Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Security Copilot ottiene informazioni dettagliate dai dati di Microsoft Entra attraverso molte competenze diverse, ad esempio Analizzare i rischi di identità con Microsoft Entra ID Protection ed esplorare i dettagli del log di controllo di Microsoft Entra. Le competenze di rischio delle app consentono agli amministratori delle identità e agli analisti della sicurezza che gestiscono applicazioni o identità di carichi di lavoro in Microsoft Entra di identificare e comprendere i rischi tramite prompt in linguaggio naturale. Usando prompt come "Elencare i dettagli delle app rischiose per il tenant", l'analista ottiene un quadro migliore del rischio dalle identità dell'applicazione e può individuare altri dettagli dell'applicazione in Microsoft Entra. I dettagli possono includere le autorizzazioni concesse (in particolare autorizzazioni con privilegi elevati), le app inutilizzate nel tenant e le app dall'esterno del tenant.
Security Copilot usa quindi il contesto del prompt per rispondere, ad esempio con un elenco di app o autorizzazioni, quindi visualizza i collegamenti all'interfaccia di amministrazione di Microsoft Entra in modo che gli amministratori possano visualizzare un elenco completo e intraprendere le azioni di correzione appropriate per le app rischiose. Gli amministratori IT e gli analisti del Centro operazioni di sicurezza (SOC) possono usare queste competenze per ottenere il contesto appropriato per indagare e risolvere gli incidenti basati sull'identità, utilizzando suggerimenti in linguaggio naturale.
Questo articolo descrive in che modo un analista SOC o un amministratore IT potrebbe usare le competenze di Microsoft Entra per analizzare un potenziale evento imprevisto di sicurezza.
Annotazioni
Queste competenze di rischio per le app forniscono dati su tenant singolo, saaS di terze parti e app multi-tenant che sono applicazioni o entità servizio in Microsoft Entra. Le identità gestite non sono attualmente incluse nell'ambito.
Prerequisiti
- Tenant con Security Copilot abilitato. Per altre informazioni, vedere Introduzione a Microsoft Security Copilot .
Scenario e indagine
Jason, un amministratore IT di Woodgrove Bank, sta cercando in modo proattivo di identificare e comprendere eventuali app rischiose nel tenant. Avvia la valutazione e accede a Microsoft Security Copilot o all'interfaccia di amministrazione di Microsoft Entra. Per visualizzare i dettagli delle applicazioni e delle entità servizio, effettua l'accesso come lettore di sicurezza e con un'assegnazione di ruolo di Amministratore applicazioni, Amministratore applicazioni cloud o un ruolo di amministratore Microsoft Entra simile che dispone delle autorizzazioni per gestire le identità delle applicazioni/dei carichi di lavoro in Microsoft Entra. Può usare Microsoft Security Copilot per attivare questo ruolo se è bloccato a causa di una mancanza di autorizzazioni per eseguire determinate azioni:
- Attivare il {ruolo obbligatorio} in modo che sia possibile eseguire {attività desiderata}.
Gli amministratori delle identità che usano Security Copilot come parte del centro di amministrazione di Microsoft Entra possono scegliere tra un set di suggerimenti di avvio per i rischi dell'applicazione che appaiono nella parte superiore della finestra di Security Copilot. Selezionare dai suggerimenti di prompt che possono apparire dopo una risposta. I prompt iniziali relativi al rischio delle app verranno visualizzati nelle sezioni dell'interfaccia di amministrazione delle app correlate: app aziendali, Registrazioni di app e identità rischiose del carico di lavoro di Identity Protection.
Esplora i principali di servizio a rischio di Microsoft Entra
Jason inizia le sue indagini ponendo domande in linguaggio naturale per ottenere un quadro migliore del rischio "hot spot". Questo utilizza i dati di Protezione ID per identità di carico di lavoro rischioso come primo filtro per valutare la scala delle app nel loro tenant in base ai rilevamenti Microsoft. Questi principali del servizio comportano un rischio elevato di compromissione.
Usa una delle seguenti istruzioni per ottenere le informazioni necessarie:
- Mostra app rischiose.
- Le app sono a rischio di essere dannose o compromesse?
- Elencare 5 app con livello di rischio elevato. Formattare la tabella come segue: Nome visualizzato | ID | Stato del rischio
- Elencare le app con stato di rischio "Compromesso confermato".
- Mostra i dettagli dell'app rischiosa con ID {ServicePrincipalObjectId} (o ID app {ApplicationId})
Importante
Per restituire informazioni sui rischi, è necessario utilizzare un account autorizzato ad amministrare la protezione dell'identità per questa funzione. Il tuo locatario deve anche essere concesso in licenza per Workload Identities Premium.
Esplorare i principali di servizio di Microsoft Entra
Per ottenere altre informazioni su queste entità servizio identificate come rischiose, Jason chiede altre informazioni da Microsoft Entra, incluse informazioni come il proprietario.
Usa le seguenti istruzioni per ottenere le informazioni necessarie:
- Altre informazioni su queste entità servizio (dalla risposta precedente).
- Dammi dettagli sul principale del servizio con {DisplayName} (o {ServicePrincipalId}).
- Dammi un elenco di proprietari per queste app?
Esplorare le applicazioni Microsoft Entra
Jason vuole anche comprendere di più sulle applicazioni a livello globale, come i dettagli sull'editore e sullo stato di verifica.
Jason usa le istruzioni seguenti per recuperare le proprietà dell'applicazione selezionate:
- Altre informazioni sull'applicazione {DisplayName} o {AppId}.
- Altre informazioni su queste app (dalla risposta precedente).
Visualizzare le autorizzazioni concesse su un principale del servizio Microsoft Entra
Jason continua la sua valutazione e vuole sapere quali autorizzazioni sono state concesse a tutte o a una delle app per trovare il potenziale impatto se compromesso. In genere è difficile valutare alcuni dei diversi tipi di autorizzazioni e ruoli di amministratore, ma Copilot lo semplifica in un elenco nel contesto dell'indagine. Questa funzionalità recupera le autorizzazioni delegate, le autorizzazioni dell'applicazione e i ruoli di amministratore di Microsoft Entra per un'entità servizio specifica di Microsoft Entra.
Jason può anche identificare le autorizzazioni con privilegi elevati concesse per un'entità servizio, in base alla valutazione dei rischi di Microsoft. Attualmente, questi sono limitati alle autorizzazioni dell'applicazione che, in genere, abilitano l'accesso a livello di tenant senza contesto utente e a ruoli di amministratore di Microsoft Entra con privilegi elevati.
Importante
Questa competenza attualmente esamina solo le autorizzazioni API e iruoli di amministratore di Microsoft Entra. Attualmente non vengono esaminate le autorizzazioni non di directory concesse in ambienti come Azure RBAC o altri sistemi di autorizzazione. Le autorizzazioni con privilegi elevati sono limitate a un elenco statico di gestito da Microsoft che potrebbe evolversi nel tempo e non è attualmente visualizzabile o personalizzabile dai clienti.
Usa le istruzioni seguenti per ottenere le informazioni sulle autorizzazioni necessarie:
- Quali autorizzazioni vengono concesse all'app con ID {ServicePrincipalId} o ID app {AppId}?
- Quali autorizzazioni hanno le app rischiose precedenti (dalla risposta precedente)?
- Quali autorizzazioni concesse a questa app sono altamente privilegiate?
Esplorare le applicazioni Microsoft Entra inutilizzate
Jason si rende conto di avere un'altra opportunità facile: ridurre i rischi rimuovendo le app inutilizzate. Si tratta di una vittoria rapida perché:
- La rimozione di un'app inutilizzata risolve molti altri rischi con una singola azione correttiva.
- Spesso è possibile affrontare le app inutilizzate in modo aggressivo tramite un'azione centrale, riducendo al minimo il rischio di interruzioni aziendali, poiché gli utenti non usano effettivamente le app.
Usando i prompt di Copilot integrati con la raccomandazione Microsoft Entra esistente per le app inutilizzate, Jason recupera i dati rilevanti per indagare ulteriormente o collaborare con il team per migliorare la postura di sicurezza del tenant. La risposta include collegamenti a app specifiche per semplificare la correzione. L'analista può anche chiedere informazioni sui dettagli di un'app specifica direttamente in Security Copilot.
Annotazioni
La risposta di Copilot restituisce un elenco di applicazioni o registrazioni dell'app inutilizzate negli ultimi 90 giorni, a cui non sono stati rilasciati token in questo lasso di tempo.
Usa le seguenti istruzioni per ottenere le informazioni necessarie:
- Mostra le app inutilizzate.
- Quante app inutilizzate sono disponibili?
Esplorare le applicazioni Microsoft Entra o le entità servizio con credenziali in scadenza
Jason vede un'altra opportunità per rinnovare le credenziali dell'applicazione prima della data di scadenza per mantenere operazioni ininterrotte e ridurre al minimo il rischio di tempi di inattività derivanti da credenziali obsolete. Le credenziali dell'applicazione e dell'entità servizio possono includere certificati e altri tipi di segreti che devono essere registrati con tale applicazione o entità servizio. Queste credenziali vengono usate per dimostrare l'identità dell'applicazione o dell'entità servizio.
Usando i prompt di Copilot integrati con la raccomandazione esistente di Microsoft Entra per rinnovare le credenziali dell'app in scadenza e la raccomandazione di Microsoft Entra per rinnovare le credenziali dell'entità servizio in scadenza, Jason recupera i dati pertinenti per ridurre il rischio di interruzioni causate dalla scadenza delle credenziali e li aggiorna o ruota in base alle esigenze. La risposta include collegamenti a app specifiche per semplificare la correzione. L'analista può anche chiedere informazioni sui dettagli di un'app specifica direttamente in Security Copilot.
Annotazioni
La risposta di Copilot restituisce un elenco di applicazioni o entità servizio con credenziali in scadenza entro i 30 giorni successivi. Le credenziali seguenti sono escluse da questa raccomandazione:
- Credenziali identificate come in scadenza, ma che sono state rimosse dalla registrazione dell'applicazione.
- Le credenziali la cui data di scadenza è scaduta vengono visualizzate come completate nell'elenco delle risorse interessate.
Usa le seguenti istruzioni per ottenere le informazioni necessarie:
- Quali applicazioni aziendali hanno le credenziali per scadere?
- Mostrami i principali del servizio con le credenziali che stanno per scadere.
- Mostra le applicazioni con credenziali in scadenza a breve.
Esplorare le applicazioni Microsoft Entra all'esterno del mio tenant
Jason vorrebbe anche analizzare il fattore di rischio delle app esterne o delle app multi-tenant che hanno una presenza nel suo tenant ma sono registrate nel tenant di un'altra organizzazione. Poiché il comportamento di sicurezza di queste app è influenzato dal comportamento del tenant proprietario, è particolarmente importante esaminarli per identificare i rischi e le opportunità di riduzione della superficie di attacco. Copilot può restituire un elenco di entità servizio all'interno del locatario corrente con una registrazione di app multi-tenant al di fuori del locatario dell'utente o fornire dettagli su se una determinata entità servizio è registrata al di fuori del locatario.
Usa le seguenti istruzioni per ottenere le informazioni necessarie:
- Mostra le app al di fuori del mio tenant.
- Quante app provengono dall'esterno del mio tenant?
Rimediare
Usando Security Copilot, Jason è in grado di raccogliere informazioni complete sui rischi e sui dati di base delle applicazioni e dei principali di servizio nel tenant di Microsoft Entra. Dopo che Jason completa la sua valutazione, interviene per correggere le applicazioni rischiose. Security Copilot visualizza collegamenti all'interfaccia di amministrazione di Microsoft Entra nelle risposte per consentire agli amministratori di eseguire le azioni di correzione appropriate.
Legge sulla gestione dell'accesso e della sicurezza per le applicazioni , identità del carico di lavoro di sicurezza , la protezione contro il phishing del consenso , e i playbook di risposta per determinare le possibili azioni da intraprendere successivamente.
Contenuti correlati
Altre informazioni su:
- Gestire l'accesso alle applicazioni e la sicurezza
- Analizzare il rischio nella protezione ID
- Protezione delle identità del carico di lavoro con Microsoft Entra ID Protection
- Protezione contro il phishing del consenso - MICROSOFT Entra ID | Microsoft Learn
- Indagine sulle applicazioni compromesse e dannose
- Rispondere alle minacce all'identità usando il riepilogo degli utenti a rischio