Operasi keamanan Microsoft Entra untuk akun pengguna
Identitas pengguna adalah salah satu aspek terpenting untuk melindungi organisasi dan data Anda. Artikel ini memberikan panduan untuk memantau pembuatan akun, penghapusan, dan penggunaan akun. Bagian pertama mencakup cara memantau pembuatan dan penghapusan akun yang tidak biasa. Bagian kedua mencakup cara memantau penggunaan akun yang tidak biasa.
Jika Anda belum membaca gambaran umum operasi keamanan Microsoft Entra, kami sarankan Anda melakukannya sebelum melanjutkan.
Artikel ini mencakup akun pengguna umum. Untuk akun istimewa, lihat Operasi keamanan - akun istimewa.
Menentukan garis dasar
Untuk menemukan perilaku anomali, pertama-tama Anda harus menentukan apa perilaku normal dan yang diharapkan. Menentukan perilaku yang diharapkan untuk organisasi Anda, membantu Anda menentukan kapan perilaku tidak terduga terjadi. Definisi ini juga membantu mengurangi tingkat kebisingan positif palsu saat memantau dan memberi tahu.
Setelah Anda menentukan apa yang Anda harapkan, Anda melakukan pemantauan garis dasar untuk memvalidasi harapan Anda. Dengan informasi itu, Anda dapat memantau log untuk apa pun yang berada di luar toleransi yang Anda tentukan.
Gunakan log audit Microsoft Entra, log masuk Microsoft Entra, dan atribut direktori sebagai sumber data Anda untuk akun yang dibuat di luar proses normal. Berikut ini adalah saran untuk membantu Anda memikirkan dan menentukan apa yang normal untuk organisasi Anda.
Pembuatan akun pengguna – evaluasi hal berikut:
Strategi dan prinsip untuk alat dan proses yang digunakan untuk membuat dan mengelola akun pengguna. Sebagai contoh, apakah ada atribut standar, format yang diterapkan pada atribut akun pengguna.
Sumber yang disetujui untuk pembuatan akun. Misalnya, berasal dari Direktori Aktif (AD), ID Microsoft Entra, atau sistem SDM seperti Workday.
Strategi pemberitahuan untuk akun yang dibuat di luar sumber yang disetujui. Apakah ada daftar terkontrol dari organisasi yang berkolaborasi dengan organisasi Anda?
Penyediaan akun tamu dan parameter pemberitahuan untuk akun yang dibuat di luar pengelolaan pemberian hak atau proses normal lainnya.
Parameter strategi dan peringatan untuk akun yang dibuat, dimodifikasi, atau dinonaktifkan oleh akun yang bukan administrator pengguna yang disetujui.
Strategi pemantauan dan pemberitahuan untuk akun yang kehilangan atribut standar, seperti ID karyawan atau tidak mengikuti konvensi penamaan organisasi.
Strategi, prinsip, dan proses untuk penghapusan dan retensi akun.
Akun pengguna lokal – evaluasi hal berikut untuk akun yang disinkronkan dengan Microsoft Entra Koneksi:
Forest, domain, dan unit organisasi (OUs/{i>Organizational Units
Tipe akun yang disinkronkan. Contohnya, akun pengguna dan atau akun layanan.
Proses untuk membuat akun lokal yang istimewa dan bagaimana sinkronisasi jenis akun ini terkontrol.
Proses untuk membuat akun pengguna lokal dan bagaimana sinkronisasi jenis akun ini dikelola.
Untuk informasi selengkapnya untuk mengamankan dan memantau akun lokal, lihat Melindungi Microsoft 365 dari serangan lokal.
Pengguna cloud – evaluasi hal berikut:
Proses untuk memprovisikan dan mengelola akun cloud langsung di ID Microsoft Entra.
Proses untuk menentukan jenis pengguna yang disediakan sebagai akun cloud Microsoft Entra. Contohnya, apakah Anda hanya mengizinkan akun istimewa atau apakah Anda juga mengizinkan akun pengguna?
Proses untuk membuat dan mempertahankan daftar individu tepercaya dan atau proses yang diharapkan untuk membuat dan mengelola akun pengguna cloud.
Proses untuk membuat dan mempertahankan strategi pemberitahuan untuk akun berbasis cloud yang tidak disetujui.
Tempat mencari
File log yang Anda gunakan untuk menyelidiki dan memantau adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Azure Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).
Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – mengaktifkan pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan SIEM - Log Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Pertahanan Microsoft untuk Cloud – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, serta memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Pratinjau Perlindungan Identitas - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sebagian besar yang akan Anda pantau dan beri tahukan adalah efek dari kebijakan Akses Bersyarat Anda. Anda dapat menggunakan Wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau lebih kebijakan Akses Bersyarat pada rincian masuk, dan hasil kebijakan termasuk kondisi perangkat Anda. Buku kerja ini memungkinkan Anda melihat ringkasan dan mengidentifikasi dampak selama periode waktu tertentu. Anda juga dapat menggunakan buku kerja untuk menyelidiki proses masuk pengguna tertentu.
Bagian berikutnya dari artikel ini mendeskripsikan apa yang kami sarankan untuk dipantau dan diberitahukan, dan diatur berdasarkan jenis ancaman. Di mana ada solusi tertentu yang dibuat sebelumnya, kami tautkan ke solusi tersebut atau menyediakan sampel setelah tabel. Atau, Anda dapat membangun pemberitahuan menggunakan alat sebelumnya.
Pembuatan Akun
Pembuatan akun anomali dapat mengindikasikan masalah keamanan. Akun berumur pendek, akun yang tidak mengikuti standar penamaan, dan akun yang dibuat di luar proses normal harus diselidiki.
Akun berumur pendek
Pembuatan dan penghapusan akun di luar proses manajemen identitas normal harus dipantau di ID Microsoft Entra. Akun berumur pendek adalah akun yang dibuat dan dihapus dalam rentang waktu singkat. Jenis pembuatan dan penghapusan cepat akun bisa berarti pelaku yang buruk mencoba menghindari deteksi dengan membuat akun, menggunakannya, lalu menghapus akun.
Pola akun berumur pendek mungkin menunjukkan orang atau proses yang tidak disetujui mungkin memiliki hak untuk membuat dan menghapus akun yang berada di luar proses dan kebijakan yang dibentuk. Jenis perilaku ini menghapus penanda yang terlihat dari direktori.
Jika jejak data untuk pembuatan dan penghapusan akun tidak ditemukan dengan cepat, informasi yang diperlukan untuk menyelidiki suatu insiden mungkin tidak ada lagi. Contohnya, akun mungkin dihapus, lalu dibersihkan dari keranjang sampah. Log audit ditahan selama 30 hari. Namun, Anda dapat mengekspor log Anda ke Azure Monitor atau solusi informasi keamanan dan manajemen kejadian (SIEM/{i>Security Information and Event Management
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kejadian pembuatan dan penghapusan akun dalam jangka waktu dekat. | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil -dan- Aktivitas: Hapus pengguna Status = berhasil |
Cari kejadian nama utama pengguna (UPN/{i>User Principal Name |
| Akun yang dibuat dan dihapus oleh pengguna atau proses yang tidak disetujui. | Medium | Log audit Microsoft Entra | Diprakarsai oleh (pelaku) – USER PRINCIPAL NAME -dan- Aktivitas: Tambah pengguna Status = berhasil dan-atau Aktivitas: Hapus pengguna Status = berhasil |
Jika pelaku adalah pengguna yang tidak disetujui, konfigurasikan untuk mengirim peringatan. Templat Microsoft Sentinel |
| Akun dari sumber yang tidak disetujui. | Medium | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil Target = USER PRINCIPAL NAME |
Jika entri bukan dari domain yang disetujui atau merupakan domain yang diblokir, konfigurasikan untuk mengirim peringatan. Templat Microsoft Sentinel |
| Akun yang ditetapkan ke peran istimewa. | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil -dan- Aktivitas: Hapus pengguna Status = berhasil -dan- Aktivitas = Tambah anggota ke peran Status = berhasil |
Jika akun ditetapkan ke peran Microsoft Entra, peran Azure, atau keanggotaan grup istimewa, beri tahu dan prioritaskan penyelidikan. Templat Microsoft Sentinel Aturan sigma |
Akun yang istimewa dan tidak istimewa keduanya harus dipantau dan diberi tahu. Namun, dikarenakan akun istimewa memiliki izin administratif, mereka seharusnya memiliki prioritas yang lebih tinggi dalam proses pemantauan, pemberitahuan, dan respons Anda.
Akun tidak mengikuti kebijakan penamaan
Akun pengguna yang tidak mengikuti kebijakan penamaan mungkin telah dibuat di luar kebijakan organisasi.
Praktik terbaik adalah memiliki kebijakan penamaan untuk objek pengguna. Memiliki kebijakan penamaan membuat manajemen lebih mudah dan membantu meneydiakan konsistensi. Kebijakan ini juga dapat membantu menemukan kapan pengguna telah dibuat di luar proses yang disetujui. Pelaku yang buruk mungkin tidak menyadari standar penamaan Anda dan mungkin membuatnya lebih mudah untuk mendeteksi akun yang disediakan di luar proses organisasi Anda.
Organisasi cenderung memiliki format dan atribut tertentu yang digunakan untuk membuat akun pengguna dan atau istimewa. Contohnya:
Akun admin UPN = ADM_firstname.lastname@tenant.onmicrosoft.com
Akun pengguna UPN = Firstname.Lastname@contoso.com
Sering kali, akun pengguna memiliki atribut yang mengidentifikasi pengguna nyata. Contohnya, EMPID = XXXNNN. Gunakan saran berikut untuk membantu menentukan normal bagi organisasi Anda dan saat menentukan garis besar untuk entri log saat akun tidak mengikuti konvensi penamaan Anda:
Akun yang tidak mengikuti konvensi penamaan. Contohnya,
nnnnnnn@contoso.comversusfirstname.lastname@contoso.com.Akun yang tidak memiliki atribut standar yang diisi atau tidak dalam format yang benar. Contohnya, tidak memiliki ID karyawan yang valid.
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Akun pengguna yang tidak memiliki atribut yang diharapkan didefinisikan. | Kurang Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil |
Cari akun dengan atribut standar Anda baik null atau dalam format yang salah. Misalnya, EmployeeID Templat Microsoft Sentinel |
| Akun pengguna dibuat menggunakan format penamaan yang salah. | Kurang Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil |
Cari akun dengan UPN yang tidak mengikuti kebijakan penamaan Anda. Templat Microsoft Sentinel |
| Akun dengan hak istimewa yang tidak mengikuti kebijakan pemberian nama. | Sangat Penting | Langganan Azure | Mencantumkan penetapan peran Azure menggunakan portal Azure - Azure RBAC | Buatlah daftar penetapan peran untuk langganan dan peringatan di mana nama kredensial masuk tidak cocok dengan format organisasi Anda. Misalnya, ADM_ sebagai awalan. |
| Akun dengan hak istimewa yang tidak mengikuti kebijakan pemberian nama. | Sangat Penting | Direktori Microsoft Entra | Daftar penetapan peran Microsoft Entra. | Cantumkan penetapan peran untuk pemberitahuan peran Microsoft Entra di mana UPN tidak cocok dengan format organisasi Anda. Misalnya, ADM_ sebagai awalan. |
Untuk informasi selengkapnya tentang penguraian, lihat:
Log audit Microsoft Entra - Mengurai data teks di Log Azure Monitor
Langganan Azure - Buat daftar penetapan peran Azure menggunakan Azure PowerShell
ID Microsoft Entra - Mencantumkan penetapan peran Microsoft Entra
Akun yang dibuat di luar proses normal
Memiliki proses standar untuk membuat pengguna dan akun istimewa itu penting, agar Anda dapat mengontrol siklus hidup identitas dengan aman. Jika pengguna disediakan dan tidak disediakan di luar proses yang ditetapkan, itu dapat menyebabkan risiko keamanan. Beroperasi di luar proses yang ditetapkan juga dapat menyebabkan masalah manajemen identitas. Potensi risiko meliputi:
Pengguna dan akun istimewa mungkin tidak diatur untuk mematuhi kebijakan organisasi. Hal ini dapat menyebabkan permukaan serangan yang lebih luas pada akun yang tidak dikelola dengan benar.
Menjadi lebih sulit untuk mendeteksi ketika pelaku jahat membuat akun untuk tujuan yang berbahaya. Dengan memiliki akun yang valid yang dibuat di luar prosedur yang ditetapkan, menjadi lebih sulit untuk mendeteksi kapan akun dibuat, atau izin dimodifikasi untuk tujuan yang berbahaya.
Kami menyarankan agar pengguna dan akun istimewa hanya dibuat mengikuti kebijakan organisasi Anda. Misalnya, akun harus dibuat dengan standar penamaan yang benar, informasi organisasi dan di bawah cakupan tata kelola identitas yang sesuai. Organisasi harus memiliki kontrol yang ketat untuk siapa yang memiliki hak untuk membuat, mengelola, dan menghapus identitas. Peran untuk membuat akun ini harus dikelola dengan ketat dan hak hanya tersedia setelah mengikuti alur kerja yang ditetapkan untuk menyetujui dan mendapatkan izin ini.
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Akun yang dibuat dan dihapus oleh pengguna atau proses yang tidak disetujui. | Medium | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil dan-atau- Aktivitas: Hapus pengguna Status = berhasil -dan- Dimulai oleh (pelaku) – USER PRINCIPAL NAME |
Pemberitahuan untuk akun yang dibuat oleh pengguna yang tidak disetujui atau proses. Prioritaskan akun yang dibuat dengan hak istimewa yang ditingkatkan. Templat Microsoft Sentinel |
| Akun pengguna yang dibuat atau dihapus dari sumber yang tidak disetujui. | Medium | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil -atau- Aktivitas: Hapus pengguna Status = berhasil -dan- Target = USER PRINCIPAL NAME |
Beritahu ketika domain tidak disetujui atau domain yang diblokir yang diketahui. |
Kredensial masuk yang tidak biasa
Melihat kegagalan untuk autentikasi pengguna adalah normal. Tetapi melihat pola atau blok kegagalan dapat menjadi indikator bahwa ada sesuatu yang terjadi dengan Identitas pengguna. Misalnya, selama pembobolan Kata Sandi atau Brute serangan Force, atau saat akun pengguna disusupi. Sangat penting bagi Anda untuk memantau dan waspada saat pola muncul. Ini membantu memastikan Anda dapat melindungi pengguna dan data organisasi Anda.
Sukses tampaknya mengatakan semuanya baik-baik saja. Tapi itu bisa berarti bahwa pelaku yang buruk telah berhasil mengakses layanan. Memantau login yang berhasil membantu Anda mendeteksi akun pengguna yang mendapatkan akses tetapi bukan akun pengguna yang seharusnya memiliki akses. Keberhasilan autentikasi pengguna adalah entri normal dalam log masuk Microsoft Entra. Kami sarankan Anda memantau dan waspada untuk mendeteksi kapan pola muncul. Ini membantu memastikan Anda dapat melindungi akun pengguna dan data organisasi Anda.
Saat Anda merancang dan mengoperasionalkan strategi pemantauan dan pemberitahuan log, pertimbangkan alat yang tersedia untuk Anda melalui portal Azure. Identity Protection memungkinkan Anda untuk mengotomatisasi deteksi, perlindungan, dan remediasi risiko berbasis identitas. Perlindungan identitas menggunakan pembelajaran mesin yang diberi kecerdasan dan sistem heuristik untuk mendeteksi risiko dan menetapkan skor risiko bagi pengguna dan kredensial masuk. Pelanggan dapat mengonfigurasi kebijakan berdasarkan tingkat risiko kapan harus mengizinkan atau menolak akses atau memungkinkan pengguna untuk memulihkan diri dari risiko dengan aman. Deteksi risiko Perlindungan Identitas berikut menginformasikan tingkat risiko hari ini:
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Deteksi risiko pengguna informasi masuk yang bocor | Sangat Penting | Log deteksi risiko Microsoft Entra | UX: Kredensial bocor API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko pengguna Inteligensi Ancaman Microsoft Entra | Sangat Penting | Log deteksi risiko Microsoft Entra | UX: Inteligensi ancaman Microsoft Entra API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP anonim | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP anonim API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk perjalanan atypical | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Perjalanan atipikal API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Token Anomali | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Token Anomali API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP bertautan malware | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP tertaut malware API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk browser yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Browser mencurigakan API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk properti masuk yang tidak dikenal | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Properti masuk yang tidak dikenal API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP yang berbahaya | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP yang berbahaya API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk manipulasi kotak masuk yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Aturan manipulasi kotak masuk yang mencurigakan API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk Spray kata sandi | Sangat Penting | Log deteksi risiko Microsoft Entra | UX: Spray Kata Sandi API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk perjalanan tidak memungkinkan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Perjalanan tidak memungkinkan API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk negara/wilayah baru | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Negara/wilayah baru API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk aktivitas dari alamat IP anonim | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Aktivitas dari alamat IP anonim API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk penerusan kotak masuk yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Penerusan kotak masuk yang mencurigakan API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk inteligensi ancaman Microsoft Entra | Sangat Penting | Log deteksi risiko Microsoft Entra | UX: Inteligensi ancaman Microsoft Entra API: Lihat Jenis sumber daya riskDetection - Microsoft Graph versi beta |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
Untuk mengetahui informasi selengkapnya, lihat Apa itu Identity Protection.
Apa yang harus dicari
Konfigurasikan pemantauan pada data dalam log masuk Microsoft Entra untuk memastikan bahwa pemberitahuan terjadi dan mematuhi kebijakan keamanan organisasi Anda. Beberapa contohnya adalah:
Autentikasi Gagal: Sebagai manusia, kita semua mendapatkan kata sandi yang salah dari waktu ke waktu. Namun, banyak autentikasi yang gagal dapat menunjukkan bahwa pelaku yang buruk mencoba untuk mendapatkan akses. Serangan berbeda dalam keganasan tetapi dapat berkisar dari beberapa upaya per jam hingga tingkat yang jauh lebih tinggi. Misalnya, Spray Kata Sandi biasanya memangsa kata sandi yang lebih mudah terhadap banyak akun, sementara Brute Force mencoba banyak kata sandi terhadap akun yang ditargetkan.
Autentikasi Terganggu: Interupsi di MICROSOFT Entra ID mewakili injeksi proses untuk memenuhi autentikasi, seperti saat memberlakukan kontrol dalam kebijakan Akses Bersyariah. Ini adalah peristiwa normal dan dapat terjadi saat aplikasi tidak dikonfigurasi dengan benar. Tetapi ketika Anda melihat banyak interupsi untuk sebuah akun pengguna, itu bisa menunjukkan sesuatu yang terjadi dengan akun itu.
- Misalnya, jika Anda memfilter pengguna di log Masuk dan melihat volume besar status masuk = Akses Terinterupsi dan Bersyarat = Kegagalan. Menggali lebih dalam mungkin menunjukkan dalam detail autentikasi bahwa kata sandi itu benar, tetapi autentikasi yang kuat diperlukan. Ini dapat berarti pengguna tidak menyelesaikan autentikasi multifaktor (MFA) yang dapat menunjukkan bahwa kata sandi pengguna disusupi dan pelaku yang buruk tidak dapat memenuhi MFA.
Penguncian cerdas: MICROSOFT Entra ID menyediakan layanan penguncian cerdas yang memperkenalkan konsep lokasi yang sudah dikenal dan tidak dikenal ke proses autentikasi. Akun pengguna yang mengunjungi lokasi yang akrab mungkin berhasil mengautentikasi sementara aktor jahat yang tidak terbiasa dengan lokasi yang sama diblokir setelah beberapa upaya. Carilah akun yang telah dikunci dan selidiki lebih lanjut.
Perubahan IP: Melihat pengguna yang berasal dari alamat IP yang berbeda adalah normal. Namun, Zero Trust menyatakan untuk tidak pernah percaya, dan selalu memverifikasi. Melihat volume alamat IP yang besar dan kredensial masuk yang gagal dapat menjadi indikator gangguan. Carilah pola yang mengandung banyak autentikasi gagal yang terjadi dari beberapa alamat IP. Perlu diketahui, koneksi jaringan privat maya (VPN/{i>Virtual Private Network
Lokasi: Umumnya, Anda mengharapkan akun pengguna berada di lokasi geografis yang sama. Anda juga mengharapkan kredensial masuk dari lokasi di mana Anda memiliki karyawan atau relasi bisnis. Ketika akun pengguna berasal dari lokasi internasional yang berbeda dalam waktu yang lebih singkat daripada yang diperlukan untuk bepergian ke sana, itu dapat menunjukkan akun pengguna disalahgunakan. Perhatikan, VPN dapat menyebabkan positif palsu, kami sarankan Anda memantau akun pengguna yang masuk dari lokasi yang jauh secara geografis dan jika memungkinkan, gunakan Microsoft Entra ID Protection untuk mendeteksi dan mengurangi risiko ini secara otomatis.
Untuk area risiko ini, kami sarankan Anda memantau akun pengguna standar dan akun istimewa tetapi memprioritaskan penyelidikan akun istimewa. Akun istimewa adalah akun terpenting di penyewa Microsoft Entra mana pun. Untuk panduan tertentu untuk akun istimewa, lihat Operasi keamanan - akun istimewa.
Cara mendeteksi
Anda menggunakan Microsoft Entra ID Protection dan log masuk Microsoft Entra untuk membantu menemukan ancaman yang ditunjukkan oleh karakteristik masuk yang tidak biasa. Informasi tentang Identity Protection tersedia di Apa itu Identity Protection. Anda juga dapat mereplikasi data ke Azure Monitor atau SIEM untuk tujuan pemantauan dan pemberitahuan. Guna menentukan normal untuk lingkungan Anda dan menetapkan garis dasar, tentukan hal berikut:
parameter yang Anda anggap normal untuk basis pengguna Anda.
jumlah rata-rata percobaan kata sandi dari waktu ke waktu sebelum pengguna memanggil meja layanan atau pengaturan ulang kata sandi mandiri.
berapa banyak upaya gagal yang ingin Anda izinkan sebelum memberi tahu, dan apakah itu akan berbeda untuk akun pengguna dan akun istimewa.
berapa banyak autentikasi multifaktor (MFA/{i>Multifactor Authentication
jika autentikasi warisan diaktifkan dan peta strategi Anda untuk menghentikan penggunaan.
Alamat IP egress yang dikenal adalah untuk organisasi Anda.
negara/wilayah tempat pengguna Anda beroperasi.
apakah ada grup pengguna yang tetap stasioner dalam lokasi jaringan atau negara/wilayah.
Identifikasi indikator lain untuk kredensial masuk yang tidak biasa yang khusus untuk organisasi Anda. Misalnya, hari atau waktu dalam seminggu atau setahun yang tidak dioperasikan organisasi Anda.
Setelah Anda mencakup apa yang normal untuk akun di lingkungan Anda, pertimbangkan daftar berikut untuk membantu menentukan skenario mana yang ingin Anda pantau dan peringati, serta menyempurnakan peringatan Anda.
Apakah Anda perlu memantau dan memberi tahu jika Identity Protection dikonfigurasi?
Apakah ada kondisi yang lebih ketat diterapkan pada akun istimewa yang dapat Anda gunakan untuk memantau dan mengingatkan? Misalnya, membutuhkan akun istimewa hanya digunakan dari alamat IP tepercaya.
Apakah garis dasar yang Anda tetapkan terlalu agresif? Memiliki terlalu banyak pemberitahuan dapat mengakibatkan pemberitahuan diabaikan atau terlewatkan.
Konfigurasikan Identity Protection untuk membantu memastikan adanya perlindungan yang mendukung garis besar keamanan Anda. Misalnya, memblokir pengguna jika risiko = tinggi. Tingkat risiko ini menunjukkan dengan tingkat kepercayaan yang tinggi bahwa akun pengguna disusupi. Untuk informasi lebih lanjut tentang menyiapkan kebijakan risiko masuk dan kebijakan risiko pengguna, kunjungi Kebijakan Identity Protection. Untuk informasi selengkapnya tentang menyiapkan Akses Bersyarat, kunjungi Akses Bersyarat: Akses Bersyarat berbasis risiko masuk.
Berikut ini tercantum dalam urutan kepentingan berdasarkan dampak dan tingkat keparahan entri.
Memantau masuk pengguna eksternal
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pengguna mengautentikasi ke penyewa Microsoft Entra lainnya. | Kurang Penting | Log masuk Microsoft Entra | Status = berhasil ID Penyewa Sumber Daya != ID Penyewa Beranda |
Mendeteksi kapan pengguna telah berhasil diautentikasi ke penyewa Microsoft Entra lain dengan identitas di penyewa organisasi Anda. Pemberitahuan jika Resource TenantID tidak sama dengan ID Penyewa Rumah Templat Microsoft Sentinel Aturan sigma |
| Status pengguna berubah dari Tamu ke Anggota | Medium | Log audit Microsoft Entra | Aktivitas: Memperbarui pengguna Kategori: UserManagement UserType berubah dari Tamu ke Anggota |
Pantau dan waspada perubahan jenis pengguna dari Tamu ke Anggota. Apakah ini diharapkan? Templat Microsoft Sentinel Aturan sigma |
| Pengguna tamu diundang ke penyewa oleh pengundang yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Undang pengguna eksternal Kategori: UserManagement Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Pantau dan waspada pada aktor yang tidak disetujui yang mengundang pengguna eksternal. Templat Microsoft Sentinel Aturan sigma |
Pemantauan untuk kegagalan masuk yang tidak biasa
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Upaya masuk yang gagal. | Sedang - jika Insiden Terisolasi Tinggi - jika terdapat banyak akun mengalami pola atau VIP yang sama. |
Log masuk Microsoft Entra | Status = gagal -dan- Kode kesalahan masuk 50126 - Kesalahan memvalidasi kredensial dikarenakan nama pengguna atau kata sandi yang tidak valid. |
Tentukan ambang batas garis besar, lalu pantau dan sesuaikan untuk mengatur perilaku organisasi Anda dan batasi peringatan palsu agar tidak dihasilkan. Templat Microsoft Sentinel Aturan sigma |
| Kejadian penguncian pintar. | Sedang - jika Insiden Terisolasi Tinggi - jika terdapat banyak akun mengalami pola atau VIP yang sama. |
Log masuk Microsoft Entra | Status = gagal -dan- Kode galat masuk = 50053 – IdsLocked |
Tentukan ambang batas garis besar, lalu pantau dan sesuaikan untuk mengatur perilaku organisasi Anda dan batasi peringatan palsu agar tidak dihasilkan. Templat Microsoft Sentinel Aturan sigma |
| Interupsi | Sedang - jika Insiden Terisolasi Tinggi - jika terdapat banyak akun mengalami pola atau VIP yang sama. |
Log masuk Microsoft Entra | 500121, Autentikasi gagal selama permintaan autentikasi yang kuat. -atau- 50097, Autentikasi perangkat diperlukan atau 50074, Autentikasi yang Kuat diperlukan. -atau- 50155, DeviceAuthenticationFailed -atau- 50158, ExternalSecurityChallenge - Tantangan keamanan eksternal tidak terpenuhi -atau- 53003 dan Alasan kegagalan = diblokir oleh Akses Bersyar |
Memantau dan mewaspadai interupsi. Tentukan ambang batas garis besar, lalu pantau dan sesuaikan untuk mengatur perilaku organisasi Anda dan batasi peringatan palsu agar tidak dihasilkan. Templat Microsoft Sentinel Aturan sigma |
Berikut ini tercantum dalam urutan kepentingan berdasarkan dampak dan tingkat keparahan entri.
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pemberitahuan penipuan Autentikasi Multifaktor (MFA/{i>Multi-Factor Authentication | Sangat Penting | Log masuk Microsoft Entra | Status = gagal -dan- Detail = MFA Ditolak |
Memantau dan mewaspadai setiap entri. Templat Microsoft Sentinel Aturan sigma |
| Autentikasi yang gagal dari negara/wilayah yang tidak Anda operasikan. | Medium | Log masuk Microsoft Entra | Lokasi = <lokasi yang tidak disetujui> | Memantau dan mewaspadai setiap entri. Templat Microsoft Sentinel Aturan sigma |
| Autentikasi yang gagal untuk protokol lama atau protokol yang tidak digunakan. | Medium | Log masuk Microsoft Entra | Status = gagal -dan- Aplikasi klien = Klien Lain, POP, IMAP, MAPI, SMTP, ActiveSync |
Memantau dan mewaspadai setiap entri. Templat Microsoft Sentinel Aturan sigma |
| Kegagalan diblokir oleh Akses Bersyar. | Medium | Log masuk Microsoft Entra | Kode kesalahan = 53003 -dan- Alasan kegagalan = diblokir oleh Akses Bersyar |
Memantau dan mewaspadai setiap entri. Templat Microsoft Sentinel Aturan sigma |
| Peningkatan autentikasi yang gagal dari jenis apa pun. | Medium | Log masuk Microsoft Entra | Ambil peningkatan kegagalan di seluruh papan. Yaitu, total kegagalan untuk hari ini adalah >10% pada hari yang sama di minggu sebelumnya. | Jika Anda tidak memiliki ambang yang ditetapkan, pantau dan waspadai jika kegagalan meningkat sebesar 10% atau lebih. Templat Microsoft Sentinel |
| Autentikasi terjadi pada waktu dan hari dalam seminggu ketika negara/wilayah tidak melakukan operasi bisnis normal. | Kurang Penting | Log masuk Microsoft Entra | Ambil autentikasi interaktif yang terjadi di luar hari\waktu operasi normal. Status = berhasil -dan- Lokasi = <lokasi> -dan- Waktu = < bukan jam kerja normal> |
Memantau dan mewaspadai setiap entri. Templat Microsoft Sentinel |
| Akun dinonaktifkan/diblokir untuk masuk | Kurang Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode galat = 50057, Akun pengguna dinonaktifkan. |
Ini menunjukkan seseorang mencoba mendapatkan akses ke akun setelah mereka meninggalkan organisasi. Meskipun diblokir, akun tersebut masih penting untuk mencatat dan memperingati aktivitas ini. Templat Microsoft Sentinel Aturan sigma |
Pemantauan untuk masuknya tanda yang tidak biasa yang sukses
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi akun istimewa di luar kontrol yang diharapkan. | Sangat Penting | Log masuk Microsoft Entra | Status = berhasil -dan- UserPricipalName = <Akun administrator> -dan- Lokasi = <lokasi yang tidak disetujui> -dan- Alamat IP = <IP yang tidak disetujui> Info Perangkat= <Browser yang tidak disetujui, Sistem Operasi> |
Memantau dan mewaspadai autentikasi yang berhasil untuk akun istimewa di luar kontrol yang diharapkan. Tiga kontrol umum terdaftar. Templat Microsoft Sentinel Aturan sigma |
| Ketika hanya autentikasi faktor tunggal yang diperlukan. | Kurang Penting | Log masuk Microsoft Entra | Status = berhasil Persyaratan autentikasi = Autentikasi faktor tunggal |
Pantau ini secara berkala dan pastikan ini merupakan perilaku yang diharapkan. Aturan sigma |
| Temukan akun istimewa yang tidak terdaftar untuk MFA. | Sangat Penting | Azure Graph API | Kueri untuk IsMFARegistered eq false untuk akun administrator. Daftar credentialUserRegistrationDetails - Microsoft Graph beta |
Audit dan selidiki untuk menentukan apakah disengaja atau kelalaian. |
| Autentikasi yang berhasil dari negara/wilayah yang tidak dioperasikan organisasi Anda. | Medium | Log masuk Microsoft Entra | Status = berhasil Lokasi = <negara/wilayah yang tidak disetujui> |
Pantau dan waspada pada entri apa pun yang tidak sama dengan nama kota yang Anda sediakan. Aturan sigma |
| Autentikasi berhasil, sesi diblokir oleh Akses Bersyar. | Medium | Log masuk Microsoft Entra | Status = berhasil -dan- kode kesalahan = 53003 – Alasan kegagalan, diblokir oleh Akses Bersyarah |
Pantau dan selidiki kapan autentikasi berhasil, tetapi sesi diblokir oleh Akses Bersyar. Templat Microsoft Sentinel Aturan sigma |
| Autentikasi berhasil setelah Anda menonaktifkan autentikasi warisan. | Medium | Log masuk Microsoft Entra | status = berhasil -dan- Aplikasi klien = Klien Lain, POP, IMAP, MAPI, SMTP, ActiveSync |
Jika organisasi Anda telah menonaktifkan autentikasi warisan, pantau dan beri tahu saat autentikasi lama yang berhasil terjadi. Templat Microsoft Sentinel Aturan sigma |
Kami sarankan Anda secara berkala meninjau autentikasi untuk aplikasi dampak bisnis menengah (MBI) dan dampak bisnis tinggi (HBI) di mana hanya autentikasi faktor tunggal yang diperlukan. Untuk masing-masing, Anda ingin menentukan apakah autentikasi faktor tunggal diharapkan atau tidak. Selain itu, tinjau autentikasi yang berhasil meningkat atau pada waktu yang tidak terduga, berdasarkan lokasi.
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi untuk aplikasi MBI dan aplikasi HBI menggunakan autentikasi faktor tunggal. | Kurang Penting | Log masuk Microsoft Entra | status = berhasil -dan- ID Aplikasi = < Aplikasi HBI> -dan- Persyaratan autentikasi = Autentikasi faktor tunggal. |
Meninjau dan memvalidasi konfigurasi ini disengaja. Aturan sigma |
| Autentikasi pada hari dan waktu dalam seminggu atau tahun negara/wilayah tidak melakukan operasi bisnis normal. | Kurang Penting | Log masuk Microsoft Entra | Ambil autentikasi interaktif yang terjadi di luar hari\waktu operasi normal. Status = berhasil Lokasi = <lokasi> Waktu = < bukan jam kerja normal> |
Pantau dan waspada pada hari dan waktu autentikasi dalam seminggu atau tahun bahwa negara/wilayah tidak melakukan operasi bisnis normal. Aturan sigma |
| Peningkatan terukur dari masuk yang sukses. | Kurang Penting | Log masuk Microsoft Entra | Mengambil peningkatan dalam autentikasi yang sukses di seluruh papan. Artinya, total keberhasilan untuk hari ini adalah >10% pada hari yang sama, di minggu sebelumnya. | Jika Anda tidak memiliki ambang yang ditetapkan, pantau dan waspadai jika autentikasi yang berhasil meningkat sebesar 10% atau lebih. Templat Microsoft Sentinel Aturan sigma |
Langkah berikutnya
Lihat artikel panduan operasi keamanan ini:
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management
Operasi keamanan untuk aplikasi
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk