Operasi keamanan Microsoft Entra untuk Privileged Identity Management

Keamanan aset bisnis tergantung pada integritas akun dengan hak istimewa yang mengelola sistem TI Anda. Penyerang cyber menggunakan serangan pencurian info masuk untuk menargetkan akun admin dan akun akses hak istimewa lainnya untuk mencoba mendapatkan akses ke data sensitif.

Untuk layanan cloud, pencegahan dan respons adalah tanggung jawab bersama penyedia layanan cloud dan pelanggan.

Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif. Di ID Microsoft Entra, kami mengganti perimeter keamanan jaringan dengan autentikasi di lapisan identitas organisasi Anda. Karena pengguna ditugaskan pada peran administratif istimewa, akses mereka harus dilindungi di lingkungan lokal, cloud, dan hibrida.

Anda sepenuhnya bertanggung jawab atas semua lapisan keamanan untuk lingkungan TI lokal Anda. Ketika Anda menggunakan layanan cloud Azure, pencegahan dan respons adalah tanggung jawab bersama Microsoft sebagai penyedia layanan cloud dan Anda sebagai pelanggan.

• Untuk informasi lebih lanjut tentang model tanggung jawab bersama, kunjungi Tanggung jawab bersama di cloud.

• Untuk informasi selengkapnya tentang mengamankan akses untuk pengguna istimewa, lihat Mengamankan akses Istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.

• Untuk berbagai video, panduan cara, dan konten konsep kunci untuk identitas istimewa, kunjungi dokumentasi Privileged Identity Management.

Privileged Identity Management (PIM) adalah layanan Microsoft Entra yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda. Sumber daya ini mencakup sumber daya di ID Microsoft Entra, Azure, dan Layanan Online Microsoft lainnya seperti Microsoft 365 atau Microsoft Intune. Anda dapat menggunakan PIM untuk membantu mengurangi risiko berikut:

• Mengidentifikasi dan meminimalkan jumlah orang yang memiliki akses ke informasi dan sumber daya yang aman.

• Mendeteksi izin akses yang berlebihan, tidak perlu, atau disalahgunakan pada sumber daya sensitif.

• Mengurangi kemungkinan aktor jahat mendapatkan akses ke informasi atau sumber daya yang aman.

• Mengurangi kemungkinan pengguna yang tidak sah secara tidak sengaja berdampak pada sumber daya sensitif.

Gunakan artikel ini untuk menyediakan panduan guna mengatur garis besar, mengaudit kredensial masuk, dan penggunaan akun istimewa. Gunakan sumber log audit sumber untuk membantu menjaga integritas akun istimewa.

Tempat mencari

File log yang Anda gunakan untuk menyelidiki dan memantau adalah:

• Log audit Microsoft Entra

• Log masuk

• Log Audit Microsoft 365

• Log Azure Key Vault

Di portal Azure, lihat log audit Microsoft Entra dan unduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain untuk mengotomatiskan pemantauan dan pemberitahuan:

• Microsoft Azure Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).

• Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.

• Azure Monitor – mengaktifkan pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.

• Azure Event Hubs yangterintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.

• Microsoft Defender for Cloud Apps – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.

• Mengamankan identitas beban kerja dengan Pratinjau Perlindungan Identitas - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.

Sisa artikel ini memiliki rekomendasi untuk menetapkan garis besar guna dipantau dan diperingatkan, dengan model tingkat. Link ke solusi bawaan muncul setelah tabel. Anda dapat membuat peringatan menggunakan alat sebelumnya. Konten diatur ke dalam area topik berikut:

• Garis besar

• Penetapan peran Microsoft Entra

• Pengaturan pemberitahuan peran Microsoft Entra

• Penetapan peran sumber daya Azure

• Manajemen akses untuk sumber daya Azure

• Akses lebih tinggi untuk mengelola langganan Azure

Garis besar

Berikut ini adalah pengaturan garis besar yang direkomendasikan:

Yang harus dipantau	Tingkat risiko	Rekomendasi	Peran	Catatan
Penetapan peran Microsoft Entra	Sangat Penting	Wajibkan justifikasi untuk aktivasi. Mewajibkan persetujuan untuk mengaktifkan. Atur proses persetujuan dua tingkat. Saat aktivasi, perlu autentikasi multifaktor Microsoft Entra. Atur durasi elevasi maksimum hingga 8 jam.	Administrator Keamanan, Administrator Peran Istimewa, Administrator Global	Administrator peran istimewa dapat menyesuaikan PIM di organisasi Microsoft Entra mereka, termasuk mengubah pengalaman bagi pengguna yang mengaktifkan penetapan peran yang memenuhi syarat.
Konfigurasi Peran Sumber Daya Azure	Sangat Penting	Wajibkan justifikasi untuk aktivasi. Mewajibkan persetujuan untuk mengaktifkan. Atur proses persetujuan dua tingkat. Saat aktivasi, perlu autentikasi multifaktor Microsoft Entra. Atur durasi elevasi maksimum hingga 8 jam.	Pemilik, Administrator Akses Pengguna	Selidiki segera jika bukan perubahan yang direncanakan. Pengaturan ini dapat menyebabkan penyerang mengakses langganan Azure di lingkungan Anda.

Pemberitahuan Manajemen Identitas Istimewa

Privileged Identity Management (PIM) menghasilkan pemberitahuan saat ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Entra Anda. Saat pemberitahuan dibuat, pemberitahuan akan muncul di dasbor Privileged Identity Management. Anda juga dapat mengonfigurasi pemberitahuan email atau mengirim ke SIEM Anda melalui GraphAPI. Karena pemberitahuan ini berfokus khusus pada peran administratif, Anda harus memantau dengan cermat pemberitahuan apa pun.

Yang harus dipantau	Tingkat Risiko	Di mana	Filter/sub-filter UX	Catatan
Peran sedang ditetapkan di luar Privileged Identity Management	Sangat Penting	Privileged Identity Management, Pemberitahuan	Peran sedang ditetapkan di luar Privileged Identity Management	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Potensi akun kedaluarsa dalam peran istimewa	Medium	Privileged Identity Management, Pemberitahuan	Potensi akun kedaluarsa dalam peran istimewa	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Administrator tidak menggunakan peran istimewa mereka	Kurang Penting	Privileged Identity Management, Pemberitahuan	Administrator tidak menggunakan peran istimewa mereka	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Peran tidak memerlukan autentikasi multifaktor untuk aktivasi	Kurang Penting	Privileged Identity Management, Pemberitahuan	Peran tidak memerlukan autentikasi multifaktor untuk aktivasi	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Organisasi tidak memiliki Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra	Kurang Penting	Privileged Identity Management, Pemberitahuan	Organisasi tidak memiliki Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Ada terlalu banyak Administrator Global	Kurang Penting	Privileged Identity Management, Pemberitahuan	Ada terlalu banyak Administrator Global	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma
Peran terlalu sering diaktifkan	Kurang Penting	Privileged Identity Management, Pemberitahuan	Peran terlalu sering diaktifkan	Cara mengonfigurasi pemberitahuan keamanan Aturan sigma

Penetapan peran Microsoft Entra

Administrator peran istimewa dapat menyesuaikan PIM di organisasi Microsoft Entra mereka, yang termasuk mengubah pengalaman pengguna untuk mengaktifkan penetapan peran yang memenuhi syarat:

• Cegah pelaku jahat menghapus persyaratan autentikasi multifaktor Microsoft Entra untuk mengaktifkan akses istimewa.

• Cegah pengguna jahat melewati justifikasi dan persetujuan mengaktifkan akses istimewa.

Yang harus dipantau	Tingkat risiko	Di mana	Filter/sub-filter	Catatan
Pemberitahuan pada Menambah perubahan ke izin akun dengan hak istimewa	Sangat Penting	Log audit Microsoft Entra	Kategori = Manajemen Peran -dan- Jenis Aktivitas – Tambahkan anggota yang memenuhi syarat (permanen) -dan- Jenis Aktivitas – Tambahkan anggota yang memenuhi syarat (memenuhi syarat) -dan- Status = Berhasil/gagal -dan- Properti yang dimodifikasi = Role.DisplayName	Pantau dan selalu waspada terhadap setiap perubahan pada Administrator Peran Istimewa dan Administrator Global. Ini dapat menjadi indikasi bahwa penyerang mencoba mendapatkan hak istimewa untuk memodifikasi pengaturan penetapan peran. Jika Anda tidak memiliki ambang yang ditentukan, waspada pada 4 dalam 60 menit untuk pengguna dan 2 dalam 60 menit untuk akun dengan hak istimewa. Aturan sigma
Pemberitahuan pada perubahan penghapusan massal ke izin akun dengan hak istimewa	Sangat Penting	Log audit Microsoft Entra	Kategori = Manajemen Peran -dan- Jenis Aktivitas – Hapus anggota yang memenuhi syarat (permanen) -dan- Jenis Aktivitas – Hapus anggota yang memenuhi syarat (memenuhi syarat) -dan- Status = Berhasil/gagal -dan- Properti yang dimodifikasi = Role.DisplayName	Selidiki segera jika bukan perubahan yang direncanakan. Pengaturan ini dapat menyebabkan penyerang bisa mengakses langganan Azure di lingkungan Anda. Templat Microsoft Sentinel Aturan sigma
Perubahan pada pengaturan PIM	Sangat Penting	Log audit Microsoft Entra	Layanan = PIM -dan- Kategori = Manajemen Peran -dan- Jenis Aktivitas = Memperbarui pengaturan peran di PIM -dan- Alasan Status = MFA pada aktivasi dinonaktifkan (contoh)	Pantau dan selalu waspada terhadap setiap perubahan pada Administrator Peran Istimewa dan Administrator Global. Ini dapat menjadi indikasi bahwa penyerang memiliki akses untuk memodifikasi pengaturan penetapan peran. Salah satu tindakan ini dapat mengurangi keamanan elevasi PIM dan memudahkan penyerang untuk mendapatkan akun dengan hak istimewa. Templat Microsoft Sentinel Aturan sigma
Persetujuan dan menolak elevasi	Sangat Penting	Log audit Microsoft Entra	Layanan = Tinjauan Akses -dan- Kategori = UserManagement -dan- Jenis Aktivitas = Permintaan Disetujui/Ditolak -dan- Pelaku diinisiasi = UPN	Semua elevasi harus dipantau. Catat semua elevasi guna memberikan indikasi garis waktu yang jelas untuk sebuah serangan. Templat Microsoft Sentinel Aturan sigma
Pengaturan pemberitahuan berubah menjadi dinonaktifkan.	Sangat Penting	Log audit Microsoft Entra	Layanan = PIM -dan- Kategori = Manajemen Peran -dan- Tipe Aktivitas = Nonaktifkan Peringatan PIM -dan- Status = Berhasil/Gagal	Selalu beri tahu. Membantu mendeteksi aktor jahat yang menghapus pemberitahuan yang terkait dengan persyaratan autentikasi multifaktor Microsoft Entra untuk mengaktifkan akses istimewa. Membantu mendeteksi aktivitas yang mencurigakan atau tidak aman. Templat Microsoft Sentinel Aturan sigma

Untuk informasi selengkapnya tentang mengidentifikasi perubahan pengaturan peran di log audit Microsoft Entra, lihat Melihat riwayat audit untuk peran Microsoft Entra di Privileged Identity Management.

Penetapan peran sumber daya Azure

Pemantauan penetapan peran sumber daya Azure memberikan visibilitas ke dalam aktivitas dan aktivasi untuk peran sumber daya. Penugasan ini mungkin disalahgunakan untuk membuat permukaan serangan ke sumber daya. Saat Anda memantau jenis aktivitas ini, Anda mencoba mendeteksi:

• Penetapan peran kueri pada sumber daya tertentu

• Penetapan peran untuk semua sumber daya anak

• Semua perubahan penetapan peran aktif dan yang memenuhi syarat

Yang harus dipantau	Tingkat risiko	Di mana	Filter/sub-filter	Catatan
Log audit Sumber Daya Pemberitahuan Audit untukaktivitas akun dengan Hak Istimewa	Sangat Penting	Dalam PIM, di bawah Azure Resources, Audit Sumber Daya	Tindakan: Menambahkan anggota yang memenuhi syarat ke peran dalam PIM selesai (terikat waktu) -dan- Target Utama -dan- Pengguna Jenis -dan- Status = Berhasil	Selalu beri tahu. Membantu mendeteksi pelaku jahat yang menambahkan peran yang memenuhi syarat untuk mengelola semua sumber daya di Azure.
Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan	Medium	Dalam PIM, di bawah Azure Resources, Audit Sumber Daya	Tindakan : Nonaktifkan Peringatan -dan- Target Utama : Terlalu banyak pemilik yang ditetapkan ke sumber daya -dan- Status = Berhasil	Membantu mendeteksi pelaku yang buruk menonaktifkan peringatan, dalam panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki
Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan	Medium	Dalam PIM, di bawah Azure Resources, Audit Sumber Daya	Tindakan : Nonaktifkan Peringatan -dan- Target Utama : Terlalu banyak pemilik permanen yang ditetapkan ke sumber daya -dan- Status = Berhasil	Mencegah pelaku yang buruk menonaktifkan peringatan, dalam panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki
Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan	Medium	Dalam PIM, di bawah Azure Resources, Audit Sumber Daya	Tindakan : Nonaktifkan Peringatan -dan- Peran Duplikat Target Utama dibuat -dan- Status = Berhasil	Mencegah pelaku yang buruk menonaktifkan peringatan, dari panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki

Untuk informasi selengkapnya tentang mengonfigurasi pemberitahuan dan mengaudit peran sumber daya Azure, lihat:

• Mengonfigurasi pemberitahuan keamanan untuk peran sumber daya Azure dalam Privileged Identity Management

• Melihat laporan audit untuk peran sumber daya Azure di Privileged Identity Management (PIM)

Manajemen akses untuk sumber daya dan langganan Azure

Pengguna atau anggota grup menetapkan peran langganan Pemilik atau Administrator Akses Pengguna, dan Administrator Global Microsoft Entra yang mengaktifkan manajemen langganan di ID Microsoft Entra, memiliki izin Administrator Sumber Daya secara default. Administrator menetapkan peran, mengonfigurasi pengaturan peran, dan meninjau akses menggunakan Privileged Identity Management (PIM) untuk sumber daya Azure.

Pengguna yang memiliki izin administrator Sumber Daya dapat mengelola PIM untuk Sumber Daya. Pantaulah dan mitigasi risiko yang ditimbulkan ini: kemampuan dapat digunakan untuk memungkinkan akses istimewa pelaku yang buruk pada sumber daya langganan Azure, seperti mesin virtual (VM) atau akun penyimpanan.

Yang harus dipantau	Tingkat risiko	Di mana	Filter/sub-filter	Catatan
Elevasi	Sangat Penting	ID Microsoft Entra, di bawah Kelola, Properti	Tinjau pengaturan secara berkala. Manajemen akses untuk sumber daya Azure	Administrator Global dapat meningkatkan dengan mengaktifkan Manajemen akses untuk sumber daya Azure. Pastikan pelaku yang buruk belum mendapatkan izin untuk menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan Active Directory.

Untuk informasi selengkapnya, lihat Menetapkan peran sumber daya Azure di Privileged Identity Management

Langkah berikutnya

Gambaran umum operasi keamanan Microsoft Entra

Operasi keamanan untuk akun pengguna

Operasi keamanan untuk akun konsumen

Operasi keamanan untuk akun istimewa

Operasi keamanan untuk aplikasi

Operasi keamanan untuk perangkat

Operasi keamanan untuk infrastruktur