Simulazione dei rilevamenti dei rischi in Microsoft Entra ID Protection

Amministrazione istrator potrebbe voler simulare il rischio nel proprio ambiente per eseguire gli elementi seguenti:

• Popolare i dati nell'ambiente Microsoft Entra ID Protection simulando rilevamenti dei rischi e vulnerabilità.
• Configurare i criteri di accesso condizionale basato sul rischio e testare l'effetto di questi criteri.

Questo articolo illustra i passaggi per simulare i tipi di rilevamento dei rischi seguenti:

• Indirizzo IP anonimo (facile)
• Proprietà di accesso insolite (moderato)
• Spostamento fisico atipico (difficile)
• Credenziali perse in GitHub per le identità del carico di lavoro (moderate)

Altri rilevamenti dei rischi non possono essere simulati in modo sicuro.

Altre informazioni su ogni rilevamento dei rischi sono disponibili nell'articolo Che cos'è il rischio per l'identità dell'utente e del carico di lavoro.

Indirizzo IP anonimo

Per completare la procedura seguente, sono necessari:

• Tor Browser per simulare indirizzi IP anonimi. Potrebbe essere necessario usare una macchina virtuale, se l'organizzazione limita l'uso di Tor Browser.
• Un account di test non ancora registrato per l'autenticazione a più fattori Di Microsoft Entra.

Per simulare un accesso da un IP anonimo, seguire questa procedura:

1. Usando Tor Browser, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account da visualizzare nel report Accessi da indirizzi IP anonimi .

L'accesso viene visualizzato nel dashboard Identity Protection entro 10-15 minuti.

Proprietà di accesso insolite

Per simulare posizioni sconosciute, è necessario usare una posizione e un dispositivo che l'account di test non sia stato usato in precedenza.

La procedura seguente usa una nuova creazione:

• Connessione VPN, per simulare la nuova posizione.
• Macchina virtuale, per simulare un nuovo dispositivo.

Per completare la procedura seguente, è necessario usare un account utente con:

• Una cronologia di accesso di almeno 30 giorni.
• Autenticazione a più fattori Di Microsoft Entra.

Per simulare un accesso da una posizione non nota, seguire questa procedura:

1. Usando la nuova rete VPN, passare a https://myapps.microsoft.com e immettere le credenziali dell'account di test.
2. Quando si accede con l'account di test, non superare la richiesta di autenticazione a più fattori non passando la richiesta di autenticazione a più fattori.

L'accesso viene visualizzato nel dashboard Identity Protection entro 10-15 minuti.

Spostamento fisico atipico

Simulare la condizione di viaggio atipica è difficile. L'algoritmo usa l'apprendimento automatico per individuare falsi positivi, ad esempio viaggi atipici da dispositivi familiari o accessi da VPN usate da altri utenti nella directory. Inoltre, l'algoritmo richiede una cronologia di accesso di 14 giorni o 10 account di accesso dell'utente prima di iniziare a generare rilevamenti dei rischi. A causa dei modelli complessi di Machine Learning e delle regole precedenti, è possibile che i passaggi seguenti non attivino un rilevamento dei rischi. È possibile replicare questi passaggi per più account Microsoft Entra per simulare questo rilevamento.

Per simulare un rilevamento dei rischi di viaggio atipici, seguire questa procedura:

1. Usando il browser standard, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account per cui si vuole generare un rilevamento dei rischi di viaggio atipici.
3. Modificare l'agente utente. È possibile modificare l'agente utente in Microsoft Edge da Strumenti di sviluppo (F12).
4. Modificare l'indirizzo IP. È possibile modificare l'indirizzo IP usando una VPN, un componente aggiuntivo Tor o creando una nuova macchina virtuale in Azure in un data center diverso.
5. Accedere a https://myapps.microsoft.com con le stesse credenziali usate in precedenza ed entro pochi minuti dall'accesso precedente.

L'accesso viene visualizzato nel dashboard Identity Protection entro 2-4 ore.

Credenziali perse per le identità del carico di lavoro

Questo rilevamento dei rischi indica che le credenziali valide dell'applicazione vengono perse. Questa perdita può verificarsi quando un utente archivia le credenziali in un artefatto di codice pubblico in GitHub. Pertanto, per simulare questo rilevamento, è necessario un account GitHub e può iscriversi a un account GitHub, se non ne è già disponibile uno.

Simulare le credenziali perse in GitHub per le identità del carico di lavoro

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Applicazioni> di identità>Registrazioni app.

3. Selezionare Nuova registrazione per registrare una nuova applicazione o riutilizzare un'applicazione non aggiornata esistente.

4. Selezionare Certificati e segreti>Nuovo segreto client, aggiungere una descrizione del segreto client e impostare una scadenza per il segreto o specificare una durata personalizzata e selezionare Aggiungi. Registrare il valore del segreto per usarlo in un secondo momento per il commit di GitHub.

   Nota

   Non è possibile recuperare di nuovo il segreto dopo aver lasciato questa pagina.

5. Ottenere l'ID tenant e l'ID applicazione (client)nella pagina Panoramica .

6. Assicurarsi di disabilitare l'applicazione tramite Identity>Applications Enterprise Application>Properties (Proprietà> applicazione>aziendali) Impostare Abilitato per consentire agli utenti di accedere a No.

7. Creare un repository GitHub pubblico , aggiungere la configurazione seguente ed eseguire il commit della modifica come file con estensione txt.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. In circa 8 ore è possibile visualizzare un rilevamento delle credenziali perse in Protection>Identity Protection>Risk Detection Workload Identity Detection Identity Detection>Dove altre informazioni contengono l'URL del commit di GitHub.

Test dei criteri di rischio

Questa sezione illustra i passaggi per testare l'utente e i criteri di rischio di accesso creati nell'articolo Procedura: Configurare e abilitare i criteri di rischio.

Criteri di rischio utente

Per testare i criteri di sicurezza per il rischio utente, seguire questa procedura:

1. Configurare un criterio di rischio utente destinato agli utenti con cui si prevede di eseguire il test.
2. Elevare il rischio utente di un account di test, ad esempio simulando uno dei rilevamenti dei rischi alcune volte.
3. Attendere alcuni minuti e verificare che il rischio sia elevato per l'utente. In caso contrario, simulare più rilevamenti di rischio per l'utente.
4. Tornare ai criteri di rischio e impostare Imponi criteri su Sì e Salva la modifica dei criteri.
5. È ora possibile testare l'accesso condizionale basato sul rischio utente eseguendo l'accesso usando un utente con un livello di rischio elevato.

Criteri di sicurezza per il rischio di accesso

Per testare un criterio di rischio di accesso, seguire questa procedura:

1. Configurare un criterio di rischio di accesso destinato agli utenti con cui si prevede di eseguire il test.
2. È ora possibile testare l'accesso condizionale basato sul rischio di accesso accedendo usando una sessione rischiosa, ad esempio usando il browser Tor.

Passaggi successivi

• Che cos'è il rischio?

• Protezione delle identità del carico di lavoro con Identità

• Procedura: configurare e abilitare i criteri di rischio

• Microsoft Entra ID Protection