Моделирование обнаружения рисков в службе защиты идентификации

Администраторам иногда требуется смоделировать риск в своей среде для выполнения следующих задач:

  • добавление данных в среду службы защиты идентификации путем имитации уязвимостей и обнаружения рисков;
  • настройка политик условного доступа на основе рисков и проверка их воздействия.

В этой статье поэтапно описано моделирование следующих типов обнаружения рисков:

  • Анонимный IP-адрес (легко)
  • Необычные свойства входа (средняя сложность)
  • Необычное перемещение (сложно)

Другие типы обнаружения рисков нельзя моделировать без угрозы для безопасности.

Подробнее о каждом типе обнаружения рисков см. в статье Что такое риск.

Анонимный IP-адрес

Для выполнения следующей процедуры необходимо использовать:

  • Браузер Tor Browser. С его помощью вы смоделируете вход с использованием анонимных IP-адресов. Если в вашей организации запрещено использование Tor Browser, может потребоваться воспользоваться виртуальной машиной.
  • Тестовую учетную запись, которая еще не зарегистрирована для Многофакторной проверки подлинности Azure AD.

Чтобы смоделировать вход с использованием анонимного IP-адреса, выполните следующее.

  1. В браузере Tor перейдите по адресу https://myapps.microsoft.com.
  2. Введите учетные данные учетной записи, которую нужно использовать в отчете Попытки входа с анонимных IP-адресов .

Информация о входе появится на панели мониторинга защиты идентификации в течение 10–15 минут.

Неизвестные свойства входа

Чтобы смоделировать вход из незнакомого расположения, нужно использовать расположение и устройство, которые ранее не использовались для входа с тестовой учетной записью.

В следующей процедуре используются недавно созданные:

  • VPN-подключение (для имитации расположения);
  • виртуальная машина (для имитации устройства).

Для выполнения следующей процедуры необходимо использовать учетную запись, которая имеет:

  • историю входов за период не менее чем 30 дней;
  • включенную Многофакторную проверку подлинности Azure AD.

Чтобы смоделировать вход из незнакомого расположения, выполните следующее.

  1. При входе с использованием тестовой учетной записи сделайте вид, что не можете пройти многофакторную проверку подлинности (MFA) и добейтесь сбоя этой операции.
  2. С помощью нового подключения VPN перейдите по адресу https://myapps.microsoft.com и введите учетные данные тестовой учетной записи.

Информация о входе появится на панели мониторинга защиты идентификации в течение 10–15 минут.

Необычный переход

Моделирование условия необычного перемещения — достаточно сложная задача, так как соответствующий алгоритм использует машинное обучение, чтобы отсеять ложные срабатывания, например, необычный переход со знакомых устройств или входы из VPN, которые используются другими пользователями в каталоге. Кроме того, для работы алгоритма требуется, чтобы у пользователя была история входов за 14 дней и 10 событий входа. Лишь после этого система сможет приступить к созданию обнаружений рисков. Из-за сложных моделей машинного обучения и изложенных выше правил существует вероятность, что следующие шаги не приведут к обнаружению риска. Возможно, вам потребуется выполнить эти шаги для нескольких учетных записей Azure AD, чтобы смоделировать обнаружение риска.

Чтобы смоделировать обнаружение риска при необычном переходе, выполните следующие действия.

  1. В стандартном браузере перейдите по адресу https://myapps.microsoft.com.
  2. Введите данные учетной записи, для которой нужно создать обнаружение риска при необычном переходе.
  3. Измените агент пользователя. Чтобы изменить агент пользователя в Microsoft Edge, можно использовать Средства для разработчиков (F12).
  4. Измените свой IP-адрес. Чтобы его изменить, можно использовать VPN, надстройку Tor или создать новую виртуальную машину в Azure в другом центре обработки данных.
  5. Перейдите по адресу https://myapps.microsoft.com, введите те же учетные данные, что и при предыдущем входе, а затем, через несколько минут после последнего входа войдите в учетную запись.

Информация о входе появится на панели мониторинга защиты идентификации в течение 2–4 часов.

Тестирование политик рисков

В этом разделе пошагово описана процедура тестирования пользователей и политик рисков при входе, созданных при изучении статьи Практическое руководство. Настройка и включение политик рисков.

Политика риска пользователя

Чтобы проверить политику безопасности в отношении риска для пользователя, выполните следующие действия :

  1. Перейдите на портал Azure.
  2. Перейдите в раздел Azure Active Directory > Безопасность > Защита удостоверений > Обзор.
  3. Выберите Настроить политику рисков пользователей.
    1. В разделе Назначения
      1. Пользователи: выберите Все пользователи или Выбор отдельных пользователей и групп, если нужно ограничить развертывание.
        1. Кроме того, можно исключить пользователей из политики.
      2. Условия - Риск пользователя — корпорация Майкрософт рекомендует установить для этого параметра значение Высокий.
    2. В разделе Элементы управления
      1. Доступ — корпорация Майкрософт рекомендует включить параметры Разрешить доступ и Требовать изменения пароля.
    3. Применить политику - Выкл
    4. Сохранить — это действие вернет вас на страницу обзора.
  4. Повысьте уровень риска пользователя тестовой учетной записи. Для этого смоделируйте несколько раз одно из событий обнаружения риска.
  5. Подождите несколько минут и убедитесь, что уровень риска пользователя повысился. В противном случае смоделируйте больше событий риска для пользователя.
  6. Вернитесь к политике риска, установите для параметра Применить политику значение Вкл и Сохраните внесенное изменение.
  7. Теперь можно протестировать условный доступ на основе рисков пользователя. Для этого войдите в учетную запись, используя данные пользователя, чей уровень риска вы повысили.

Политика безопасности в отношении риска входа

Чтобы проверить политику в отношении риска входа, выполните следующее:

  1. Перейдите на портал Azure.
  2. Перейдите в раздел Azure Active Directory > Безопасность > Защита удостоверений > Обзор.
  3. Выберите Настроить политику рисков при входе.
    1. В разделе Назначения
      1. Пользователи: выберите Все пользователи или Выбор отдельных пользователей и групп, если нужно ограничить развертывание.
        1. Кроме того, можно исключить пользователей из политики.
      2. Условия - Риск при входе — корпорация Майкрософт рекомендует установить для этого параметра значение Средний и выше.
    2. В разделе Элементы управления
      1. Доступ — корпорация Майкрософт рекомендует включить параметры Разрешить доступ и Требовать многофакторную проверку подлинности.
    3. Применить политику - Вкл
    4. Сохранить — это действие вернет вас на страницу обзора.
  4. Теперь можно протестировать условный доступ на основе рисков при входе. Для этого войдите в учетную запись с помощью сеанса, представляющего риск (например, используя браузер Tor Browser).

Дальнейшие действия