Privileged API permissions on service principals should not remain unused

De ce contează acest lucru

Permisiunile API privilegiate neutilizate pentru principalii de serviciu creează riscuri de securitate inutile. Dacă un principal de serviciu păstrează permisiuni cu impact ridicat pe care nu le folosește niciodată, un atacator care compromite acel principal obține acces la operațiuni sensibile la nivel de control pe care le poate exploata. Eliminarea permisiunilor neutilizate reduce suprafața de atac și respectă principiul privilegiului minim.

Ce verifică Aether365

Această verificare identifică principalii de serviciu care au permisiuni API neutilizate, clasificate de Microsoft Defender for Cloud Apps (MDA) App Governance ca permisiuni de plan de control sau management, sau ca permisiuni API foarte critice. Rezultatul apare în tabloul de bord Aether365, la categoria entra-id.

Cum se remediază

1. Deschideți portalul Microsoft Defender for Cloud Apps și navigați la pagina Applications inventory.
2. Găsiți secțiunea OAuth apps și examinați principalii de serviciu marcați cu permisiuni neutilizate.
3. Utilizați funcția de hunting of app activities pentru a confirma că nu există activități legitime care să necesite aceste permisiuni.
4. Pentru fiecare permisiune neutilizată, eliminați atribuirea permisiunii din principalul de serviciu în Microsoft Entra ID.
5. Verificați că principalul de serviciu funcționează corect după eliminare.

Conformitate

• Altele: Se aplică celor mai bune practici de securitate pentru gestionarea principalilor de serviciu în Microsoft Entra ID

Resurse conexe

• Review OAuth apps in App Governance
• Hunt app activities in Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting