Simulare rilevamento di rischi in Microsoft Entra ID Protection

Gli amministratori potrebbero voler simulare il rischio nel proprio ambiente per eseguire gli elementi seguenti:

• Popolare i dati nell'ambiente Microsoft Entra ID Protection simulando rilevamento e vulnerabilità di rischi.
• Configurare i criteri di accesso condizionali basati sui rischi e testare l'impatto di questi criteri.

Questo articolo riporta i passaggi per la simulazione dei seguenti tipi di rilevamento di rischio:

• Indirizzo IP anonimo (facile)
• Proprietà di accesso insolite (moderato)
• Spostamento fisico atipico (difficile)
• Credenziali perse in GitHub per le identità dei carichi di lavoro (moderate)

Non è possibile simulare altri rilevamenti di rischio in modo sicuro.

Altre informazioni su ogni rilevamento dei rischi sono disponibili nell'articolo Che cos'è il rischio per l'identità dell'utente e del carico di lavoro.

Indirizzo IP anonimo

Per completare la procedura seguente, sono necessari:

• Tor Browser per simulare indirizzi IP anonimi. Potrebbe essere necessario usare una macchina virtuale, se l'organizzazione limita l'uso di Tor Browser.
• Un account di test che non è stato ancora registrato per l'autenticazione a più fattori Microsoft Entra.

Per simulare un accesso da un IP anonimo, seguire questa procedura:

1. Usando Tor Browser, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account da visualizzare nel report Accessi da indirizzi IP anonimi .

L'accesso viene visualizzato nel report entro 10 - 15 minuti.

Proprietà di accesso insolite

Per simulare posizioni sconosciute, è necessario usare una posizione e un dispositivo che l'account di test non sia stato usato in precedenza.

Con la procedura seguente si usano gli elementi seguenti, appena creati:

• Connessione VPN, per simulare la nuova posizione.
• Macchina virtuale, per simulare un nuovo dispositivo.

Per completare la procedura seguente, è necessario usare un account utente con:

• Una cronologia di accesso di almeno 30 giorni.
• Autenticazione a più fattori Microsoft Entra.

Per simulare un accesso da una posizione non nota, seguire questa procedura:

1. Usando la nuova rete VPN, passare a https://myapps.microsoft.com e immettere le credenziali dell'account di test.
2. Quando si accede con l'account di test, fare in modo che la richiesta di verifica dell'autenticazione a più fattori non riesca.

L'accesso viene visualizzato nel report entro 10 - 15 minuti.

Spostamento fisico atipico

Simulare la condizione di viaggio atipica è difficile. L'algoritmo usa Machine Learning per eliminare i falsi positivi, ad esempio il trasferimento atipico da dispositivi noti o l'accesso da VPN usate da altri utenti nella directory. Per iniziare a generare eventi di rischio, l'algoritmo richiede anche una cronologia di accesso di 14 giorni o 10 rilevamenti per l'utente. A causa dei complessi modelli di Machine Learning coinvolti e delle regole sopra descritte, è possibile che con la procedura seguente non venga innescata alcuna rilevazione di rischio. È possibile replicare questi passaggi per più account Microsoft Entra per simulare questo rilevamento.

Per simulare un rilevamento dei rischi di viaggio atipici, seguire questa procedura:

1. Usando il browser standard, passare a https://myapps.microsoft.com.
2. Immettere le credenziali dell'account per cui si vuole generare un rilevamento di rischio trasferimento atipico.
3. Modificare l'agente utente. È possibile modificare l'agente utente in Microsoft Edge da Strumenti di sviluppo (F12).
4. Modificare l'indirizzo IP. È possibile modificare l'indirizzo IP usando una VPN, un componente aggiuntivo Tor o creare un nuovo computer virtuale in Azure in un altro data center.
5. Accedere a https://myapps.microsoft.com con le stesse credenziali usate in precedenza ed entro pochi minuti dall'accesso precedente.

L'accesso viene visualizzato nel report entro 2-4 ore.

Credenziali perse per le identità del carico di lavoro

Questo rilevamento di rischi indica che le credenziali valide dell’applicazione sono andate perse. Questa perdita può verificarsi quando un utente archivia le credenziali in un artefatto di codice pubblico in GitHub. Pertanto, per simulare questo rilevamento, è necessario un account GitHub e può iscriversi a un account GitHub, se non ne è già disponibile uno.

Simulare le credenziali perse in GitHub per le identità dei carichi di lavoro

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Applicazioni>Registrazioni app.

3. Selezionare Nuova registrazione per registrare una nuova applicazione o riutilizzare un'applicazione non aggiornata esistente.

4. Selezionare Certificati e segreti>Nuovo segreto client, aggiungere una descrizione del segreto client e impostare una scadenza per il segreto o specificare una durata personalizzata e selezionare Aggiungi. Registrare il valore del segreto per usarlo in un secondo momento per il commit di GitHub.

   Nota

   Non è possibile recuperare di nuovo il segreto dopo aver lasciato questa pagina.

5. Ottenere l'ID tenant e l'ID applicazione (client) nella pagina Panoramica .

6. Assicurarsi di disabilitare l'applicazione tramite Identity>Applications>Enterprise Application>Proprietà> Impostare Abilitato per consentire agli utenti di accedere su No.

7. Creare un repository GitHub pubblico, aggiungere la configurazione seguente ed eseguire il commit della modifica come file con l'estensione .txt.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. In circa 8 ore è possibile visualizzare un rilevamento delle credenziali perse in Protection>Identity Protection>Risk Detection>Workload identity detections Dove altre informazioni contengono l'URL del commit di GitHub.

Test dei criteri di rischio

Questo articolo illustra i passaggi per testare i criteri di rischio utente e accesso creati nell'articolo Procedura: Configurare e abilitare i criteri di rischio.

Criteri di rischio utente

Per testare i criteri di sicurezza per il rischio utente, seguire questa procedura:

1. Configurare un criterio di rischio utente destinato agli utenti con cui si prevede di eseguire il test.
2. Alzare di livello il rischio di utente di un account di test, ad esempio, simulando alcune volte uno dei rilevamenti di rischio.
3. Attendere alcuni minuti e poi verificare che il rischio è aumentato per il tuo utente. Se non lo è, simulare altri rilevamenti di rischio per l'utente.
4. Tornare ai criteri di rischio e impostare Imponi criteri su Sì e Salva la modifica dei criteri.
5. A questo punto è possibile testare l'accesso condizionale basato sul rischio utente eseguendo l'accesso come un utente con un livello di rischio elevato.

Criteri di sicurezza per il rischio di accesso

Per testare i criteri di rischio di accesso, seguire questa procedura:

1. Configurare un criterio di rischio di accesso destinato agli utenti con cui si prevede di eseguire il test.
2. A questo punto è possibile testare l'accesso condizionale basato sul rischio di accesso eseguendo l'accesso con una sessione a rischio, ad esempio Tor Browser.

Passaggi successivi

• Che cos'è il rischio?

• Protezione delle identità dei carichi di lavoro con Identity

• Procedura: configurare e abilitare i criteri di rischio

• Microsoft Entra ID Protection