄露凭证 |
| 恶意应用程序 | 脱机 | 此检测将来自 ID 保护和 Microsoft Defender for Cloud Apps 的警报组合在一起,以指示 Microsoft 禁用违反服务条款的应用程序的时间。 建议 对应用程序进行调查 。 注意:这些应用程序在 Microsoft Graph 中的相关DisabledDueToViolationOfServicesAgreement和disabledByMicrosoftStatus资源类型上的 属性上显示 。 若要防止将来在组织中再次实例化这些对象,不能删除这些对象。 |
恶意应用程序 |
| 可疑应用程序 | 脱机 | 此检测指示 ID 保护或 Microsoft Defender for Cloud Apps 已识别出可能违反我们的服务条款的应用程序,但尚未禁用它。 建议 对应用程序进行调查 。 | 可疑应用程序 |
| 异常服务主体活动 | 脱机 | 此风险检测以 Microsoft Entra ID 中的正常管理服务主体行为为基准,并发现异常行为模式(例如对目录的可疑更改)。 针对进行更改的管理服务主体或已更改的对象触发检测。 | 异常服务主体活动 |
| 可疑 API 流量 | 脱机 | 当观察到异常的 GraphAPI 流量或服务主体目录枚举时,会报告此风险检测。 可疑API流量检测可能表明由服务主体进行的异常侦查或数据外泄。 | 可疑API流量 |
识别风险工作负载标识
组织可以在两个位置之一找到标记为风险的工作负载标识:
- 以至少具有安全读取权限的身份登录到Microsoft Entra 管理中心。
- 浏览到 ID 保护>风险工作负荷标识。
Microsoft 图形 API
还可以 使用 Microsoft 图形 API 查询有风险的工作负荷标识。 ID 保护 API 中有两个新集合。
riskyServicePrincipalsservicePrincipalRiskDetections
导出风险数据
组织可以通过在 Microsoft Entra ID 中配置诊断设置 来导出数据,以将风险数据发送到 Log Analytics 工作区,将其存档到存储帐户,将其流式传输到事件中心,或将其发送到 SIEM 解决方案。
使用基于风险的条件访问强制实施访问控制
对 工作负荷标识使用条件访问,可以阻止对 ID 保护标记为“有风险”的特定帐户的访问。策略可以应用于在租户中注册的单租户服务主体。 非微软SaaS、多租户应用和托管标识不在范围之内。
为提高工作负载标识的安全性和复原能力,工作负载标识的连续访问评估 (CAE) 这款功能强大的工具可立即实施条件访问策略,还会针对任何检测到的风险提供信号提示。 启用 CAE 的非 Microsoft 工作负载标识在访问支持 CAE 的第一方资源时,将配备 24 小时长效令牌(LLT),这些令牌会接受持续的安全检查。 有关为 CAE 和当前功能范围配置工作负荷标识客户端的详细信息,请参阅 适用于工作负荷标识文档的 CAE。
调查风险工作负载标识
ID 保护服务为组织提供了两种可用于调查工作负载标识风险的报表。 这些报表是风险工作负载标识,以及工作负载标识的风险检测。 所有报表都能以 .CSV 格式下载事件,以便进一步分析。
调查期间要回答的一些关键问题包括:
- 帐户是否显示可疑登录活动?
- 凭证是否有未经授权的更改?
- 帐户是否有可疑的配置更改?
- 帐户是否获取了未经授权的应用程序角色?
适用于应用程序的 Microsoft Entra 安全操作指南提供有关调查领域的详细指导。
确定工作负荷标识是否遭到入侵后,应消除该帐户的风险,或确认该帐户在“风险工作负荷标识”报告中已泄露。 如果要阻止帐户进一步登录,还可以选择“禁用服务主体”。
修正风险工作负载标识
- 对服务主体或应用程序对象,清点分配给风险工作负载身份的任何凭证。
- 添加新凭据。 Microsoft 建议使用 x509 证书。
- 删除被入侵的凭据。 如果认为帐户存在风险,建议删除所有现有凭据。
- 通过轮换服务主体有权访问的任何 Azure KeyVault 机密来修正这些机密。
Microsoft Entra Toolkit 是一个 PowerShell 模块,可帮助你执行其中一些作。