Cara: Menyelidiki Risiko

Perlindungan Identitas memberi organisasi tiga laporan yang dapat digunakan untuk menyelidiki risiko identitas di lingkungan mereka. Laporan seperti pengguna berisiko, proses masuk riskan, dan deteksi risiko. Investigasi peristiwa adalah kunci untuk lebih memahami dan mengidentifikasi titik lemah dalam strategi keamanan Anda.

Ketiga laporan memungkinkan pengunduhan peristiwa dalam format .CSV untuk analisis lebih lanjut di luar portal Microsoft Azure. Pengguna berisiko dan laporan proses masuk riskan memungkinkan untuk mengunduh 2500 entri terbaru, sementara laporan deteksi risiko memungkinkan untuk mengunduh 5000 catatan terbaru.

Organisasi dapat memanfaatkan integrasi Microsoft Graph API untuk menggabungkan data dengan sumber lain yang mungkin mereka miliki aksesnya sebagai organisasi.

Ketiga laporan ditemukan di portal Microsoft Azure>Azure Active Directory>Keamanan.

Setiap laporan diluncurkan dengan daftar semua deteksi untuk periode yang ditunjukkan di bagian atas laporan. Setiap laporan memungkinkan penambahan atau penghapusan kolom berdasarkan preferensi administrator. Administrator dapat memilih untuk mengunduh data dalam format .CSV atau .JSON. Laporan dapat difilter menggunakan filter di bagian atas laporan.

Memilih setiap entri dapat mengaktifkan entri lainnya di bagian atas laporan seperti kemampuan untuk mengonfirmasi kredensial masuk sebagai disusupi atau aman, mengonfirmasi pengguna sebagai disusupi, atau mengabaikan risiko pengguna.

Memilih entri individual memperluas jendela detail di bawah deteksi. Tampilan detail memungkinkan administrator menyelidiki dan melakukan tindakan terhadap setiap deteksi.

Pengguna berisiko

Laporan pengguna berisiko di portal Azure

Dengan informasi yang diberikan oleh laporan pengguna berisiko, administrator dapat menemukan:

  • Pengguna mana yang berisiko, memiliki risiko yang telah diperbaiki, atau risiko yang dimatikan?
  • Detail tentang deteksi
  • Riwayat semua proses masuk yang riskan
  • Riwayat risiko

Kemudian, administrator dapat memilih untuk mengambil tindakan pada peristiwa ini. Administrator dapat memilih untuk:

  • Mereset kata sandi pengguna
  • Mengonfirmasi bahwa pengguna disusupi
  • Menghilangkah risiko pengguna
  • Memblokir pengguna agar tidak masuk
  • Menyelidiki lebih lanjut menggunakan Azure ATP

Proses masuk riskan

Laporan proses masuk riskan di portal Azure

Laporan proses masuk riskan berisi data yang dapat difilter hingga 30 hari terakhir (satu bulan).

Dengan informasi yang diberikan oleh laporan proses masuk riskan, administrator dapat menemukan:

  • Rinvian masuk mana yang diklasifikasikan sebagai berisiko, dikonfirmasi disusupi, dikonfirmasi aman, dihentikan, atau diperbaiki.
  • Tingkat risiko real-time dan agregat yang terkait dengan upaya masuk.
  • Jenis deteksi yang dipicu
  • Kebijakan Akses Bersyarat yang diterapkan
  • Detail MFA
  • Informasi perangkat
  • Informasi aplikasi
  • Informasi lokasi

Kemudian, administrator dapat memilih untuk mengambil tindakan pada peristiwa ini. Administrator dapat memilih untuk:

  • Mengonfirmasi rincian masuk sebagai disusupi
  • Mengonfirmasi rincian masuk sebagai aman

Catatan

Perlindungan Identitas mengevaluasi risiko untuk semua alur autentikasi, baik interaktif maupun non-interaktif. Laporan proses masuk riskan sekarang menunjukkan kedua interaktif dan non-interaktif rincian masuk. Gunakan filter "jenis rincian masuk" untuk mengubah tampilan ini.

Deteksi risiko

Laporan deteksi risiko dalam portal Azure

Laporan deteksi risiko berisi data yang dapat difilter hingga 90 hari terakhir (tiga bulan).

Dengan informasi yang diberikan oleh laporan deteksi risiko, administrator dapat menemukan:

  • Informasi tentang setiap deteksi risiko termasuk jenis.
  • Risiko lain yang dipicu pada saat yang sama
  • Lokasi percobaan masuk
  • Tautkan ke detail selengkapnya dari Pertahanan Microsoft untuk Aplikasi Cloud.

Kemudian, administrator dapat memilih untuk kembali ke laporan risiko atau masuk pengguna untuk mengambil tindakan berdasarkan informasi yang dikumpulkan.

Catatan

Sistem kami dapat mendeteksi bahwa peristiwa risiko yang berkontribusi pada skor risiko pengguna risiko adalah positif palsu atau risiko pengguna diperbaiki dengan penegakan kebijakan seperti menyelesaikan perubahan kata sandi aman atau prompt MFA. Oleh karena itu, sistem kami akan menghilangkan status risiko dan detail risiko "Rincian masuk yang dikonfirmasi AI aman" akan muncul dan tidak akan lagi berkontribusi pada risiko pengguna.

Kerangka kerja penyelidikan

Organisasi dapat menggunakan kerangka kerja berikut untuk memulai penyelidikan mereka terhadap aktivitas apa pun yang mencurigakan. Investigasi mungkin memerlukan percakapan dengan pengguna yang bersangkutan, meninjau log kredensial masuk, atau meninjau log audit untuk menamai beberapa log audit.

  1. Periksa log dan validasi apakah aktivitas mencurigakan itu normal untuk pengguna tertentu.
    1. Lihat aktivitas pengguna sebelumnya termasuk setidaknya properti berikut untuk melihat apakah mereka normal untuk pengguna tertentu.
      1. Aplikasi
      2. Perangkat - Apakah perangkat terdaftar atau sesuai?
      3. Lokasi - Apakah pengguna bepergian ke lokasi yang berbeda atau mengakses perangkat dari beberapa lokasi?
      4. Alamat IP
      5. String agen pengguna
    2. Jika Anda memiliki akses ke alat keamanan lain seperti Microsoft Sentinel, periksa peringatan yang sesuai yang mungkin menunjukkan masalah yang lebih besar.
  2. Hubungi pengguna untuk mengonfirmasi apakah mereka mengenali kredensial masuknya. Metode seperti email atau Teams dapat disusupi.
    1. Konfirmasikan informasi yang Anda miliki seperti:
      1. Aplikasi
      2. Perangkat
      3. Lokasi
      4. Alamat IP

Menyelidiki deteksi inteligensi ancaman Azure AD

Untuk menyelidiki deteksi risiko Inteligensi Ancaman Azure AD, ikuti langkah-langkah berikut:

Jika informasi selengkapnya ditampilkan untuk deteksi:

  1. Kredensial masuk berasal dari Alamat IP yang mencurigakan:
    1. Konfirmasi apakah alamat IP menunjukkan perilaku yang mencurigakan di lingkungan Anda.
    2. Apakah IP menimbulkan sejumlah besar kegagalan bagi pengguna atau kumpulan pengguna di direktori Anda?
    3. Apakah lalu lintas IP berasal dari protokol atau aplikasi yang tidak terduga, misalnya protokol lama Exchange?
    4. Jika alamat IP sesuai dengan penyedia layanan cloud, kecualikan sehingga tidak ada aplikasi perusahaan yang sah yang berjalan dari IP yang sama.
  2. Akun pengguna ini telah diserang oleh pembobolan Kata Sandi:
    1. Validasikan bahwa tidak ada pengguna lain di direktori Anda yang menjadi target serangan yang sama.
    2. Apakah pengguna lain memiliki kredensial masuk dengan pola tidak biasa yang serupa dan terlihat pada kredensial masuk yang terdeteksi dalam jangka waktu yang sama? Serangan pembobolan kata sandi dapat menampilkan pola yang tidak biasa di:
      1. String agen pengguna
      2. Aplikasi
      3. Protokol
      4. Rentang IP/ASN
      5. Waktu dan frekuensi kredensial masuk

Langkah berikutnya