Panduan operasi keamanan Microsoft Entra untuk aplikasi
Aplikasi memiliki permukaan serangan untuk pelanggaran keamanan dan harus dipantau. Meskipun tidak ditargetkan sesering akun pengguna, pelanggaran dapat terjadi. Karena aplikasi sering berjalan tanpa campur tangan manusia, serangan mungkin lebih sulit dideteksi.
Artikel ini menyediakan panduan untuk memantau dan memperingatkan peristiwa aplikasi. Ini diperbarui secara berkala untuk membantu memastikan Anda:
Mencegah aplikasi berbahaya mendapatkan akses tidak beralur ke data
Mencegah aplikasi disusupi oleh pelaku jahat
Mengumpulkan wawasan yang memungkinkan Anda membangun dan mengonfigurasi aplikasi baru dengan lebih aman
Jika Anda tidak terbiasa dengan cara kerja aplikasi di ID Microsoft Entra, lihat Aplikasi dan perwakilan layanan di ID Microsoft Entra.
Nota
Jika Anda belum meninjau gambaran umum operasi keamanan Microsoft Entra, pertimbangkan untuk melakukannya sekarang.
Apa yang harus dicari
Saat Anda memantau log aplikasi untuk insiden keamanan, tinjau daftar berikut untuk membantu membedakan aktivitas normal dari aktivitas berbahaya. Peristiwa berikut mungkin menunjukkan masalah keamanan. Masing-masing dibahas dalam artikel.
Setiap perubahan yang terjadi di luar proses dan jadwal bisnis normal
Perubahan kredensial aplikasi
Izin aplikasi
Perwakilan layanan yang ditetapkan ke ID Microsoft Entra atau peran kontrol akses berbasis peran Azure (RBAC)
Aplikasi diberikan izin dengan hak istimewa tinggi
Perubahan Azure Key Vault
Pengguna akhir yang memberikan persetujuan aplikasi
Persetujuan pengguna akhir yang dihentikan berdasarkan tingkat risiko
Perubahan konfigurasi aplikasi
Pengidentifikasi sumber daya universal (URI) berubah atau non-standar
Perubahan pada pemilik aplikasi
URL keluar dimodifikasi
Tempat untuk melihat
File log yang Anda gunakan untuk penyelidikan dan pemantauan adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain, yang memungkinkan lebih banyak otomatisasi pemantauan dan peringatan:
Microsoft Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan kemampuan informasi keamanan dan manajemen peristiwa (SIEM).
Aturan Sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Jika ada templat Sigma untuk kriteria pencarian yang direkomendasikan, kami telah menambahkan tautan ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat dan dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – pemantauan dan pemberitahuan otomatis dari berbagai kondisi. Bisa membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – menemukan dan mengelola aplikasi, mengatur di seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator kompromi offline.
Sebagian besar hal yang Anda pantau dan waspada adalah efek dari kebijakan Akses Bersyar Anda. Anda bisa menggunakan wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau beberapa kebijakan Akses Bersyarat pada rincian masuk Anda, dan hasil kebijakan, termasuk status perangkat. Gunakan buku kerja untuk menampilkan ringkasan, dan mengidentifikasi efek selama periode waktu tertentu. Anda bisa menggunakan buku kerja untuk menyelidiki rincian masuk pengguna tertentu.
Sisa artikel ini adalah apa yang kami sarankan Anda pantau dan waspada. Ini diatur oleh jenis ancaman. Jika ada solusi bawaan, kami menautkannya atau memberikan sampel setelah tabel. Jika tidak, Anda dapat membuat pemberitahuan menggunakan alat sebelumnya.
Kredensial aplikasi
Banyak aplikasi menggunakan kredensial untuk mengautentikasi di ID Microsoft Entra. Kredensial lain yang ditambahkan di luar proses yang diharapkan bisa menjadi aktor jahat menggunakan kredensial tersebut. Sebaiknya gunakan sertifikat X509 yang dikeluarkan oleh otoritas tepercaya atau Identitas Terkelola alih-alih menggunakan rahasia klien. Namun, jika Anda perlu menggunakan rahasia klien, ikuti praktik kebersihan yang baik untuk menjaga aplikasi tetap aman. Catatan, pembaruan perwakilan aplikasi dan layanan dicatat sebagai dua entri dalam log audit.
Pantau aplikasi untuk mengidentifikasi waktu kedaluwarsa kredensial yang panjang.
Ganti kredensial berumur panjang dengan rentang waktu pendek. Pastikan kredensial tidak diterapkan dalam repositori kode, dan disimpan dengan aman.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Menambahkan kredensial ke aplikasi yang ada | Tinggi | Log audit Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Memperbarui Application-Certificates dan manajemen rahasia -dan- Aktivitas: Memperbarui Perwakilan Layanan/Memperbarui Aplikasi |
Pemberitahuan saat kredensial: ditambahkan di luar jam kerja atau alur kerja normal, jenis yang tidak digunakan di lingkungan Anda, atau ditambahkan ke perwakilan layanan pendukung alur non-SAML. Templat Microsoft Azure Sentinel Aturan sigma |
| Kredensial dengan masa pakai lebih lama dari yang diizinkan kebijakan Anda. | Sedang | Microsoft Graph | Status dan tanggal akhir kredensial Kunci Aplikasi -dan- Kredensial kata sandi aplikasi |
Anda dapat menggunakan MS Graph API untuk menemukan tanggal mulai dan berakhir kredensial, dan mengevaluasi masa pakai yang lebih lama dari yang diizinkan. Lihat Skrip PowerShell mengikuti tabel ini. |
Pemantauan dan pemberitahuan bawaan berikut ini tersedia:
Microsoft Azure Sentinel – Pemberitahuan saat kredensial prinsip aplikasi atau layanan baru ditambahkan
Azure Monitor – Buku kerja Microsoft Entra untuk membantu Anda menilai risiko Solorigate - Komunitas Teknologi Microsoft
Defender untuk Cloud Apps – panduan investigasi pemberitahuan deteksi anomali aplikasi Defender untuk Cloud
PowerShell - Sampel skrip PowerShell untuk menemukan masa pakai kredensial.
Izin aplikasi
Seperti akun administrator, aplikasi dapat diberi peran istimewa. Aplikasi dapat diberi peran Microsoft Entra apa pun, seperti Administrator Pengguna, atau peran Azure RBAC seperti Pembaca Penagihan. Karena mereka dapat berjalan tanpa pengguna, dan sebagai layanan latar belakang, pantau dengan cermat ketika aplikasi diberikan peran atau izin istimewa.
Perwakilan layanan yang ditetapkan ke peran
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Aplikasi yang ditetapkan ke peran Azure RBAC, atau peran Microsoft Entra | Tinggi ke Sedang | Log audit Microsoft Entra | Jenis: perwakilan layanan Aktivitas: "Tambahkan anggota ke peran" atau "Tambahkan anggota yang memenuhi syarat ke peran" -atau- "Tambahkan anggota terlingkup ke peran." |
Untuk peran yang sangat istimewa, risikonya tinggi. Untuk risiko peran istimewa yang lebih rendah adalah sedang. Pemberitahuan kapan saja aplikasi ditetapkan ke peran Azure atau peran Microsoft Entra di luar manajemen perubahan normal atau prosedur konfigurasi. Templat Microsoft Azure Sentinel Aturan sigma |
Aplikasi diberikan izin dengan hak istimewa tinggi
Aplikasi harus mengikuti prinsip hak istimewa paling sedikit. Selidiki izin aplikasi untuk memastikan mereka diperlukan. Anda dapat membuat laporan pemberian persetujuan aplikasi untuk membantu mengidentifikasi aplikasi dan menyoroti izin istimewa.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Aplikasi memberikan izin yang sangat istimewa, seperti izin dengan ". Semua" (Directory.ReadWrite.All) atau izin berkisar luas (Mail.) | Tinggi | Log audit Microsoft Entra | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -mana- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) -dan- AppRole.Value mengidentifikasi izin aplikasi yang sangat istimewa (peran aplikasi). |
Aplikasi memberikan izin luas seperti ". Semua" (Directory.ReadWrite.All) atau izin berkisar luas (Mail.) Templat Microsoft Azure Sentinel Aturan sigma |
| Administrator yang memberikan izin aplikasi (peran aplikasi) atau izin yang didelegasikan dengan hak istimewa tinggi | Tinggi | Portal Microsoft 365 | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -mana- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) "Tambahkan pemberian izin yang didelegasikan", -mana- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) -dan- DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi. |
Pemberitahuan saat administrator menyetujui aplikasi. Terutama mencari persetujuan di luar aktivitas normal dan prosedur perubahan. Templat Microsoft Azure Sentinel Templat Microsoft Azure Sentinel Templat Microsoft Azure Sentinel Aturan sigma |
| Aplikasi diberikan izin untuk Microsoft Graph, Exchange, SharePoint, atau ID Microsoft Entra. | Tinggi | Log audit Microsoft Entra | "Tambahkan pemberian izin yang didelegasikan" -atau- "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -mana- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph, Exchange Online, dan sebagainya) |
Pemberitahuan seperti di baris sebelumnya. Templat Microsoft Azure Sentinel Aturan sigma |
| Izin aplikasi (peran aplikasi) untuk API lain diberikan | Sedang | Log audit Microsoft Entra | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -mana- Target mengidentifikasi API lainnya. |
Pemberitahuan seperti di baris sebelumnya. Aturan sigma |
| Izin yang didelegasikan dengan hak istimewa tinggi diberikan atas nama semua pengguna | Tinggi | Log audit Microsoft Entra | "Tambahkan pemberian izin yang didelegasikan", di mana Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph), DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi, -dan- DelegatedPermissionGrant.ConsentType adalah "AllPrincipals". |
Pemberitahuan seperti di baris sebelumnya. Templat Microsoft Azure Sentinel Templat Microsoft Azure Sentinel Templat Microsoft Azure Sentinel Aturan sigma |
Untuk informasi selengkapnya tentang memantau izin aplikasi, lihat tutorial ini: Menyelidiki dan memulihkan aplikasi OAuth berisiko.
Azure Key Vault
Gunakan Azure Key Vault untuk menyimpan rahasia penyewa Anda. Kami sarankan Anda memperhatikan perubahan apa pun pada konfigurasi dan aktivitas Key Vault.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Bagaimana dan kapan Key Vault Anda diakses dan oleh siapa | Sedang | Log Azure Key Vault | Jenis sumber daya: Key Vaults | Cari: akses apa pun ke Key Vault di luar proses dan jam reguler, setiap perubahan pada Key Vault ACL. Templat Microsoft Azure Sentinel Aturan sigma |
Setelah Anda menyiapkan Azure Key Vault, aktifkan pengelogan. Lihat bagaimana dan kapan Key Vault Anda diakses, dan konfigurasikan pemberitahuan di Key Vault untuk memberi tahu pengguna atau daftar distribusi yang ditetapkan melalui email, telepon, teks, atau pemberitahuan Event Grid, jika kesehatan terpengaruh. Selain itu, menyiapkan pemantauan dengan wawasan Key Vault memberi Anda rekam jepret permintaan, performa, kegagalan, dan latensi Key Vault. Analitik Log juga memiliki beberapa contoh kueri untuk Azure Key Vault yang dapat diakses setelah memilih Key Vault Anda lalu di bagian "Pemantauan" memilih "Log".
Persetujuan pengguna akhir
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Persetujuan pengguna akhir untuk aplikasi | Rendah | Log audit Microsoft Entra | Aktivitas: Persetujuan untuk application / ConsentContext.IsAdminConsent = false | Cari: akun profil tinggi atau sangat istimewa, aplikasi meminta izin berisiko tinggi, aplikasi dengan nama yang mencurigakan, misalnya generik, salah eja, dan sebagainya. Templat Microsoft Azure Sentinel Aturan sigma |
Tindakan menyetujui aplikasi tidak berbahaya. Namun, selidiki pemberian persetujuan pengguna akhir baru yang mencari aplikasi yang mencurigakan. Anda dapat membatasi operasi persetujuan pengguna.
Untuk informasi selengkapnya tentang operasi persetujuan, lihat sumber daya berikut ini:
Mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan di ID Microsoft Entra
Mendeteksi dan Memulihkan Pemberian Persetujuan Terlaris - Office 365
Playbook respons insiden - Investigasi pemberian persetujuan aplikasi
Pengguna akhir berhenti karena persetujuan berbasis risiko
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Persetujuan pengguna akhir dihentikan karena persetujuan berbasis risiko | Sedang | Log audit Microsoft Entra | Direktori Inti / ApplicationManagement / Persetujuan untuk aplikasi Alasan status kegagalan = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Pantau dan analisis setiap saat persetujuan dihentikan karena risiko. Cari: akun profil tinggi atau sangat istimewa, aplikasi meminta izin berisiko tinggi, atau aplikasi dengan nama yang mencurigakan, misalnya generik, salah eja, dan sebagainya. Templat Microsoft Azure Sentinel Aturan sigma |
Alur autentikasi aplikasi
Ada beberapa alur dalam protokol OAuth 2.0. Alur yang direkomendasikan untuk aplikasi tergantung pada jenis aplikasi yang sedang dibangun. Dalam beberapa kasus, ada pilihan alur yang tersedia untuk aplikasi. Untuk kasus ini, beberapa alur autentikasi direkomendasikan daripada yang lain. Secara khusus, hindari kredensial kata sandi pemilik sumber daya (ROPC) karena ini mengharuskan pengguna untuk mengekspos kredensial kata sandi mereka saat ini ke aplikasi. Aplikasi kemudian menggunakan kredensial untuk mengautentikasi pengguna terhadap penyedia identitas. Sebagian besar aplikasi harus menggunakan alur kode autentikasi, atau alur kode autentikasi dengan Proof Key for Code Exchange (PKCE), karena alur ini direkomendasikan.
Satu-satunya skenario di mana ROPC disarankan adalah untuk pengujian aplikasi otomatis. Lihat Menjalankan pengujian integrasi otomatis untuk detailnya.
Alur kode perangkat adalah alur protokol OAuth 2.0 lain untuk perangkat yang dibatasi input dan tidak digunakan di semua lingkungan. Saat alur kode perangkat muncul di lingkungan, dan tidak digunakan dalam skenario perangkat yang dibatasi input. Penyelidikan lebih lanjut dijaga untuk aplikasi yang salah dikonfigurasi atau berpotensi berbahaya. Alur kode perangkat juga dapat diblokir atau diizinkan di Akses Bersyar. Lihat Alur autentikasi Akses Bersyarah untuk detailnya.
Pantau autentikasi aplikasi menggunakan formasi berikut:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Aplikasi yang menggunakan alur autentikasi ROPC | Sedang | Log masuk Microsoft Entra | Status=Berhasil Protokol Autentikasi-ROPC |
Tingkat kepercayaan tinggi sedang ditempatkan dalam aplikasi ini karena kredensial dapat di-cache atau disimpan. Pindahkan jika memungkinkan ke alur autentikasi yang lebih aman. Ini hanya boleh digunakan dalam pengujian aplikasi otomatis, jika benar-benar. Untuk informasi selengkapnya, lihat kredensial Kata Sandi Pemilik Sumber Daya platform identitas Microsoft dan OAuth 2.0 Aturan sigma |
| Aplikasi yang menggunakan alur kode Perangkat | Rendah ke sedang | Log masuk Microsoft Entra | Status=Berhasil Kode Perangkat Protokol Autentikasi |
Alur kode perangkat digunakan untuk perangkat yang dibatasi input, yang mungkin tidak berada di semua lingkungan. Jika alur kode perangkat yang berhasil muncul, tanpa perlu, selidiki untuk validitas. Untuk informasi selengkapnya, lihat platform identitas Microsoft dan alur pemberian otorisasi perangkat OAuth 2.0 Aturan sigma |
Perubahan konfigurasi aplikasi
Memantau perubahan pada konfigurasi aplikasi. Secara khusus, perubahan konfigurasi pada pengidentifikasi sumber daya seragam (URI), kepemilikan, dan URL keluar.
Perubahan URI Dan Pengalihan URI
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| URI Menggunduk | Tinggi | Log Microsoft Entra dan Pendaftaran Aplikasi | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Perbarui Aplikasi Keberhasilan – Nama Properti AppAddress |
Misalnya, cari URI menjuntai yang menunjuk ke nama domain yang tidak lagi ada atau yang tidak Anda miliki secara eksplisit. Templat Microsoft Azure Sentinel Aturan sigma |
| Mengalihkan perubahan konfigurasi URI | Tinggi | Log Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Perbarui Aplikasi Keberhasilan – Nama Properti AppAddress |
Cari URI yang tidak menggunakan HTTPS*, URI dengan wildcard di akhir atau domain URL, URI yang TIDAK unik untuk aplikasi, URI yang menunjuk ke domain yang tidak Anda kontrol. Templat Microsoft Azure Sentinel Aturan sigma |
Pemberitahuan ketika perubahan ini terdeteksi.
URI AppID ditambahkan, dimodifikasi, atau dihapus
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Perubahan pada URI AppID | Tinggi | Log Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi Aktivitas: Memperbarui Perwakilan layanan |
Cari modifikasi URI AppID apa pun, seperti menambahkan, memodifikasi, atau menghapus URI. Templat Microsoft Azure Sentinel Aturan sigma |
Pemberitahuan ketika perubahan ini terdeteksi di luar prosedur manajemen perubahan yang disetujui.
Pemilik baru
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Perubahan pada kepemilikan aplikasi | Sedang | Log Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Menambahkan pemilik ke aplikasi |
Cari instans pengguna yang ditambahkan sebagai pemilik aplikasi di luar aktivitas manajemen perubahan normal. Templat Microsoft Azure Sentinel Aturan sigma |
URL keluar yang dimodifikasi atau dihapus
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Perubahan pada URL keluar | Rendah | Log Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Perbarui Aplikasi -dan- Aktivitas: Memperbarui prinsip layanan |
Cari modifikasi apa pun pada URL keluar. Entri atau entri kosong ke lokasi yang tidak ada akan menghentikan pengguna mengakhiri sesi. Templat Microsoft Azure Sentinel Aturan sigma |
Sumber daya
Toolkit GitHub Microsoft Entra - https://github.com/microsoft/AzureADToolkit
Gambaran umum keamanan dan panduan keamanan Azure Key Vault - Gambaran umum keamanan Azure Key Vault
Solorigate risk information and tools - Buku kerja Microsoft Entra untuk membantu Anda mengakses risiko Solorigate
Panduan deteksi serangan OAuth - Penambahan info masuk yang tidak biasa ke aplikasi OAuth
Informasi konfigurasi pemantauan Microsoft Entra untuk SIEM - Alat mitra dengan integrasi Azure Monitor
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management