Apa itu Microsoft Entra ID Protection?
Microsoft Entra ID Protection membantu organisasi mendeteksi, menyelidiki, dan memulihkan risiko berbasis identitas. Risiko berbasis identitas ini dapat disalurkan lebih lanjut ke alat seperti Akses Bersyarah untuk membuat keputusan akses atau disalurkan kembali ke alat informasi keamanan dan manajemen peristiwa (SIEM) untuk penyelidikan dan korelasi lebih lanjut.
Mendeteksi risiko
Microsoft terus menambahkan dan memperbarui deteksi di katalog kami untuk melindungi organisasi. Deteksi ini berasal dari pembelajaran kami berdasarkan analisis triliunan sinyal setiap hari dari Direktori Aktif, Akun Microsoft, dan dalam game dengan Xbox. Berbagai sinyal ini membantu Perlindungan ID mendeteksi perilaku berisiko seperti:
- Penggunaan alamat IP anonim
- Serangan semprotan kata sandi
- Kredensial bocor
- dan banyak lagi...
Selama setiap masuk, ID Protection menjalankan semua deteksi masuk real-time yang menghasilkan tingkat risiko sesi masuk, yang menunjukkan seberapa besar kemungkinan proses masuk disusupi. Berdasarkan tingkat risiko ini, kebijakan kemudian diterapkan untuk melindungi pengguna dan organisasi.
Untuk daftar lengkap risiko dan bagaimana risiko terdeteksi, lihat artikel Apa itu risiko.
Memeriksa
Setiap risiko yang terdeteksi pada identitas dilacak dengan pelaporan. Id Protection menyediakan tiga laporan utama bagi administrator untuk menyelidiki risiko dan mengambil tindakan:
- Deteksi risiko: Setiap risiko yang terdeteksi dilaporkan sebagai deteksi risiko.
- Rincian masuk berisiko: Proses masuk berisiko dilaporkan ketika ada satu atau beberapa deteksi risiko yang dilaporkan untuk rincian masuk tersebut.
- Pengguna berisiko: Pengguna berisiko dilaporkan ketika salah satu atau kedua hal berikut ini benar:
- Pengguna memiliki satu atau beberapa proses masuk Riskan.
- Satu atau beberapa deteksi risiko dilaporkan.
Untuk informasi selengkapnya tentang cara menggunakan laporan, lihat artikel Cara: Menyelidiki risiko.
Memulihkan risiko
Mengapa otomatisasi sangat penting dalam keamanan?
Dalam posting blog Cyber Signals: Membela terhadap ancaman cyber dengan penelitian, wawasan, dan tren terbaru tertanggal 3 Februari 2022 Microsoft membagikan ringkasan inteligensi ancaman termasuk statistik berikut:
Dianalisis... Sinyal keamanan 24 triliun dikombinasikan dengan intelijen yang kami lacak dengan memantau lebih dari 40 kelompok negara bagian dan lebih dari 140 kelompok ancaman...
... Dari Januari 2021 hingga Desember 2021, kami telah memblokir lebih dari 25,6 miliar serangan autentikasi brute force Microsoft Entra...
Skala sinyal dan serangan yang sangat besar membutuhkan beberapa tingkat otomatisasi hanya untuk mengikuti.
Remediasi otomatis
Kebijakan Akses Bersyarat berbasis risiko dapat diaktifkan untuk memerlukan kontrol akses seperti menyediakan metode autentikasi yang kuat, melakukan autentikasi multifaktor, atau melakukan reset kata sandi yang aman berdasarkan tingkat risiko yang terdeteksi. Jika pengguna berhasil menyelesaikan kontrol akses, risiko akan diperbaiki secara otomatis.
Remediasi manual
Saat remediasi pengguna tidak diaktifkan, administrator harus meninjaunya secara manual dalam laporan di portal, melalui API, atau di Pertahanan Microsoft 365. Administrator dapat melakukan tindakan manual untuk menutup, mengonfirmasi aman, atau mengonfirmasi kompromi pada risiko.
Memanfaatkan data
Data dari Perlindungan ID dapat diekspor ke alat lain untuk arsip, penyelidikan lebih lanjut, dan korelasi. API berbasis Microsoft Graph memungkinkan organisasi mengumpulkan data ini untuk diproses lebih lanjut dalam alat seperti SIEM mereka. Informasi tentang cara mengakses ID Protection API dapat ditemukan di artikel, Mulai menggunakan Microsoft Entra ID Protection dan Microsoft Graph
Informasi tentang mengintegrasikan informasi Perlindungan ID dengan Microsoft Azure Sentinel dapat ditemukan di artikel, Menyambungkan data dari Microsoft Entra ID Protection.
Organisasi mungkin menyimpan data untuk jangka waktu yang lebih lama dengan mengubah pengaturan diagnostik di ID Microsoft Entra. Mereka dapat memilih untuk mengirim data ke ruang kerja Analitik Log, mengarsipkan data ke akun penyimpanan, mengalirkan data ke Azure Event Hubs, atau mengirim data ke solusi lain. Informasi terperinci tentang cara melakukannya dapat ditemukan di artikel, Cara: Mengekspor data risiko.
Peran yang diperlukan
Perlindungan ID mengharuskan pengguna ditetapkan satu atau beberapa peran berikut untuk mengakses.
| Peranan | Dapat melakukan | Tidak dapat melakukan |
|---|---|---|
| Administrator Keamanan | Akses penuh ke Perlindungan ID | Mereset kata sandi untuk pengguna |
| Operator Keamanan | Lihat semua laporan dan Gambaran Umum Perlindungan ID Menutup risiko pengguna, mengonfirmasi rincian masuk yang aman, mengonfirmasi penyusupan |
Mengonfigurasi atau mengubah kebijakan Mereset kata sandi untuk pengguna Mengonfigurasi pemberitahuan |
| Pembaca Keamanan | Lihat semua laporan dan Gambaran Umum Perlindungan ID | Mengonfigurasi atau mengubah kebijakan Mereset kata sandi untuk pengguna Mengonfigurasi pemberitahuan Memberikan umpan balik tentang deteksi |
| Pembaca Global | Akses baca-saja ke Perlindungan ID | |
| Administrator Pengguna | Mereset kata sandi pengguna |
Saat ini, peran Operator Keamanan tidak dapat mengakses laporan Proses masuk Riskan.
Administrator Akses Bersyarat dapat membuat kebijakan yang memperhitungkan risiko pengguna atau masuk sebagai kondisi. Temukan informasi selengkapnya dalam artikel Akses Bersyar: Kondisi.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.
| Kemampuan | Rincian | Microsoft Entra ID Gratis / Aplikasi Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Kebijakan risiko | Kebijakan masuk dan risiko pengguna (melalui Perlindungan ID atau Akses Bersyarat) | Tidak | Tidak | Ya |
| Laporan keamanan | Ikhtisar | Tidak | Tidak | Ya |
| Laporan keamanan | Pengguna berisiko | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. | Akses penuh |
| Laporan keamanan | Proses masuk berisiko | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Akses penuh |
| Laporan keamanan | Deteksi risiko | Tidak | Informasi Terbatas. Tidak ada laci detail. | Akses penuh |
| Pemberitahuan | Pengguna berisiko terdeteksi pemberitahuan | Tidak | Tidak | Ya |
| Pemberitahuan | Hash mingguan | Tidak | Tidak | Ya |
| Kebijakan pendaftaran MFA | Tidak | Tidak | Ya |
Informasi selengkapnya tentang laporan kaya ini dapat ditemukan di artikel, Cara: Menyelidiki risiko.
Untuk memanfaatkan risiko identitas beban kerja, termasuk tab Identitas beban kerja berisiko dan deteksi identitas Beban Kerja di panel Deteksi risiko di pusat admin, Anda harus memiliki lisensi Workload Identities Premium. Untuk informasi selengkapnya, lihat artikel Mengamankan identitas beban kerja.