Operasi keamanan untuk akun istimewa di ID Microsoft Entra
Keamanan aset bisnis tergantung pada integritas akun dengan hak istimewa yang mengelola sistem TI Anda. Penyerang dunia maya menggunakan serangan pencurian kredensial dan cara lain untuk menargetkan akun istimewa dan mendapatkan akses ke data sensitif.
Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif.
MICROSOFT Entra ID menggunakan manajemen identitas dan akses (IAM) sebagai sarana kontrol. Di lapisan identitas organisasi Anda, pengguna yang ditetapkan untuk peran administratif hak istimewa yang memegang kendali. Akun yang digunakan untuk akses harus dilindungi, apakah lingkungan berada di tempat, di cloud, atau lingkungan hybrid.
Anda sepenuhnya bertanggung jawab atas semua lapisan keamanan untuk lingkungan TI lokal Anda. Ketika Anda menggunakan layanan Azure, pencegahan dan respons adalah tanggung jawab bersama Microsoft sebagai penyedia layanan cloud dan Anda sebagai pelanggan.
- Untuk informasi lebih lanjut tentang model tanggung jawab bersama, kunjungi Tanggung jawab bersama di cloud.
- Untuk informasi selengkapnya tentang mengamankan akses untuk pengguna istimewa, lihat Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.
- Untuk berbagai video, panduan cara, dan konten konsep kunci untuk identitas hak istimewa, kunjungi dokumentasi Azure Active Directory Privileged Identity Management.
File log yang akan dipantau
File log yang Anda gunakan untuk menyelidiki dan memantau adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Sentinel. Memungkinkan analitik keamanan intelijen di tingkat perusahaan dengan menyediakan kemampuan Security Information and Event Management (SIEM).
Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor. Memungkinkan pemantauan dan peringatan otomatis dari berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs terintegrasi dengan SIEM. Memungkinkan log Microsoft Entra didorong ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs. Untuk informasi selengkapnya, lihat Mengalirkan log Microsoft Entra ke hub peristiwa Azure.
Aplikasi Microsoft Defender untuk Cloud. Memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Microsoft Graph. Memungkinkan Anda mengekspor data dan menggunakan Microsoft Graph untuk melakukan analisis lebih lanjut. Untuk informasi selengkapnya, lihat Microsoft Graph PowerShell SDK dan Microsoft Entra ID Protection.
Perlindungan Identitas. Menghasilkan tiga laporan utama yang dapat Anda gunakan untuk membantu penyelidikan Anda:
Pengguna berisiko. Berisi informasi tentang pengguna mana yang berisiko, detail tentang deteksi, riwayat semua proses masuk riskan, dan riwayat risiko.
Proses masuk riskan. Berisi informasi tentang proses masuk yang mungkin menunjukkan keadaan yang mencurigakan. Untuk informasi tambahan tentang menyelidiki informasi dari laporan ini, lihat Menyelidiki risiko.
Deteksi risiko. Berisi informasi tentang risiko lain yang dipicu saat risiko terdeteksi dan informasi terkait lainnya seperti lokasi masuk dan detail apa pun dari Aplikasi Microsoft Defender untuk Cloud.
Mengamankan identitas beban kerja dengan Pratinjau Perlindungan Identitas. Gunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sementara kami mencegah praktik tersebut, akun dengan hak istimewa dapat memiliki hak administrasi permanen. Jika Anda memilih menggunakan hak istimewa permanen, dan akun disusupi, dampaknya akan sangat negatif. Sebaiknya prioritaskan pemantauan akun dengan hak istimewa dan menyertakan akun dalam konfigurasi Privileged Identity Management (PIM) Anda. Untuk mengetahui informasi selengkapnya, lihat Mulai menggunakan Privileged Identity Management. Selain itu, sebaiknya validasikan bahwa akun administrator:
- Diperlukan.
- Memiliki hak istimewa paling sedikit untuk melaksanakan aktivitas yang diperlukan.
- Dilindungi dengan autentikasi multifaktor minimum.
- Dijalankan dari perangkat Privileged Access Workstation (PAW) atau Secure Admin Workstation (SAW).
Bagian selanjutnya dari artikel ini menjelaskan apa yang kami sarankan agar Anda pantau dan waspadai. Artikel ini disusun berdasarkan jenis ancaman. Jika ada solusi bawaan khusus, kami menautkannya mengikuti tabel. Jika tidak, Anda dapat membuat peringatan dengan menggunakan alat yang dijelaskan di atas.
Artikel ini memberikan detail tentang pengaturan dasar dan mengaudit proses masuk dan penggunaan akun hak istimewa. Artikel ini juga membahas alat dan sumber daya yang dapat Anda gunakan untuk membantu menjaga integritas akun istimewa Anda. Konten diatur ke dalam area topik berikut:
- Akun "pemecah kaca" darurat
- Upaya masuk akun dengan hak istimewa
- Pengubahan akun dengan hak istimewa
- Grup dengan hak istimewa
- Tugas hak istimewa, dan elevasi
Akun akses darurat
Penting bahwa Anda mencegah terkunci secara tidak sengaja dari penyewa Microsoft Entra Anda. Anda dapat mengurangi dampak penguncian tanpa sengaja dengan membuat akun akses darurat di organisasi Anda. Akun akses darurat juga dikenal sebagai akun darurat, seperti dalam pesan "pecahkan kaca dalam keadaan darurat" yang ditemukan pada peralatan keamanan fisik seperti alarm kebakaran.
Akun akses darurat biasanya sangat istimewa dan tidak boleh ditugaskan untuk individu tertentu. Akun akses darurat terbatas pada skenario darurat atau pecahkan kaca apabila akun administratif normal tidak dapat digunakan. Misalnya, ketika kebijakan Akses Bersyarat salah dikonfigurasi dan mengunci semua akun administratif normal. Batasi penggunaan akun darurat hanya saat akun ini benar-benar diperlukan.
Untuk panduan tentang apa yang harus dilakukan dalam keadaan darurat, lihat Praktik akses aman untuk administrator di ID Microsoft Entra.
Kirim peringatan prioritas tinggi setiap kali akun akses darurat digunakan.
Penemuan
Karena akun darurat hanya digunakan jika ada keadaan darurat, pemantauan Anda seharusnya tidak menemukan aktivitas akun. Kirim peringatan prioritas tinggi setiap kali akun akses darurat digunakan atau diubah. Salah satu peristiwa berikut mungkin menunjukkan pelaku tindakan buruk yang mencoba membahayakan lingkungan Anda:
- Masuk.
- Pengubahan kata sandi akun.
- Izin akun atau peran diubah.
- Metode kredensial atau autentikasi ditambahkan atau diubah.
Untuk informasi selengkapnya tentang mengelola akun akses darurat, lihat Mengelola akun admin akses darurat di ID Microsoft Entra. Untuk informasi terperinci tentang membuat peringatan untuk akun darurat, lihat Membuat aturan peringatan.
Upaya masuk akun dengan hak istimewa
Pantau semua aktivitas masuk akun istimewa dengan menggunakan log masuk Microsoft Entra sebagai sumber data. Selain informasi berhasil dan gagal masuk, log juga berisi rincian berikut:
- Interupsi
- Perangkat
- Lokasi
- Risiko
- Aplikasi
- Tanggal dan waktu
- Apakah akun dinonaktifkan
- Dikunci
- Penipuan MFA
- Kegagalan Akses Bersyarat
Hal-hal yang harus dipantau
Anda dapat memantau peristiwa masuk akun istimewa di log masuk Microsoft Entra. Waspada dan selidiki peristiwa berikut untuk akun dengan hak istimewa.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Ambang batas kegagalan masuk, kata sandi salah | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 50126 |
Tentukan ambang garis besar, lalu pantau dan sesuaikan untuk mengatur perilaku organisasi Anda dan batasi peringatan palsu agar tidak dihasilkan. Templat Microsoft Sentinel Aturan sigma |
| Kegagalan karena persyaratan Akses Bersyarat | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 53003 -dan- Alasan kegagalan = Diblokir oleh Akses Bersyarat |
Ini bisa menjadi indikasi penyerang mencoba masuk ke akun. Templat Microsoft Sentinel Aturan sigma |
| Akun dengan hak istimewa yang tidak mengikuti kebijakan pemberian nama | Langganan Azure | Mencantumkan penetapan peran Azure menggunakan portal Microsoft Azure | Daftar tugas peran untuk langganan dan pemberitahuan jika nama akses masuk tidak cocok dengan format organisasi Anda. Contohnya adalah penggunaan ADM_ sebagai awalan. | |
| Interupsi | Tinggi, sedang | Masuk Microsoft Entra | Status = Terganggu -dan- Kode kesalahan = 50074 -dan- Alasan kegagalan = Autentikasi kuat diperlukan Status = Terganggu -dan- Kode kesalahan = 500121 Alasan Kegagalan = Autentikasi gagal selama permintaan autentikasi yang kuat |
Peristiwa ini dapat menjadi indikasi bahwa penyerang memiliki kata sandi untuk akun tersebut tetapi tidak dapat melewati tantangan autentikasi multifaktor. Templat Microsoft Sentinel Aturan sigma |
| Akun dengan hak istimewa yang tidak mengikuti kebijakan pemberian nama | Sangat Penting | Direktori Microsoft Entra | Daftar penetapan peran Microsoft Entra. | Cantumkan penetapan peran untuk peran Microsoft Entra dan pemberitahuan di mana UPN tidak cocok dengan format organisasi Anda. Contohnya adalah penggunaan ADM_ sebagai awalan. |
| Menemukan akun hak istimewa yang tidak terdaftar untuk autentikasi multifaktor | Sangat Penting | API Microsoft Graph | Kueri untuk IsMFARegistered eq false untuk akun administrator. Daftar credentialUserRegistrationDetails - Microsoft Graph beta | Audit dan selidiki untuk menentukan apakah peristiwa tersebut disengaja atau kelalaian. |
| Penguncian Akun | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 50053 |
Tentukan ambang batas dasar, lalu pantau dan sesuaikan agar sesuai dengan perilaku organisasi Anda dan batasi peringatan palsu yang dihasilkan. Templat Microsoft Sentinel Aturan sigma |
| Akun dinonaktifkan atau diblokir untuk masuk | Kurang Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- Target = UPN pengguna -dan- kode kesalahan = 50057 |
Peristiwa ini dapat menunjukkan seseorang mencoba untuk mendapatkan akses ke akun setelah mereka meninggalkan organisasi. Meskipun akun diblokir, masih penting untuk mencatat dan waspada terhadap aktivitas ini. Templat Microsoft Sentinel Aturan sigma |
| Pemberitahuan atau pemblokiran penipuan MFA | Sangat Penting | Log masuk Microsoft Entra/Azure Log Analytics | Detail Otentikasi Masuk>Hasil = MFA ditolak, kode penipuan dimasukkan | Pengguna yang memiliki hak istimewa telah mengindikasikan bahwa mereka belum memicu permintaan autentikasi multifaktor, yang dapat mengindikasikan penyerang memiliki kata sandi untuk akun tersebut. Templat Microsoft Sentinel Aturan sigma |
| Pemberitahuan atau pemblokiran penipuan MFA | Sangat Penting | Log log audit Microsoft Entra/Azure Log Analytics | Jenis aktivitas = Penipuan dilaporkan - pengguna diblokir karena MFA atau penipuan dilaporkan - tidak ada tindakan (berdasarkan pengaturan tingkat penyewa untuk laporan penipuan) | Pengguna yang memiliki hak istimewa telah mengindikasikan bahwa mereka belum memicu permintaan autentikasi multifaktor, yang dapat mengindikasikan penyerang memiliki kata sandi untuk akun tersebut. Templat Microsoft Sentinel Aturan sigma |
| Akses masuk akun dengan hak istimewa di luar kontrol yang ditentukan | Log masuk Microsoft Entra | Status = Kegagalan UserPricipalName = <Akun administrator> Lokasi = <lokasi yang tidak disetujui> Alamat IP = <IP yang tidak disetujui> Info Perangkat = <Browser yang tidak disetujui, Sistem Operasi> |
Pantau dan waspada pada setiap entri yang telah Anda tentukan sebagai tidak disetujui. Templat Microsoft Sentinel Aturan sigma |
|
| Melebihi batas akses masuk normal | Sangat Penting | Log masuk Microsoft Entra | Status = Berhasil -dan- Lokasi = -dan- Waktu = Di luar jam kerja |
Pantau dan waspada jika akses masuk terjadi di luar waktu yang tidak semestinya. Penting untuk menemukan pola kerja normal untuk setiap akun istimewa dan untuk memperingatkan jika ada perubahan yang tidak direncanakan di luar waktu kerja normal. Masuk di luar jam kerja normal dapat menunjukkan kompromi atau kemungkinan ancaman orang dalam. Templat Microsoft Sentinel Aturan sigma |
| Risiko perlindungan identitas | Sangat Penting | Log perlindungan identitas | Keadaan risiko = Berisiko -dan- Tingkat risiko = Rendah, sedang, tinggi -dan- Aktivitas = Akses masuk/TOR tidak dikenal, dll |
Ini menunjukkan ada beberapa kelainan yang terdeteksi dengan akses masuk untuk akun dan harus diberi peringatan. |
| Perubahan kata sandi | Sangat Penting | Log audit Microsoft Entra | Aktor aktivitas = Admin/layanan mandiri -dan- Target = Pengguna -dan- Status = Berhasil atau gagal |
Peringatan tentang perubahan kata sandi akun administrator apa pun, terutama untuk admin Global, admin pengguna, admin langganan, dan akun akses darurat. Tulis kueri yang ditargetkan di semua akun dengan hak istimewa. Templat Microsoft Sentinel Aturan sigma |
| Perubahan pada protokol autentikasi warisan | Sangat Penting | Log masuk Microsoft Entra | Aplikasi Klien = Klien lain, IMAP, POP3, Antarmuka Pemrograman Aplikasi Pesan, Protokol Transfer Surat Sederhana, dll -dan- Nama Pengguna = UPN -dan- Aplikasi = Exchange (contoh) |
Banyak serangan menggunakan autentikasi warisan, jadi jika ada perubahan protokol autentikasi untuk pengguna, itu bisa menjadi indikasi serangan. Templat Microsoft Sentinel Aturan sigma |
| Perangkat atau lokasi baru | Sangat Penting | Log masuk Microsoft Entra | Info perangkat = ID Perangkat -dan- Browser -dan- OS -dan- Patuh/Dikelola -dan- Target = Pengguna -dan- Lokasi |
Sebagian besar aktivitas admin harus berasal dari perangkat dengan akses hak istimewa, dari sejumlah lokasi terbatas. Untuk alasan ini, waspadalah terhadap perangkat atau lokasi baru. Templat Microsoft Sentinel Aturan sigma |
| Pengaturan peringatan audit diubah | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen peran -dan- Aktivitas = Nonaktifkan Peringatan Azure Active Directory Privileged Identity Management -dan- Status = Berhasil |
Perubahan pada pemberitahuan inti harus diwaspadai jika tidak terduga. Templat Microsoft Sentinel Aturan sigma |
| Administrator yang mengautentikasi ke penyewa Microsoft Entra lainnya | Medium | Log masuk Microsoft Entra | Status = berhasil ID Penyewa Sumber Daya != ID Penyewa Beranda |
Saat dilingkup ke Pengguna Istimewa, monitor ini mendeteksi kapan administrator telah berhasil mengautentikasi ke penyewa Microsoft Entra lain dengan identitas di penyewa organisasi Anda. Memperingatkan jika TenantID Sumber Daya tidak sama dengan ID Penyewa Beranda Templat Microsoft Sentinel Aturan sigma |
| Status Pengguna Admin berubah dari Tamu ke Anggota | Medium | Log audit Microsoft Entra | Aktivitas: Memperbarui pengguna Kategori: UserManagement UserType berubah dari Tamu ke Anggota |
Pantau dan waspada perubahan jenis pengguna dari Tamu ke Anggota. Apakah perubahan ini diharapkan? Templat Microsoft Sentinel Aturan sigma |
| Pengguna tamu diundang ke penyewa oleh pengundang yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Undang pengguna eksternal Kategori: UserManagement Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Pantau dan waspada pada aktor yang tidak disetujui yang mengundang pengguna eksternal. Templat Microsoft Sentinel Aturan sigma |
Perubahan oleh akun dengan hak istimewa
Pantau semua perubahan yang selesai dan coba dilakukan oleh akun dengan hak istimewa. Data ini memungkinkan Anda untuk menetapkan aktivitas normal untuk setiap akun yang diistimewakan dan peringatan tentang aktivitas yang menyimpang dari yang diharapkan. Log audit Microsoft Entra digunakan untuk merekam jenis peristiwa ini. Untuk informasi selengkapnya tentang log audit Microsoft Entra, lihat Log audit di ID Microsoft Entra.
Microsoft Entra Domain Services
Akun istimewa yang telah diberi izin di Microsoft Entra Domain Services dapat melakukan tugas untuk Microsoft Entra Domain Services yang memengaruhi postur keamanan komputer virtual yang dihosting Azure Anda yang menggunakan Microsoft Entra Domain Services. Aktifkan audit keamanan pada mesin virtual dan pantau log. Untuk informasi selengkapnya tentang mengaktifkan audit Microsoft Entra Domain Services dan untuk daftar hak istimewa sensitif, lihat sumber daya berikut ini:
- Mengaktifkan audit keamanan untuk Microsoft Entra Domain Services
- Mengaudit Penggunaan Hak Istimewa Sensitif
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Mencoba dan menyelesaikan perubahan | Sangat Penting | Log audit Microsoft Entra | Tanggal dan waktu -dan- Layanan -dan- Kategori dan nama kegiatan (apa) -dan- Status = Berhasil atau gagal -dan- Target -dan- Inisiator atau pelaku (siapa) |
Setiap perubahan yang tidak direncanakan harus segera diwaspadai. Log ini harus disimpan untuk membantu penyelidikan apa pun. Setiap perubahan tingkat penyewa harus segera diselidiki (tautkan ke dokumen Infra) yang akan menurunkan postur keamanan penyewa Anda. Contohnya adalah mengecualikan akun dari autentikasi multifaktor atau Akses Bersyarat. Waspada pada setiap penambahan atau perubahan pada aplikasi. Lihat Panduan operasi keamanan Microsoft Entra untuk Aplikasi. |
| Contoh Mencoba atau menyelesaikan perubahan ke aplikasi atau layanan bernilai tinggi |
Sangat Penting | Log audit | Layanan -dan- Kategori dan nama kegiatan |
Tanggal dan waktu, Layanan, Kategori dan nama aktivitas, Status = Keberhasilan atau kegagalan, Target, Inisiator atau aktor (siapa) |
| Perubahan istimewa di Microsoft Entra Domain Services | Sangat Penting | Microsoft Entra Domain Services | Mencari peristiwa 4673 | Mengaktifkan audit keamanan untuk Microsoft Entra Domain Services Untuk daftar semua peristiwa hak istimewa, lihat Mengaudit penggunaan Hak Istimewa Sensitif. |
Perubahan pada akun dengan hak istimewa
Selidiki perubahan pada aturan dan hak istimewa autentikasi akun istimewa, terutama jika perubahan memberikan hak istimewa yang lebih besar atau kemampuan untuk melakukan tugas di lingkungan Microsoft Entra Anda.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Pembuatan akun dengan hak istimewa | Medium | Log audit Microsoft Entra | Layanan = Direktori Inti -dan- Kategori = Manajemen pengguna -dan- Jenis Aktivitas = Menambahkan pengguna -berkorelasi dengan- Jenis Kategori = Manajemen Peran -dan- Jenis aktivitas = Menambahkan anggota ke peran -dan- Properti yang dimodifikasi = Role.DisplayName |
Pantau pembuatan akun dengan hak istimewa apa pun. Cari korelasi rentang waktu yang singkat antara pembuatan dan penghapusan akun. Templat Microsoft Sentinel Aturan sigma |
| Perubahan pada metode autentikasi | Sangat Penting | Log audit Microsoft Entra | Layanan = Metode Autentikasi -dan- Tipe Aktivitas = Pengguna mendaftarkan info keamanan -dan- Kategori = Manajemen pengguna |
Perubahan ini bisa menjadi indikasi penyerang menambahkan metode autentikasi ke akun sehingga dapat melanjutkan akses. Templat Microsoft Sentinel Aturan sigma |
| Peringatan terhadap perubahan izin akun dengan hak istimewa | Sangat Penting | Log audit Microsoft Entra | Kategori = Manajemen peran -dan- Jenis aktivitas = Menambahkan anggota yang memenuhi syarat (permanen) -atau- Jenis aktivitas = Menambahkan anggota yang memenuhi syarat (memenuhi syarat) -dan- Status = Berhasil atau gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Ini terutama untuk akun yang diberi peran yang tidak diketahui atau di luar tanggung jawab normalnya. Aturan sigma |
| Penggunaan akun dengan hak istimewa | Medium | Tinjauan akses Microsoft Entra | Lakukan tinjauan bulanan untuk akun pengguna dengan hak istimewa yang tidak aktif. Aturan sigma |
|
| Akun yang dikecualikan dari Akses Bersyarat | Sangat Penting | Azure Monitor Logs -atau- Tinjauan Akses |
Akses Bersyarat = Wawasan dan pelaporan | Setiap akun yang dikecualikan dari Akses Bersyarat kemungkinan besar melewati kontrol keamanan dan lebih rentan terhadap kompromi. Akun darurat dikecualikan. Lihat informasi tentang cara memantau akun darurat nanti di artikel ini. |
| Penambahan Kode Akses Sementara ke akun dengan hak istimewa | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Info keamanan terdaftar admin Alasan Status: Admin mendaftarkan metode kode akses sementara untuk pengguna Kategori: UserManagement Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna Target: Nama Prinsipal Pengguna |
Pantau dan beri peringatan tentang Kode Akses Sementara yang dibuat untuk pengguna istimewa. Templat Microsoft Sentinel Aturan sigma |
Untuk informasi selengkapnya tentang cara memantau pengecualian terhadap kebijakan Akses Bersyarat, lihat wawasan dan pelaporan Akses Bersyarat.
Untuk informasi selengkapnya tentang menemukan akun istimewa yang tidak digunakan, lihat Membuat tinjauan akses peran Microsoft Entra di Privileged Identity Management.
Penugasan dan elevasi
Memiliki akun dengan hak istimewa yang secara permanen dilengkapi dengan kemampuan tinggi dapat meningkatkan permukaan serangan dan risiko terhadap batas keamanan Anda. Sebagai gantinya, gunakan akses JIT menggunakan prosedur elevasi. Jenis sistem ini memungkinkan Anda untuk menetapkan kelayakan untuk peran istimewa. Admin meningkatkan hak istimewa mereka untuk peran tersebut hanya ketika mereka melakukan tugas-tugas yang membutuhkan hak istimewa tersebut. Menggunakan proses elevasi memungkinkan Anda untuk memantau elevasi dan penggunaan oleh selain akun dengan hak istimewa.
Membuat garis besar
Untuk memantau pengecualian, Anda harus terlebih dulu membuat garis besar. Menentukan informasi berikut untuk elemen-elemen ini
Akun administrator
- Strategi akun dengan hak istimewa Anda
- Penggunaan oleh akun lokal untuk mengelola sumber daya lokal
- Penggunaan oleh akun berbasis cloud untuk mengelola sumber daya berbasis cloud
- Pendekatan untuk memisahkan dan memantau izin administratif bagi sumber daya lokal dan yang berbasis cloud
Perlindungan peran istimewa
- Strategi perlindungan untuk peran yang memiliki hak istimewa admin
- Kebijakan organisasi untuk menggunakan akun dengan hak istimewa
- Strategi dan prinsip untuk mempertahankan hak istimewa permanen versus memberikan akses terikat waktu dan disetujui
Konsep dan informasi berikut membantu menentukan kebijakan:
- Prinsip admin just-in-time. Gunakan log Microsoft Entra untuk mengambil informasi untuk melakukan tugas administratif yang umum di lingkungan Anda. Tentukan jumlah waktu yang dibutuhkan untuk menyelesaikan tugas.
- Prinsip admin secukupnya. Tentukan peran istimewa paling sedikit, yang mungkin merupakan peran kustom, yang diperlukan untuk tugas administratif. Untuk informasi selengkapnya, lihat Peran dengan hak istimewa paling sedikit menurut tugas di ID Microsoft Entra.
- Membuat kebijakan elevasi. Setelah Anda memiliki wawasan tentang jenis hak istimewa yang lebih tinggi yang diperlukan dan berapa lama waktu yang dibutuhkan untuk setiap tugas, buat kebijakan yang mencerminkan penggunaan hak istimewa yang lebih tinggi untuk lingkungan Anda. Sebagai contoh, tentukan kebijakan untuk membatasi akses Administrator Global hingga satu jam.
Setelah menetapkan garis besar dan menetapkan kebijakan, Anda dapat mengonfigurasi pemantauan untuk mendeteksi dan memperingatkan penggunaan di luar kebijakan.
Penemuan
Sebaiknya beri perhatian khusus dan selidiki perubahan dalam penugasan dan peningkatan hak istimewa.
Hal-hal yang harus dipantau
Anda dapat memantau perubahan akun istimewa dengan menggunakan log audit Microsoft Entra dan log Azure Monitor. Sertakan perubahan berikut dalam proses pemantauan Anda.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Ditambahkan ke peran istimewa yang memenuhi syarat | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen peran -dan- Jenis aktivitas = Tambahkan anggota ke peran yang diselesaikan (memenuhi syarat) -dan- Status = Berhasil atau gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Setiap akun yang memenuhi syarat untuk peran sekarang diberi akses istimewa. Jika tugas tidak semestinya atau menjadi peran yang bukan tanggung jawab pemegang akun, selidiki. Templat Microsoft Sentinel Aturan sigma |
| Peran yang ditugaskan dari Azure AD Privileged Identity Management | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen peran -dan- Jenis Aktivitas = Menambahkan anggota ke peran (permanen) -dan- Status = Berhasil atau gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Peran-peran ini harus dipantau dan diberi peringatan secara ketat. Pengguna tidak boleh diberi peran di luar PIM jika memungkinkan. Templat Microsoft Sentinel Aturan sigma |
| Elevasi | Medium | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen peran -dan- Jenis aktivitas =Menambahkan anggota ke peran yang diselesaikan (aktivasi Azure Active Directory Privileged Identity Management) -dan- Status = Berhasil atau gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Setelah dielevasi, akun istimewa sekarang dapat membuat perubahan yang dapat memengaruhi keamanan penyewa Anda. Semua elevasi harus dicatat dan, jika terjadi di luar pola standar untuk pengguna tersebut, harus diperingatkan dan diselidiki jika tidak direncanakan. |
| Persetujuan dan menolak elevasi | Kurang Penting | Log audit Microsoft Entra | Layanan = Tinjauan Akses -dan- Kategori = UserManagement -dan- Jenis aktivitas = Permintaan disetujui atau ditolak -dan- Pelaku diinisiasi = UPN |
Pantau semua elevasi karena dapat memberikan indikasi garis waktu yang jelas untuk serangan. Templat Microsoft Sentinel Aturan sigma |
| Perubahan pada pengaturan PIM | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen peran -dan- Jenis aktivitas = Memperbarui pengaturan peran di Azure Active Directory Privileged Identity Management -dan- Alasan status = MFA pada aktivasi dinonaktifkan (contoh) |
Salah satu tindakan ini dapat mengurangi keamanan elevasi PIM dan memudahkan penyerang untuk mendapatkan akun dengan hak istimewa. Templat Microsoft Sentinel Aturan sigma |
| Elevasi tidak terjadi pada SAW/PAW | Sangat Penting | Log masuk Microsoft Entra | ID Perangkat -dan- Browser -dan- OS -dan- Patuh/Dikelola Berkorelasi dengan: Layanan = PIM -dan- Kategori = Manajemen peran -dan- Jenis aktivitas =Menambahkan anggota ke peran yang diselesaikan (aktivasi Azure Active Directory Privileged Identity Management) -dan- Status = Berhasil atau gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Jika perubahan ini dikonfigurasi, setiap upaya untuk meningkatkan pada perangkat non-PAW/SAW harus segera diselidiki karena dapat mengindikasikan penyerang mencoba menggunakan akun. Aturan sigma |
| Elevasi untuk mengelola langganan Azure | Sangat Penting | Azure Monitor | Tab Log Aktivitas Tab Aktivitas Direktori Nama Operasi = Menetapkan pemanggil ke admin akses pengguna -Dan- Kategori peristiwa = Administratif -dan- Status = Berhasil, mulai, gagal -dan- Peristiwa diinisiasi oleh |
Perubahan ini harus segera diselidiki jika tidak direncanakan. Pengaturan ini dapat menyebabkan penyerang bisa mengakses langganan Azure di lingkungan Anda. |
Untuk mengetahui informasi lebih lanjut tentang mengelola elevasi, lihat Mengelevasi akses untuk mengelola semua langganan Azure dan grup manajemen. Untuk informasi tentang pemantauan elevasi dengan menggunakan informasi yang tersedia di log Microsoft Entra, lihat Log Aktivitas Azure, yang merupakan bagian dari dokumentasi Azure Monitor.
Untuk informasi tentang mengonfigurasi peringatan untuk peran Azure, lihat Mengonfigurasi pemberitahuan keamanan untuk peran sumber daya Azure dalam Azure Active Directory Privileged Identity Management.
Langkah berikutnya
Lihat artikel panduan operasi keamanan ini:
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk Privileged Identity Management
Operasi keamanan untuk aplikasi