Apa itu Identity Protection?
Identity Protection merupakan alat yang memungkinkan organisasi menyelesaikan tiga tugas utama:
- Otomatiskan deteksi dan remediasi risiko berbasis identitas.
- Investigasi risiko menggunakan data di portal.
- Mengekspor data deteksi risiko ke alat lain.
Perlindungan Identitas menggunakan pembelajaran yang diperoleh Microsoft dari posisi mereka di organisasi dengan Azure Active Directory, ruang konsumen dengan Akun Microsoft, serta di dalam game dengan Xbox untuk melindungi pengguna Anda. Microsoft menganalisis triliunan sinyal per hari untuk mengidentifikasi serta melindungi pelanggan dari ancaman.
Sinyal yang dihasilkan oleh dan diumpankan ke Proteksi Identitas dapat diumpankan lebih lanjut ke alat-alat seperti Akses Bersyarat untuk membuat keputusan akses, atau diumpankan kembali ke alat informasi keamanan dan manajemen peristiwa (SIEM) bagi penyelidikan lebih lanjut berdasarkan kebijakan yang diberlakukan organisasi Anda.
Mengapa automasi penting?
Dalam posting blog Cyber Signals: Defending against cyber threats with the latest research, insights, and trends pada tanggal 3 Februari 2022, kami membagikan ringkasan intelegensi ancaman yang termasuk statistik berikut:
- Dianalisis... Sinyal keamanan 24 triliun dikombinasikan dengan intelijen yang kami lacak dengan memantau lebih dari 40 kelompok negara bagian dan lebih dari 140 kelompok ancaman...
- ... Dari Januari 2021 hingga Desember 2021, kami telah memblokir lebih dari 25,6 miliar Azure AD serangan autentikasi brute force...
Skala sinyal dan serangan ini membutuhkan beberapa tingkat otomatisasi untuk dapat mengikutinya.
Mendeteksi risiko
Perlindungan Identitas mengidentifikasi risiko dari banyak jenis, termasuk:
- Penggunaan alamat IP anonim
- Perjalanan atipikal
- Alamat IP tertaut malware
- Properti rincian masuk yang tidak dikenal
- Info masuk yang bocor
- Pembobolan kata sandi
- dan banyak lagi...
Sinyal risiko dapat memicu upaya perbaikan seperti mengharuskan pengguna untuk: melakukan Autentikasi Multifaktor Azure Active Directory, mengatur ulang kata sandi mereka menggunakan reset kata sandi layanan mandiri, ataupun memblokir hingga administrator mengambil tindakan.
Detail selengkapnya tentang risiko ini dan risiko lainnya termasuk bagaimana atau kapan mereka dihitung dapat ditemukan dalam artikel, Tentang risiko.
Menyelidiki risiko
Administrator dapat meninjau deteksi dan mengambil tindakan manual jika diperlukan. Ada tiga laporan utama yang digunakan administrator untuk investigasi dalam Identity Protection:
- Pengguna berisiko
- Proses masuk riskan
- Deteksi risiko
Untuk mengetahui informasi selengkapnya, lihat artikel Panduan: Menginvestigasi risiko.
Tingkat risiko
Identity Protection mengategorikan risiko ke dalam tingkatan: rendah, sedang, dan tinggi.
Microsoft tidak memberikan detail spesifik mengenai bagaimana risiko dihitung. Setiap tingkat risiko menghasilkan keyakinan yang lebih tinggi bahwa pengguna atau rincian masuk disusupi. Misalnya, sesuatu seperti satu instans properti masuk yang tidak dikenal untuk pengguna mungkin tidak mengancam seperti kredensial yang bocor untuk pengguna lain.
Manfaatkan informasi risiko selanjutnya
Data dari Identity Protection dapat diekspor ke alat lain untuk arsip dan penyelidikan dan korelasi lebih lanjut. API berbasis Microsoft Graph memungkinkan organisasi untuk mengumpulkan data ini untuk pemrosesan lebih lanjut dalam alat seperti SIEM mereka. Informasi tentang cara mengakses API Identity Protection dapat ditemukan di artikel, Mulai menggunakan Azure Active Directory Identity Protection dan Microsoft Graph
Informasi tentang integrasi informasi Identity Protection dengan Azure Sentinel dapat ditemukan di artikel, Menghubungkan data dari Azure Active Directory Identity Protection.
Organisasi dapat menyimpan data untuk waktu yang lebih lama dengan cara mengubah pengaturan diagnostik di Microsoft Azure AD. Mereka dapat memilih untuk mengirim data ke ruang kerja Analitik Log, mengarsipkan data ke akun penyimpanan, mengalirkan data pada Azure Event Hubs, atau mengirim data ke solusi mitra. Informasi terperinci tentang cara melakukannya dapat ditemukan dalam artikel, Cara: Data risiko ekspor.
Peran yang Diperlukan
Identity Protection mengharuskan pengguna menjadi Pembaca Keamanan, Operator Keamanan, Administrator Keamanan, Pembaca Global, atau Administrator Global untuk mengakses.
| Peran | Dapat melakukan | Tidak dapat melakukan |
|---|---|---|
| Administrator Global | Akses penuh ke Identity Protection | |
| Administrator Keamanan | Akses penuh ke Identity Protection | Mengatur ulang kata sandi untuk pengguna |
| Operator Keamanan | Lihat seluruh laporan Identity Protection serta bilah Gambaran Umum Menghilangkan risiko pengguna, mengonfirmasi login dengan aman, mengonfirmasi penyusupan |
Mengonfigurasi atau mengubah kebijakan Mengatur ulang kata sandi untuk pengguna Mengonfigurasi pemberitahuan |
| Pembaca Keamanan | Lihat seluruh laporan Identity Protection serta bilah Gambaran Umum | Mengonfigurasi atau mengubah kebijakan Mengatur ulang kata sandi untuk pengguna Mengonfigurasi pemberitahuan Memberikan umpan balik tentang deteksi |
| Pembaca Global | Akses penuh menuju Identity Protection |
Saat ini, peran Operator Keamanan tidak dapat mengakses laporan proses masuk riskan.
Administrator Akses Bersyarat juga bisa membuat kebijakan yang memperhitungkan risiko masuk sebagai sebuah ketentuan. Temukan informasi selengkapnya dalam artikel Akses Bersyarat: Ketentuan.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Azure AD Premium P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Azure AD yang tersedia secara umum.
| Kemampuan | Detail | Aplikasi Azure Active Directory Gratis / Microsoft 365 | Azure Active Directory Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Kebijakan risiko | Kebijakan masuk dan risiko pengguna (melalui Perlindungan Identitas atau Akses Bersyarat) | Tidak | Tidak | Ya |
| Laporan keamanan | Gambaran Umum | Tidak | Tidak | Ya |
| Laporan keamanan | Pengguna berisiko | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. | Akses penuh |
| Laporan keamanan | Proses masuk riskan | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Akses penuh |
| Laporan keamanan | Deteksi risiko | Tidak | Informasi Terbatas. Tidak ada laci detail. | Akses penuh |
| Pemberitahuan | Pengguna yang berisiko mendeteksi peringatan | Tidak | Tidak | Ya |
| Pemberitahuan | Ringkasan mingguan | Tidak | Tidak | Ya |
| Kebijakan pendaftaran MFA | Tidak | Tidak | Ya |
Informasi lebih lanjut tentang laporan kaya ini dapat ditemukan di artikel, Cara: Menginvestigasi risiko.