Privileged API permissions on service principals should not remain unused

Waarom dit belangrijk is

Ongebruikte privileged API-machtigingen voor service principals creëren onnodige beveiligingsrisico's. Als een service principal hoogimpactmachtigingen behoudt die het nooit gebruikt, krijgt een aanvaller die deze principal compromitteert toegang tot gevoelige control plane-bewerkingen die kunnen worden misbruikt. Het verwijderen van ongebruikte machtigingen verkleint uw aanvalsoppervlak en volgt het principe van minimale bevoegdheden.

Wat Aether365 controleert

Deze controle identificeert service principals met ongebruikte API-machtigingen die door App Governance van Microsoft Defender for Cloud Apps (MDA) zijn geclassificeerd als control- of managementplanemachtigingen, of als zeer kritieke API-machtigingen. Het resultaat verschijnt in uw Aether365-dashboard onder de categorie entra-id.

Hoe u dit oplost

1. Open de portal van Microsoft Defender for Cloud Apps en navigeer naar de pagina Applications inventory.
2. Zoek de sectie OAuth apps en beoordeel de service principals die zijn gemarkeerd met ongebruikte machtigingen.
3. Gebruik de functie hunting of app activities om te bevestigen dat er geen legitieme activiteiten deze machtigingen vereisen.
4. Verwijder voor elke ongebruikte machtiging de machtigingstoewijzing van de service principal in Microsoft Entra ID.
5. Controleer of de service principal na verwijdering nog correct functioneert.

Compliance

• Overig: Van toepassing op beveiligingsbest practices voor beheer van service principals in Microsoft Entra ID

Gerelateerde bronnen

• Review OAuth apps in App Governance
• Hunt app activities in Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting