Privileged API permissions on service principals should not remain unused

Γιατί είναι Σημαντικό

Οι αχρησιμοποίητες άδειες API με υψηλά δικαιώματα σε service principals δημιουργούν περιττό κίνδυνο ασφαλείας. Εάν ένα service principal διατηρεί άδειες υψηλού αντίκτυπου που δεν χρησιμοποιεί ποτέ, ένας εισβολέας που παραβιάζει αυτό το principal αποκτά πρόσβαση σε ευαίσθητες λειτουργίες ελέγχου. Η αφαίρεση αχρησιμοποίητων αδειών μειώνει την επιφάνεια επίθεσής σας και ακολουθεί την αρχή του ελάχιστου προνομίου.

Τι Ελέγχει το Aether365

Αυτός ο έλεγχος εντοπίζει service principals με αχρησιμοποίητες άδειες API που το Microsoft Defender for Cloud Apps (MDA) App Governance έχει ταξινομήσει ως άδειες επιπέδου ελέγχου ή διαχείρισης ή ως εξαιρετικά κρίσιμες άδειες API. Το αποτέλεσμα εμφανίζεται στον πίνακα ελέγχου του Aether365 στην κατηγορία entra-id.

Πώς να το Διορθώσετε

1. Ανοίξτε την πύλη του Microsoft Defender for Cloud Apps και μεταβείτε στη σελίδα Applications inventory.
2. Βρείτε την ενότητα OAuth apps και ελέγξτε τα service principals που επισημαίνονται με αχρησιμοποίητες άδειες.
3. Χρησιμοποιήστε τη λειτουργία hunting of app activities για να επιβεβαιώσετε ότι δεν υπάρχουν νόμιμες δραστηριότητες που απαιτούν αυτές τις άδειες.
4. Για κάθε αχρησιμοποίητη άδεια, αφαιρέστε την ανάθεση άδειας από το service principal στο Microsoft Entra ID.
5. Επαληθεύστε ότι το service principal εξακολουθεί να λειτουργεί σωστά μετά την αφαίρεση.

Συμμόρφωση

• Άλλο: Ισχύει για βέλτιστες πρακτικές ασφαλείας για τη διαχείριση service principals του Microsoft Entra ID

Σχετικοί Πόροι

• Review OAuth apps in App Governance
• Hunt app activities in Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting