Simulieren von Risikoerkennungen in Microsoft Entra ID Protection
Administratoren möchten möglicherweise Risiken in Ihrer Umgebung simulieren, um die folgenden Aufgaben zu erledigen:
- Daten in der Microsoft Entra ID Protection-Umgebung durch Simulieren von Risikoerkennungen und Sicherheitsrisiken aufzufüllen.
- Richtlinien für den risikobasierten bedingten Zugriff einzurichten und die Auswirkungen dieser Richtlinien zu testen.
Dieser Artikel enthält die Schritte zum Simulieren der folgenden Risikoerkennungstypen:
- Anonyme IP-Adresse (leicht)
- Ungewöhnliche Anmeldeeigenschaften (mittel)
- Ungewöhnlicher Ortswechsel (schwer)
- Kompromittierte Anmeldeinformationen für Workloadidentitäten in GitHub (mittel)
Andere Risikoerkennungen können nicht auf sichere Weise simuliert werden.
Im Artikel „Was bedeutet Risiko?“ finden Sie weitere Informationen zu den einzelnen Risikoerkennungen für Benutzer und Workloadidentitäten.
Anonyme IP-Adresse
Für die folgenden Schritte müssen folgende Voraussetzungen erfüllt sein:
- Sie benötigen den Tor-Browser, um anonyme IP-Adressen zu simulieren. Möglicherweise müssen Sie einen virtuellen Computer verwenden, wenn Ihre Organisation die Verwendung des Tor-Browsers einschränkt.
- Sie benötigen ein Testkonto, das noch nicht für die Multi-Faktor-Authentifizierung von Microsoft Entra registriert ist.
Führen Sie die folgende Schritte aus, um eine Anmeldung über eine anonyme IP-Adresse zu simulieren, :
- Benutzen Sie den Tor Browser, navigieren Sie zu https://myapps.microsoft.com.
- Geben Sie die Anmeldeinformationen des Kontos ein, das im Bericht Anmeldungen von anonymen IP-Adressen enthalten sein soll.
Die Anmeldung wird innerhalb von 10 bis 15 Minuten im Bericht angezeigt.
Ungewöhnliche Anmeldeeigenschaften
Um unbekannte Standorte zu simulieren, müssen Sie einen Ort und ein Gerät verwenden, das Ihr Testkonto noch nicht benutzt hat.
Das folgende Verfahren verwendet folgende neu erstellte Elemente:
- Eine VPN-Verbindung zum Simulieren eines neuen Standorts.
- Einen virtuellen Computer zum Simulieren eines neuen Geräts
Für das folgende Verfahren müssen Sie ein Benutzerkonto verwenden, das folgende Voraussetzungen erfüllt:
- Anmeldeverlauf von mindestens 30 Tagen.
- Microsoft Entra-Multi-Faktor-Authentifizierung.
Gehen Sie folgendermaßen vor, um eine Anmeldung von einem unbekannten Ort zu simulieren:
- Navigieren Sie in Ihrem neuen VPN zu https://myapps.microsoft.com, und geben Sie die Anmeldeinformationen Ihres Testkontos ein.
- Wenn Sie sich mit dem Testkonto anmelden, verursachen Sie einen Fehler bei der MFA-Abfrage.
Die Anmeldung wird innerhalb von 10 bis 15 Minuten im Bericht angezeigt.
Ungewöhnlicher Ortswechsel
Die Simulation des ungewöhnlichen Ortswechsels ist schwierig. Der Algorithmus nutzt einen Machine Learning-Ansatz, um falsch positive Ergebnisse auszusieben, z.B. der ungewöhnliche Ortswechsel vertrauter Geräte oder Anmeldungen über VPNs, die von anderen Benutzern im Verzeichnis verwendet werden. Außerdem sind für den Algorithmus ein Anmeldeverlauf von 14 Tagen oder 10 Anmeldungen des Benutzers erforderlich, bevor mit dem Generieren von Risikoerkennungen begonnen wird. Aufgrund der komplexen Machine Learning-Modelle und der oben genannten Regeln besteht die Möglichkeit, dass die nachfolgenden Schritte keine Risikoerkennung auslösen. Sie können diese Schritte für mehrere Microsoft Entra-Konten replizieren, um diese Erkennung zu simulieren.
Führen Sie die folgenden Schritte aus, um eine Risikoerkennung vom Typ „Ungewöhnlicher Ortswechsel“ zu simulieren:
- Navigieren Sie in Ihrem Standardbrowser zu https://myapps.microsoft.com.
- Geben Sie die Anmeldeinformationen des Kontos ein, für das eine Risikoerkennung vom Typ „Ungewöhnlicher Ortswechsel“ generiert werden soll.
- Ändern Sie Ihren Benutzer-Agent. Sie können den Benutzer-Agent in Microsoft Edge von Entwicklertools (F12) ändern.
- Ändern Sie Ihre IP-Adresse. Sie können die IP-Adresse ändern, indem Sie ein VPN oder ein Tor-Add-On verwenden oder unter Azure einen neuen virtuellen Computer in einem anderen Rechenzentrum erstellen.
- Melden Sie sich unter https://myapps.microsoft.com mit den gleichen Anmeldeinformationen wie vorher und innerhalb von wenigen Minuten nach der vorherigen Anmeldung an.
Die Anmeldung wird innerhalb von zwei bis vier Stunden im Bericht angezeigt.
Kompromittierte Anmeldeinformationen für Workloadidentitäten
Diese Risikoerkennung weist darauf hin, dass die gültigen Anmeldeinformationen der Anwendung aufgedeckt werden. Eine solche Kompromittierung kann auftreten, wenn die Anmeldeinformationen in einem öffentlichen Codeartefakt auf GitHub eingecheckt werden. Um diese Erkennung zu simulieren, benötigen Sie deshalb ein GitHub-Konto und können sich für ein GitHub-Konto registrieren, wenn Sie noch kein Konto angelegt haben.
Simulieren kompromittierter Anmeldeinformationen für Workloadidentitäten in GitHub
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an.
Browsen Sie zu Identität>Anwendungen>App-Registrierungen.
Wählen Sie Neue Registrierung aus, um eine neue Anwendung zu registrieren oder eine veraltete Anwendung wiederzuverwenden.
Wählen Sie Zertifikate & Geheimnisse>Neues Clientgeheimnis aus, fügen Sie eine Beschreibung Ihres Clientgeheimnisses hinzu, und legen Sie einen Ablauf für das Geheimnis fest, oder geben Sie eine benutzerdefinierte Lebensdauer an, und wählen Sie Hinzufügen aus. Notieren Sie sich den Wert des Geheimnisses zur späteren Verwendung für Ihren GitHub-Commit.
Hinweis
Sie können das Geheimnis nicht mehr abrufen, nachdem Sie diese Seite verlassen haben.
Ermitteln Sie die TenantID und die Application(Client)ID auf der Seite Übersicht.
Stellen Sie sicher, dass Sie die Anwendung über Identität>Anwendungen>Unternehmensanwendungen>Eigenschaften deaktivieren> Legen Sie Aktiviert für Benutzer zur Anmeldung auf Nein fest.
Erstellen Sie ein öffentliches GitHub-Repository, fügen Sie die folgende Konfiguration hinzu, und committen Sie die Änderung als Datei mit der .txt-Erweiterung.
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
Nach etwa 8 Stunden wird unter Schutz>Identitätsschutz>Risikoerkennung>Workloadidentitätserkennungen eine Erkennung für kompromittierte Anmeldeinformationen angezeigt, wobei die zusätzlichen anderen Informationen die URL Ihres GitHub-Commits enthalten werden.
Testen von Risikorichtlinien
Dieser Abschnitt erläutert die Schritte zum Testen der Benutzer- und Anmelderisikorichtlinien, die Sie im Artikel Konfigurieren und Aktivieren von Risikorichtlinien erstellt haben.
Richtlinie zum Benutzerrisiko
Um eine Benutzerrisiko-Sicherheitsrichtlinie zu testen, führen Sie die folgenden Schritte aus:
- Konfigurieren Sie eine Benutzerrisiko-Richtlinie, die auf die Benutzer abzielt, mit denen Sie testen wollen.
- Erhöhen Sie das Benutzerrisiko eines Testkontos, indem Sie beispielsweise eine der Risikoerkennungen mehrmals simulieren.
- Warten Sie einige Minuten, und vergewissern Sie sich dann, dass die Risikostufe für den Benutzer angehoben wurde. Wenn dies nicht der Fall ist, simulieren Sie weitere Risikoerkennungen für den Benutzer.
- Kehren Sie zu ihrer Risikorichtlinie zurück, und aktivieren Sie Richtlinie erzwingen, und speichern Sie Ihre Richtlinienänderung.
- Sie können den auf dem Benutzerrisiko basierenden bedingten Zugriff jetzt testen, indem Sie sich mit einem Benutzer anmelden, für den eine erhöhte Risikostufe gilt.
Anmelderisiko-Sicherheitsrichtlinie
Führen Sie die folgenden Schritte aus, um eine Anmelderisiko-Sicherheitsrichtlinie zu testen:
- Konfigurieren Sie eine Anmelderisiko-Richtlinie, die auf die Benutzer abzielt, mit denen Sie testen wollen.
- Sie können den auf dem Anmelderisiko basierenden bedingten Zugriff jetzt testen, indem Sie sich mithilfe einer potenziell risikobehafteten Sitzung anmelden (z. B. durch Verwendung des Tor-Browsers).