Microsoft 安全 Copilot 通过许多不同的功能,从 Microsoft Entra 数据获取见解,例如使用 Microsoft Entra ID 保护工具来调查身份风险和查看 Microsoft Entra 审核日志的详细信息。 应用风险技能允许在 Microsoft Entra 中管理应用程序或工作负荷标识的标识管理员和安全分析师通过自然语言提示识别和理解风险。 通过使用“列出租户的风险应用详细信息”等提示,分析员可以更好地了解应用程序标识中的风险,并可以在 Microsoft Entra 中发现其他应用程序详细信息。 详细信息可以包括授予的权限(尤其是高特权权限)、租户中未使用的应用以及来自外部租户的应用。
然后,Security Copilot 使用提示上下文进行响应,例如应用或权限列表,然后显示指向 Microsoft Entra 管理中心的链接,以便管理员可以查看完整列表,并对其有风险的应用采取适当的修正操作。 IT 管理员和安全运营中心(SOC)分析师可以使用这些技能及其他技能来获得正确的上下文,以帮助他们借助自然语言提示调查和修正基于标识的事件。
本文介绍了 SOC 分析师或 IT 管理员如何使用 Microsoft Entra 技能调查潜在的安全事件。
注释
这些应用风险技能提供Microsoft Entra 中的应用程序或服务主体的单租户、第三方 SaaS 和多租户应用的数据。 托管标识目前不在范围内。
先决条件
- 启用了安全 Copilot 的租户。 有关详细信息,请参阅 Microsoft 安全 Copilot 入门指南。
场景和调查
Woodgrove Bank 的 IT 管理员 Jason 主动尝试识别和了解其租户中的任何有风险的应用。 他开始评估,并登录到 Microsoft Security Copilot 或 Microsoft Entra 管理中心。 若要查看应用程序和服务主体的详细信息,他至少需要以安全读取者身份登录,并且被分配为应用程序管理员、云应用程序管理员或其他具有管理 Microsoft Entra 中的应用程序/工作负荷标识权限的类似 Microsoft Entra 管理员角色。
若标识管理员使用 Microsoft Entra 管理中心中的 Security Copilot,则可以从 Security Copilot 窗口顶部显示的一组应用风险起始提示中进行选择。 从建议的提示中进行选择,这些提示可能在响应后显示。 应用程序相关管理中心边栏选项卡中会显示应用风险起始提示:“企业应用”、“应用注册”和“标识保护风险工作负载标识”。
探索 Microsoft Entra 风险服务主体
杰森首先提出自然语言问题,以更好地了解风险“热点”。 这使用 ID 保护风险工作负载标识数据,根据我们的 Microsoft 检测结果对其租户中的应用规模进行初步筛选。 这些服务主体存在较高的泄露风险。
他使用以下任何提示来获取他所需的信息:
- 显示有风险的应用。
- 是否有任何应用面临恶意或泄露的风险?
- 列出具有高风险级别的 5 个应用。 按如下所示设置表格格式:显示名称 |ID |风险状态
- 列出风险状态为“已确认泄露”的应用。
- 显示 ID 为 {ServicePrincipalObjectId} 的风险应用的详细信息(或应用 ID {ApplicationId})
重要
必须使用有权管理此技能的 ID 保护的帐户才能返回风险信息。 租户还必须获得工作负载标识高级版的许可。
探索 Microsoft Entra 服务主体
若要获取标识为有风险的这些服务主体的详细信息,Jason 会从 Microsoft Entra 请求更多信息,包括所有者等信息。
他使用以下提示获取所需的信息:
- 请告诉我有关这些服务主体的详细信息(来自以前的响应)。
- 通过 {DisplayName} (或 {ServicePrincipalId})向我提供有关服务主体的详细信息。
- 为我提供这些应用的所有者列表?
浏览 Microsoft Entra 应用程序
Jason 还希望详细了解全球应用程序,例如发布者和发布者验证状态的详细信息。
Jason 使用以下提示检索所选应用程序属性:
- 告诉我有关应用程序 {DisplayName} 或 {AppId} 的详细信息。
- 请告诉我有关这些应用的详细信息(从以前的响应中)。
查看在 Microsoft Entra 服务主体上授予的权限
Jason 继续他的评估,并想知道向所有或其中一个应用授予哪些权限,以在泄露时找到潜在影响。 这通常很难对某些不同类型的权限和管理员角色进行评估,但在调查过程中,Copilot 会在相应的上下文中将其简化为一个列表。 此技能将检索给定 Microsoft Entra 服务主体的委托的权限、应用程序权限和 Microsoft Entra 管理员角色。
Jason 还可以根据Microsoft的风险评估识别针对服务主体授予的高特权权限。 这些当前仅限于应用程序权限,在没有用户上下文和高特权 Microsoft Entra 管理员角色的情况下,通常会启用租户范围的访问权限。
重要
此技能当前仅查看 API 权限 并 Microsoft Entra 管理员角色。 它当前不查看在 Azure RBAC 或其他授权系统等位置授予的非目录权限。 高特权权限仅限于由Microsoft维护的静态列表,该列表可能会随着时间推移而演变,客户当前无法查看或自定义权限。
他使用以下提示获取所需的权限信息:
- ID 为 {ServicePrincipalId} 或应用 ID {AppId} 的应用被授予了哪些权限?
- 上述有风险的应用具有哪些权限(从以前的响应)?
- 授予此应用的哪些权限属于高特权?
浏览未使用的 Microsoft Entra 应用程序
Jason 意识到他有另一个“容易实现的目标”的机会:通过删除未使用的应用来降低使用风险。 这些是快速的胜利,因为:
- 删除未使用的应用可以通过单个修正操作解决许多其他风险。
- 通常可以通过集中采取强力行动来解决未使用的应用程序,同时降低服务或业务中断的风险,因为用户实际上并未使用这些应用程序。
Jason 利用与现有 Microsoft Entra 未使用应用建议集成的 Copilot 技能,提取相关数据,用于进一步调查或与团队合作改善租户的安全状况。 响应包括指向特定应用的链接,以便更轻松地进行修正。 分析师还可以直接在安全 Copilot 中询问特定应用的详细信息。
注释
Copilot 响应会返回一份在过去 90 天内未使用的应用注册或应用程序列表,在该时间范围内未向这些应用注册或应用程序发放任何令牌。
他使用以下提示获取所需的信息:
- 显示未使用的应用。
- 有多少个未使用的应用?
探索我的租户之外的 Microsoft Entra 应用程序
Jason 还希望调查在他的租户中存在的外部应用或多租户应用的风险因素,这些应用是在另一个组织租户中注册的。 由于这些应用的安全姿态受拥有租户的姿态影响,因此请务必审查这些应用的安全姿态,以确定减少攻击面风险和识别机会。 Copilot 可以返回当前租户中通过多租户应用注册而在该租户之外的服务主体列表,或者有关特定服务主体是否在租户外部注册的详细信息。
他使用以下提示获取所需的信息:
- 请向我展示我租户外的应用程序。
- 有多少应用来自我的租户外部?
修正
通过使用 Security Copilot,Jason 能够在其 Microsoft Entra 租户中收集有关应用程序和服务主体对象的综合风险和基本信息。 杰森完成评估后,他采取行动修正有风险的应用程序。 Security Copilot 会在响应中显示指向 Microsoft Entra 管理中心的链接,以便管理员采取适当的修正措施。
他阅读了管理应用程序的访问权限和安全性、安全工作负载标识、防范同意钓鱼以及响应手册,以确定下一步可能采取的措施。
相关内容
了解有关以下方面的详细信息: