Privileged API permissions on service principals should not remain unused

Miksi Tämä on Tärkeää

Käyttämättömät etuoikeutetut API-käyttöoikeudet palvelun käyttäjillä (service principal) aiheuttavat tarpeetonta turvallisuusriskiä. Jos palvelun käyttäjällä on korkean riskin käyttöoikeuksia, joita se ei koskaan käytä, hyökkääjä, joka saa kyseisen käyttäjän hallintaansa, voi käyttää niitä arkaluonteisiin ohjaustason toimenpiteisiin. Käyttämättömien käyttöoikeuksien poistaminen vähentää hyökkäyspinta-alaasi ja noudattaa vähimpien oikeuksien periaatetta.

Mitä Aether365 Tarkistaa

Tämä tarkistus tunnistaa palvelun käyttäjät, joilla on käyttämättömiä API-käyttöoikeuksia, jotka Microsoft Defender for Cloud Apps (MDA) App Governance on luokitellut hallinta- tai ohjaustason käyttöoikeuksiksi tai erittäin kriittisiksi API-käyttöoikeuksiksi. Tulos näkyy Aether365-hallintapaneelissasi entra-id-kategoriassa.

Korjausohje

1. Avaa Microsoft Defender for Cloud Apps -portaali ja siirry Applications inventory -sivulle.
2. Etsi OAuth apps -osio ja tarkista palvelun käyttäjät, joilla on käyttämättömiä käyttöoikeuksia.
3. Käytä hunting of app activities -toimintoa varmistaaksesi, ettei mikään laillinen toiminta vaadi näitä käyttöoikeuksia.
4. Poista kunkin käyttämättömän käyttöoikeuden määritys palvelun käyttäjältä Microsoft Entra ID:ssä.
5. Varmista, että palvelun käyttäjä toimii edelleen oikein poiston jälkeen.

Vaatimustenmukaisuus

• Muu: Koskee Microsoft Entra ID:n palvelun käyttäjien hallinnan turvallisuuden parhaita käytäntöjä

Liittyvät Resurssit

• Review OAuth apps in App Governance
• Hunt app activities in Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting