Azure Cloud的Attack Surface Analyzer

使用Attack Surface Analyzer，您可以发现Azure云中的威胁并增强云安全性。

以下是Attack Surface Analyzer跟踪的Azure服务：

先决条件

为确保Attack Surface Analyzer顺利运行，ADAudit Plus服务器应具备 可用的互联网连接。此外， ADAudit Plus服务器上需开放出站HTTPS端口443 以便与Azure平台通信。

配置Azure云进行攻击面分析时有两种情况：

1. 同步已在ADAudit Plus中配置的现有Entra ID租户
2. 配置新的Azure云进行攻击面分析

同步现有的Entra ID（前称Azure AD）租户

如果您想添加已在ADAudit Plus中配置审核的Entra ID租户以进行攻击面分析，则需要为注册的应用分配额外权限。

从ADAudit Plus获取已注册应用的名称和客户端ID

1. 登录ADAudit Plus网页控制台。
2. 导航到 Cloud Directory 标签 > 审核 > 配置 > Cloud Directory.
3. 点击 修改 选项，用于配置您想进行攻击面分析的云目录。



4. 从 Cloud Directory 弹出窗口中，复制 客户端ID.

从Azure门户获取客户端密钥和订阅ID

1. 登录到 Azure门户.
2. 在搜索框中粘贴客户端ID，查找与此客户端ID关联的已注册应用并记下应用名称。



3. 选择该应用，进入 管理 > 证书和密钥 > 新建客户端密钥.
4. 在 添加客户端密钥 面板中，输入合适的 描述，从 过期时间 下拉菜单中选择 730天（24个月） ，然后点击 添加.



5. 复制 密钥值 ，后续在ADAudit Plus中配置Azure云时需要使用此密钥值。



6. 在Azure门户，导航至 订阅，选择您想在ADAudit Plus中配置的订阅，复制 订阅ID ，在Attack Surface Analyzer中配置Azure云时将需要使用此ID。

分配所需权限

1. 登录到 Azure门户.
2. 导航至 订阅 并选择要在ADAudit Plus中配置的订阅。
3. 从左侧菜单进入 访问控制（IAM） > + 添加 > 添加角色分配.



4. 在 角色 标签，搜索并选择 阅读者 角色，点击 下一步.



5. 在 成员 标签，点击 + 选择成员，搜索您在上一节第六步复制的应用名称，点击 选择，然后点击 审查 + 分配.



6. 对 存储账户贡献者 角色重复执行步骤三到五。
7. 如果您希望ADAudit Plus验证Azure Key Vault中的密钥、密钥保管密钥和证书策略，则导航至 Key Vault 资源，点击 访问配置 从左侧菜单，根据您选择的权限模型，执行以下步骤：
• 如果您选择了 Azure基于角色的访问控制（推荐），点击 访问控制（IAM） 并按照步骤三到五为应用添加 Key Vault 贡献者 角色。
• 如果您选择了 保险库访问策略，点击 进入访问策略，然后点击 创建。在 密钥权限、密钥保管密钥权限和 证书权限中，勾选 列表 选项并点击 下一步。在 主体 标签，搜索并选择您创建的应用名称，点击 下一步。确认设置后，点击 审查 + 创建.

注意：如果您有多个订阅，请对每个订阅重复以上步骤。

在Attack Surface Analyzer中添加现有Entra ID（前称Azure AD）租户

您可以自动或手动添加Entra ID租户以进行攻击面分析。

自动配置

分配所需权限后，您的Entra ID租户将通过每日凌晨12点定期运行的同步流程自动启用攻击面分析。

手动配置

如果您想手动配置Entra ID租户进行攻击面分析，请按照 在Attack Surface Analyzer中添加现有Entra ID租户或新的Azure云.

下的步骤继续操作。

在ADAudit Plus中配置新的Azure云

在配置Azure云进行攻击面分析之前，您需要在Azure门户创建应用并分配适当角色。

1. 登录到 Azure门户 在Azure门户创建应用 并导航至.



2. Microsoft Entra ID 进入 管理 > 应用注册 > + 新注册 打开 注册应用



3. 窗口。 名称 应用程序（例如， ADAudit Plus 应用程序）中，保留其他选项的默认值，然后点击 注册.



4. 在应用程序的 概述 页面，复制 应用程序（客户端）ID ，后续在ADAudit Plus中配置Azure云时需要使用此密钥值。



5. Microsoft Entra ID 管理 > 证书和密钥 > 新建客户端密钥.
6. 在 添加客户端密钥 面板中，输入合适的 描述，从 过期时间 下拉菜单中选择 730天（24个月） ，然后点击 添加.



7. 复制 密钥值 ，后续在ADAudit Plus中配置Azure云时需要使用此密钥值。



8. 在Azure门户，导航至 订阅，选择您想在ADAudit Plus中配置的订阅，复制 订阅ID ，因为配置 ADAudit Plus 中的 Azure 云时需要此 ID。



9. 从左侧菜单进入 访问控制（IAM） > + 添加 > 添加角色分配.



10. 在 角色 标签，搜索并选择 阅读者 角色，点击 下一步.



11. 在 成员 标签，点击 + 选择成员，搜索您在上一部分步骤三中创建的应用程序名称，点击 选择，然后点击 审查 + 分配.



12. 对应用程序的 存储账户贡献者 角色重复执行步骤三到五。
13. 如果您希望ADAudit Plus验证Azure Key Vault中的密钥、密钥保管密钥和证书策略，则导航至 Key Vault 资源，点击 访问配置 从左侧菜单，根据您选择的权限模型，执行以下步骤：
• 如果您选择了 Azure基于角色的访问控制（推荐），点击 访问控制（IAM） 并按照步骤三到五为应用添加 Key Vault 贡献者 角色重复步骤九至十一。
• 如果您选择了 保险库访问策略，点击 进入访问策略，然后点击 创建。在 密钥权限、密钥保管密钥权限和 证书权限中，勾选 列表 选项并点击 下一步。在 主体 标签，搜索并选择您创建的应用名称，点击 下一步。确认设置后，点击 审查 + 创建.

在Attack Surface Analyzer中添加现有Entra ID租户或新的Azure云

1. 登录ADAudit Plus网页控制台。
2. 导航到 Cloud Directory 标签 > Attack Surface Analyzer > 配置 > 云目录.
3. 点击 +添加云目录 （位于右上角）。



4. 选择 Azure 云 下拉菜单中选择 添加云目录 弹出窗口。



5. 输入 显示名称、租户名称、客户端 ID、客户端密钥、订阅 ID和 云类型.
6. 选择 审计日志 复选框，如果您想获取审计日志并监控在 Azure 云中执行的所有操作，然后点击 下一步.



7. 审查您的设置并点击 完成.