Privileged API permissions on service principals should not remain unused

Por Que Isso é Importante

Permissões de API privilegiadas e não utilizadas em service principals criam riscos de segurança desnecessários. Se um service principal mantém permissões de alto impacto que nunca usa, um invasor que comprometa esse principal ganha acesso a operações sensíveis do plano de controle que podem ser exploradas. Remover permissões não utilizadas reduz sua superfície de ataque e segue o princípio do menor privilégio.

O Que o Aether365 Verifica

Esta verificação identifica service principals com permissões de API não utilizadas que o Microsoft Defender for Cloud Apps (MDA) App Governance classificou como permissões de plano de controle ou gerenciamento, ou como permissões de API altamente críticas. O resultado aparece no seu painel do Aether365 sob a categoria entra-id.

Como Corrigir

1. Abra o portal do Microsoft Defender for Cloud Apps e navegue até a página de inventário de aplicativos.
2. Encontre a seção de aplicativos OAuth e revise os service principals sinalizados com permissões não utilizadas.
3. Use o recurso de caça de atividades de aplicativos para confirmar que nenhuma atividade legítima exige essas permissões.
4. Para cada permissão não utilizada, remova a atribuição de permissão do service principal no Microsoft Entra ID.
5. Verifique se o service principal ainda funciona corretamente após a remoção.

Conformidade

• Outros: Aplica-se às melhores práticas de segurança para gerenciamento de service principals no Microsoft Entra ID

Recursos Relacionados

• Revisar aplicativos OAuth no App Governance
• Caçar atividades de aplicativos no Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting