Memulihkan dari kompromi identitas sistemik
Artikel ini menjelaskan sumber daya dan rekomendasi Microsoft untuk pemulihan dari serangan penyusupan identitas sistemik terhadap organisasi Anda.
Konten dalam artikel ini didasarkan pada panduan yang diberikan oleh Tim Deteksi dan Respons Microsoft (DART), yang berfungsi untuk merespons penyusupan dan membantu pelanggan menjadi tangguh terhadap cyber. Untuk panduan lebih lanjut dari tim DART, lihat serial blog keamanan Microsoft mereka.
Banyak organisasi telah beralih ke pendekatan berbasis cloud untuk keamanan yang lebih kuat pada identitas dan manajemen akses mereka. Namun, organisasi Anda mungkin juga memiliki sistem lokal di tempat dan menggunakan berbagai metode arsitektur hibrida. Artikel ini mengakui bahwa serangan identitas sistemik memengaruhi sistem cloud, lokal, dan hibrida, serta memberikan rekomendasi dan referensi untuk semua lingkungan ini.
Penting
Informasi ini disediakan apa adanya dan sekaligus menjadi panduan umum; penentuan akhir tentang cara menerapkan panduan ini ke lingkungan TI Anda dan penyewa harus mempertimbangkan lingkungan dan kebutuhan unik Anda, yang mana setiap Pelanggan berada dalam posisi terbaik untuk menentukan.
Tentang kompromi identitas sistemik
Serangan kompromi identitas sistemik pada organisasi terjadi ketika penyerang berhasil mendapatkan pijakan ke dalam administrasi infrastruktur identitas organisasi.
Jika serangan ini terjadi pada organisasi Anda, Anda harus berlomba melawan penyerang untuk mengamankan lingkungan Anda sebelum kerusakan lebih lanjut dapat terjadi.
Penyerang dengan kontrol administratif infrastruktur identitas lingkungan dapat menggunakan kontrol tersebut untuk membuat, mengubah, atau menghapus identitas dan izin identitas di lingkungan tersebut.
Dalam kompromi lokal, jika sertifikat penandatanganan token SAML tepercaya tidak disimpan dalam HSM, serangan mencakup akses ke sertifikat penandatanganan token SAML yang terpercaya tersebut.
Penyerang kemudian dapat menggunakan sertifikat untuk memalsukan token SAML untuk meniru salah satu pengguna dan akun organisasi yang ada tanpa memerlukan akses ke info masuk akun, dan tanpa meninggalkan jejak apa pun.
Akses akun yang sangat istimewa juga dapat digunakan untuk menambahkan info masuk yang dikendalikan penyerang ke aplikasi yang ada, memungkinkan penyerang mengakses sistem Anda tanpa terdeteksi, seperti memanggil API, menggunakan izin tersebut.
Merespons serangan
Merespons kompromi identitas sistemik harus mencakup langkah-langkah yang ditunjukkan dalam gambar dan tabel berikut:
| Langkah | Deskripsi |
|---|---|
| Membuat komunikasi yang aman | Sebuah organisasi yang telah mengalami kompromi identitas sistemik harus berasumsi bahwa semua komunikasi terpengaruh. Sebelum mengambil tindakan pemulihan apa pun, Anda harus memastikan bahwa anggota tim Anda merupakan kunci penyelidikan dan upaya respons Anda dapat berkomunikasi dengan aman. Mengamankan komunikasi harus menjadi langkah pertama Anda sehingga Anda dapat melanjutkan tanpa sepengetahuan penyerang. |
| Menyelidiki lingkungan Anda | Setelah Anda mengamankan komunikasi di tim investigasi inti, Anda dapat mulai mencari titik akses awal dan teknik persisten. Identifikasi indikasi penyusupan Anda, lalu cari titik akses awal dan persistensi. Pada saat yang sama, mulailah membuat operasi pemantauan berkelanjutan selama upaya pemulihan Anda. |
| Meningkatkan postur keamanan | Aktifkan fitur dan kemampuan keamanan dengan mengikuti rekomendasi praktik terbaik untuk meningkatkan keamanan sistem di masa mendatang. Pastikan untuk melanjutkan upaya pemantauan berkelanjutan Anda seiring berjalannya waktu dan perubahan lanskap keamanan. |
| Mendapatkan kembali / mempertahankan kendali | Anda harus mendapatkan kembali kontrol administratif lingkungan Anda dari penyerang. Setelah Anda memiliki kontrol lagi dan melakukan refresh postur keamanan sistem Anda, pastikan untuk memulihkan atau memblokir semua kemungkinan teknik persistensi dan eksploitasi akses awal yang baru. |
Membuat komunikasi yang aman
Sebelum Anda mulai merespons, Anda harus yakin bahwa Anda dapat berkomunikasi dengan aman tanpa penyadapan penyerang. Pastikan untuk mengisolasi komunikasi apa pun yang terkait dengan insiden tersebut sehingga penyerang tidak mengetahui penyelidikan Anda sehingga dia terkejut dengan tindakan respons Anda.
Misalnya:
Untuk komunikasi satu lawan satu dan grup awal, Anda mungkin ingin menggunakan panggilan PSTN, jembatan konferensi yang tidak terhubung ke infrastruktur perusahaan, dan solusi pesan terenkripsi end-to-end.
Komunikasi di luar kerangka kerja ini harus diperlakukan sebagai disusupi dan tidak dipercaya, kecuali diverifikasi melalui saluran yang aman.
Setelah percakapan awal tersebut, Anda mungkin ingin membuat penyewa Microsoft 365 yang sama sekali baru, diisolasi dari penyewa produksi organisasi. Buat akun untuk personel kunci yang perlu menjadi bagian dari respons saja.
Jika Anda membuat penyewa Microsoft 365 baru, pastikan untuk mengikuti semua praktik terbaik untuk penyewa, dan terutama untuk akun dan hak administratif. Batasi hak administratif, tanpa kepercayaan untuk aplikasi atau vendor luar.
Penting
Pastikan Anda tidak mengomunikasikan tentang penyewa baru di akun email Anda yang sudah ada dan berpotensi disusupi.
Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan Microsoft 365 dengan aman.
Mengidentifikasi indikasi kompromi
Sebaiknya pelanggan mengikuti pembaruan dari penyedia sistem, termasuk Microsoft dan mitra mana pun, dan menerapkan deteksi dan perlindungan baru apa pun yang disediakan dan mengidentifikasi insiden penyusupan (IOCs) yang dipublikasikan.
Periksa pembaruan di produk keamanan Microsoft berikut, dan terapkan perubahan yang disarankan:
- Microsoft Sentinel
- Solusi dan layanan keamanan Microsoft 365
- Keamanan Perusahaan Windows 10
- Microsoft Defender for Cloud Apps
- Pertahanan Microsoft untuk IoT
Menerapkan pembaruan baru akan membantu mengidentifikasi kampanye sebelumnya dan mencegah kampanye mendatang terhadap sistem Anda. Perlu diingat bahwa daftar IOC mungkin tidak lengkap, dan dapat berkembang saat penyelidikan berlanjut.
Oleh karena itu, sebaiknya lakukan juga tindakan berikut:
Pastikan Anda telah menerapkan tolok ukur keamanan cloud Microsoft, dan memantau kepatuhan melalui Microsoft Defender untuk Cloud.
Gabungkan umpan intelijen ancaman ke dalam SIEM Anda, seperti dengan mengonfigurasi Konektor Data Microsoft Purview di Microsoft Sentinel.
Pastikan bahwa setiap alat deteksi dan respons yang diperluas, seperti Pertahanan Microsoft untuk IoT, menggunakan data inteligensi ancaman terbaru.
Untuk informasi selengkapnya, lihat dokumentasi keamanan Microsoft:
Menyelidiki lingkungan Anda
Setelah penanggap insiden dan personel kunci Anda memiliki tempat yang aman untuk berkolaborasi, Anda dapat mulai menyelidiki lingkungan yang disusupi.
Anda harus menyeimbangkan pemahaman setiap perilaku anomali dan mengambil tindakan cepat untuk menghentikan aktivitas penyerang lebih lanjut. Setiap remediasi yang berhasil memerlukan pemahaman tentang metode awal masuk dan metode persisten yang digunakan oleh penyerang, selengkap mungkin pada saat itu juga. Setiap metode persisten yang terlewatkan selama penyelidikan dapat mengakibatkan akses lanjutan oleh penyerang, dan berpotensi dibobol kembali.
Pada titik ini, Anda mungkin ingin melakukan analisis risiko untuk memprioritaskan tindakan Anda. Untuk informasi selengkapnya, lihat:
- Ancaman, kerentanan, dan penilaian risiko pusat data
- Melacak dan merespons ancaman yang muncul dengan analisis ancaman
- Pengelolaan ancaman dan kerentanan
Layanan keamanan Microsoft menyediakan sumber daya yang luas untuk penyelidikan terperinci. Bagian berikut menjelaskan tindakan teratas yang direkomendasikan.
Catatan
Jika Anda menemukan bahwa satu atau beberapa sumber pengelogan yang terdaftar saat ini bukan bagian dari program keamanan Anda, kami sarankan untuk mengonfigurasinya sesegera mungkin untuk mengaktifkan deteksi dan tinjauan log di masa mendatang.
Pastikan untuk mengonfigurasi retensi log Anda untuk mendukung tujuan investigasi organisasi Anda di masa mendatang. Simpan bukti sesuai kebutuhan untuk tujuan hukum, peraturan, atau asuransi.
Menyelidiki dan meninjau log lingkungan cloud
Selidiki dan tinjau log lingkungan cloud untuk tindakan mencurigakan dan indikasi kompromi penyerang. Misalnya, periksa log berikut:
- Log Audit Terpadu (UAL)
- Log Microsoft Entra
- Log lokal Microsoft Exchange
- Log VPN, seperti dari VPN Gateway
- Log sistem rekayasa
- Log deteksi antivirus dan titik akhir
Meninjau log audit titik akhir
Tinjau log audit titik akhir Anda untuk mengetahui perubahan lokal, seperti jenis tindakan berikut:
- Perubahan keanggotaan grup
- Pembuatan akun pengguna baru
- Delegasi dalam Direktori Aktif
Terutama pertimbangkan salah satu dari perubahan ini yang terjadi bersama dengan tanda-tanda khas kompromi atau aktivitas lainnya.
Meninjau hak administratif di lingkungan Anda
Tinjau hak administratif di lingkungan cloud dan lokal Anda. Misalnya:
| Lingkungan | Deskripsi |
|---|---|
| Semua lingkungan cloud | - Tinjau akses istimewa apa pun di cloud dan hapus izin yang tidak perlu - Menerapkan Privileged Identity Management (PIM) - Menyiapkan kebijakan Akses Bersyarat untuk membatasi akses administratif selama pengerasan |
| Semua lingkungan lokal | - Meninjau akses istimewa lokal dan menghapus izin yang tidak perlu - Mengurangi keanggotaan grup bawaan - Memverifikasi delegasi Direktori Aktif - Mengeraskan lingkungan Tingkat 0 Anda, dan membatasi siapa saja yang memiliki akses ke aset Tingkat 0 |
| Semua aplikasi Perusahaan | Tinjau untuk izin yang didelegasikan dan pemberian persetujuan yang memungkinkan salah satu tindakan berikut: - Memodifikasi pengguna dan peran istimewa - Membaca atau mengakses semua kotak surat - Mengirim atau meneruskan email atas nama pengguna lain - Mengakses semua konten situs OneDrive atau SharePoint - Menambahkan perwakilan layanan yang dapat membaca/menulis ke direktori |
| Lingkungan Microsoft 365 | Tinjau pengaturan akses dan konfigurasi untuk lingkungan Microsoft 365 Anda, termasuk: - Berbagi SharePoint Online - Microsoft Teams - Power Apps - Microsoft OneDrive for Business |
| Meninjau akun pengguna di lingkungan Anda | - Tinjau dan hapus akun pengguna tamu yang tidak lagi diperlukan. - Tinjau konfigurasi email untuk delegasi, izin folder kotak email, pendaftaran perangkat seluler ActiveSync, aturan Kotak Masuk, dan opsi Outlook di Web. - Tinjau Hak ApplicationImpersonation dan kurangi penggunaan autentikasi warisan sebanyak mungkin. - Validasi bahwa MFA diberlakukan dan informasi kontak MFA serta pengaturan ulang kata sandi swalayan (SSPR) untuk semua pengguna sudah benar. |
Membuat pemantauan berkelanjutan
Mendeteksi perilaku penyerang mencakup beberapa metode, dan bergantung pada alat keamanan yang tersedia di organisasi Anda untuk merespons serangan tersebut.
Misalnya, layanan keamanan Microsoft mungkin memiliki sumber daya dan panduan khusus yang relevan dengan serangan tersebut, seperti yang dijelaskan di bagian di bawah ini.
Penting
Jika penyelidikan Anda menemukan bukti izin administratif yang diperoleh melalui penyusupan pada sistem Anda, yang telah memberikan akses ke akun administrator global organisasi Anda dan/atau sertifikat penandatanganan token SAML tepercaya, sebaiknya ambil tindakan untuk memulihkan dan mempertahankan kontrol administratif.
Pemantauan dengan Microsoft Azure Sentinel
Microsoft Azure Sentinel memiliki banyak sumber daya bawaan untuk membantu penyelidikan Anda, seperti berburu buku kerja dan aturan analitik yang dapat membantu mendeteksi serangan di area yang relevan di lingkungan Anda.
Gunakan hub konten Microsoft Sentinel untuk menginstal solusi keamanan dan konektor data yang diperluas yang mengalirkan konten dari layanan lain di lingkungan Anda. Untuk informasi selengkapnya, lihat:
- Memvisualisasikan dan menganalisis lingkungan Anda
- Mendeteksi ancaman di luar kotak
- Menemukan dan menyebarkan solusi siap pakai
Pemantauan dengan Pertahanan Microsoft untuk IoT
Jika lingkungan Anda juga menyertakan sumber daya Teknologi Operasional (OT), Anda mungkin memiliki perangkat yang menggunakan protokol khusus, yang memprioritaskan tantangan operasional atas keamanan.
Sebarkan Pertahanan Microsoft untuk IoT untuk memantau dan mengamankan perangkat tersebut, terutama perangkat yang tidak dilindungi oleh sistem pemantauan keamanan tradisional. Instal sensor jaringan Defender for IoT pada titik minat tertentu di lingkungan Anda untuk mendeteksi ancaman dalam aktivitas jaringan yang sedang berlangsung menggunakan pemantauan tanpa agen dan inteligensi ancaman dinamis.
Untuk informasi selengkapnya, lihat Mulai menggunakan pemantauan keamanan jaringan OT.
Pemantauan dengan Pertahanan Microsoft XDR
Kami menyarankan agar Anda memeriksa Pertahanan Microsoft XDR untuk Titik Akhir dan Antivirus Microsoft Defender untuk panduan khusus yang relevan dengan serangan Anda.
Periksa contoh deteksi, kueri berburu, dan laporan analitik ancaman lainnya di pusat keamanan Microsoft, seperti di Pertahanan Microsoft XDR, Pertahanan Microsoft XDR untuk Identitas, dan aplikasi Microsoft Defender untuk Cloud. Untuk memastikan cakupan, pastikan Anda menginstal Agen Pertahanan Microsoft untuk Identitas di server ADFS selain semua pengendali domain.
Untuk informasi selengkapnya, lihat:
- Melacak dan merespons ancaman yang muncul dengan analisis ancaman
- Memahami laporan analis dalam analisis ancaman
Pemantauan dengan ID Microsoft Entra
Log masuk Microsoft Entra dapat menunjukkan apakah autentikasi multifaktor sedang digunakan dengan benar. Akses log masuk langsung dari area Microsoft Entra di portal Azure, gunakan cmdlet Get-MgBetaAuditLogSignIn, atau lihat di area Log Microsoft Sentinel.
Misalnya, telusuri atau filter hasil ketika bidang hasil MFA memiliki nilai persyaratan MFA yang dipenuhi berdasarkan klaim dalam token. Jika organisasi Anda menggunakan ADFS dan klaim yang dicatat tidak termasuk dalam konfigurasi ADFS, klaim ini dapat mengindikasikan aktivitas penyerang.
Cari atau filter hasil Anda lebih lanjut untuk mengecualikan kebisingan ekstra. Misalnya, Anda mungkin ingin menyertakan hasil hanya dari domain federasi. Jika Anda menemukan rincian masuk yang mencurigakan, telusuri lebih jauh berdasarkan alamat IP, akun pengguna, dan sebagainya.
Tabel berikut ini menjelaskan lebih banyak metode untuk menggunakan log Microsoft Entra dalam penyelidikan Anda:
| Metode | Deskripsi |
|---|---|
| Menganalisis peristiwa masuk yang berisiko | ID Microsoft Entra dan platform Perlindungan Identitasnya dapat menghasilkan peristiwa risiko yang terkait dengan penggunaan token SAML yang dihasilkan penyerang. Peristiwa ini mungkin diberi label sebagai properti tidak dikenal, alamat IP anonim, perjalanan yang mustahil, dan seterusnya. Sebaiknya analisis dengan cermat semua peristiwa risiko yang terkait dengan akun yang memiliki hak administratif, termasuk yang mungkin telah ditutup atau diperbaiki secara otomatis. Misalnya, peristiwa risiko atau alamat IP anonim mungkin diperbaiki secara otomatis karena pengguna melewati MFA. Pastikan untuk menggunakan ADFS Koneksi Health sehingga semua peristiwa autentikasi terlihat di ID Microsoft Entra. |
| Mendeteksi properti autentikasi domain | Setiap upaya penyerang untuk memanipulasi kebijakan autentikasi domain akan dicatat dalam log audit Microsoft Entra, dan tercermin dalam log Audit Terpadu. Misalnya, tinjau peristiwa apa pun yang terkait dengan Atur autentikasi domain di Log Audit Terpadu, log audit Microsoft Entra, dan /atau lingkungan SIEM Anda untuk memverifikasi bahwa semua aktivitas yang tercantum diharapkan dan direncanakan. |
| Mendeteksi kredensial untuk aplikasi OAuth | Penyerang yang telah mengontrol akun istimewa dapat mencari aplikasi dengan kemampuan untuk mengakses email pengguna mana pun di organisasi, lalu menambahkan info masuk yang dikontrol oleh penyerang ke aplikasi tersebut. Misalnya, Anda mungkin ingin mencari salah satu aktivitas berikut, yang akan konsisten dengan perilaku penyerang: - Menambahkan atau memperbarui kredensial perwakilan layanan - Memperbarui sertifikat dan rahasia aplikasi - Menambahkan pemberian penetapan peran aplikasi ke pengguna - Menambahkan Oauth2PermissionGrant |
| Mendeteksi akses email menurut aplikasi | Cari akses ke email dengan aplikasi di lingkungan Anda. Misalnya, gunakan fitur Audit Microsoft Purview (Premium) untuk menyelidiki akun yang disusupi. |
| Mendeteksi proses masuk non-interaktif ke prinsipal layanan | Laporan masuk Microsoft Entra memberikan detail tentang rincian masuk non-interaktif yang menggunakan kredensial perwakilan layanan. Misalnya, Anda dapat menggunakan laporan masuk untuk menemukan data berharga untuk penyelidikan Anda, seperti alamat IP yang digunakan oleh penyerang untuk mengakses aplikasi email. |
Meningkatkan postur keamanan
Jika peristiwa keamanan telah terjadi di sistem Anda, sebaiknya Anda merenungkan strategi dan prioritas keamanan Anda saat ini.
Penanggap Insiden sering diminta untuk memberikan rekomendasi tentang investasi apa yang harus diprioritaskan organisasi, sekarang telah dihadapkan dengan ancaman baru.
Selain rekomendasi yang didokumentasikan dalam artikel ini, sebaiknya Anda mempertimbangkan untuk memprioritaskan area fokus yang responsif terhadap teknik pasca-eksploitasi yang digunakan oleh penyerang ini dan celah postur keamanan umum yang mengaktifkannya.
Bagian berikut mencantumkan rekomendasi untuk meningkatkan postur keamanan umum dan identitas.
Meningkatkan postur keamanan umum
Sebaiknya lakukan tindakan berikut untuk memastikan postur keamanan umum Anda:
Tinjau Microsoft Secure Score untuk rekomendasi dasar keamanan yang disesuaikan untuk produk Microsoft dan layanan yang Anda konsumsi.
Pastikan organisasi Anda telah memperluas solusi deteksi dan respons (XDR) dan informasi keamanan dan manajemen peristiwa (SIEM), seperti Pertahanan Microsoft XDR untuk Titik Akhir, Microsoft Sentinel, dan Pertahanan Microsoft untuk IoT.
Meninjau model akses Perusahaan Microsoft
Meningkatkan postur keamanan identitas
Sebaiknya lakukan tindakan berikut untuk memastikan postur keamanan terkait identitas:
Tinjau Lima langkah Microsoft untuk mengamankan infrastruktur identitas Anda, dan prioritaskan langkah yang sesuai untuk arsitektur identitas Anda.
Pertimbangkan untuk bermigrasi ke Default Keamanan Microsoft Entra untuk kebijakan autentikasi Anda.
Hilangkan penggunaan autentikasi warisan organisasi Anda, jika sistem atau aplikasi masih memerlukannya. Untuk informasi selengkapnya, lihat Memblokir autentikasi warisan ke ID Microsoft Entra dengan Akses Bersyarah.
Perlakukan infrastruktur ADFS dan infrastruktur AD Connect Anda sebagai aset Tingkat 0.
Batasi akses administratif lokal ke sistem, termasuk akun yang digunakan untuk menjalankan layanan ADFS.
Hak istimewa terkecil yang diperlukan untuk akun yang menjalankan ADFS adalah Penetapan Hak Pengguna Masuk sebagai Layanan.
Batasi akses administratif untuk pengguna terbatas dan dari rentang alamat IP terbatas dengan menggunakan kebijakan Windows Firewall untuk Desktop Jauh.
Sebaiknya Anda menyiapkan kotak lompat Tingkat 0 atau sistem yang setara.
Blokir semua akses UKM masuk ke sistem dari mana saja di lingkungan. Untuk informasi selengkapnya, lihat Melampaui Azure Stack Edge: Cara Mengamankan Lalu Lintas UKM di Windows. Sebaiknya Anda juga mengalirkan log Windows Firewall ke SIEM untuk pemantauan historis dan proaktif.
Jika Anda menggunakan Akun Layanan dan lingkungan Anda mendukungnya, migrasikan dari Akun Layanan ke grup Akun Layanan Terkelola (gMSA). Jika Anda tidak dapat pindah ke gMSA, ubah sandi di Akun Layanan menjadi sandi yang rumit.
Pastikan pengelogan Verbose diaktifkan pada sistem ADFS Anda.
Memulihkan dan mempertahankan kontrol administratif
Jika penyelidikan Anda telah mengidentifikasi bahwa penyerang memiliki kontrol administratif di cloud organisasi atau lingkungan lokal, Anda harus mendapatkan kembali kontrol sedemikian rupa sehingga Anda dapat memastikan bahwa penyerang tidak persisten.
Bagian ini menyediakan metode dan langkah yang mungkin dapat dipertimbangkan ketika membangun rencana pemulihan kontrol administratif Anda.
Penting
Langkah tepat yang diperlukan dalam organisasi Anda akan bergantung pada seberapa persisten yang Anda temukan dalam penyelidikan Anda, dan seberapa yakin Anda bahwa penyelidikan telah selesai dan telah menemukan semua kemungkinan metode entri dan persistensi.
Pastikan setiap tindakan yang diambil dilakukan dari perangkat tepercaya, yang dibuat dari sumber yang bersih. Misalnya, gunakan workstation akses istimewa yang baru.
Bagian berikut mencakup jenis rekomendasi untuk memulihkan dan mempertahankan kontrol administratif:
- Menghapus kepercayaan pada server Anda saat ini
- Merotasi sertifikat penandatanganan token SAML Anda, atau mengganti server ADFS Anda jika diperlukan
- Aktivitas remediasi khusus untuk lingkungan cloud atau lokal
Menghapus kepercayaan pada server Anda saat ini
Jika organisasi Anda telah kehilangan kendali atas sertifikat penandatanganan token atau kepercayaan federasi, pendekatan yang paling terjamin adalah menghapus kepercayaan, dan beralih ke identitas yang dikuasai cloud sambil melakukan pemulihan lokal.
Menghapus kepercayaan dan beralih ke identitas yang dikuasai cloud membutuhkan perencanaan yang cermat dan pemahaman mendalam tentang efek operasi bisnis identitas pengisolasian. Untuk informasi selengkapnya, lihat Melindungi Microsoft 365 dari serangan lokal.
Merotasi sertifikat penandatanganan token SAML Anda
Jika organisasi Anda memutuskan tidak untuk menghapus kepercayaan saat memulihkan kontrol administratif lokal, Anda harus merotasi sertifikat penandatanganan token SAML setelah mendapatkan kembali kontrol administratif lokal, dan memblokir kemampuan penyerang untuk mengakses sertifikat penandatanganan lagi.
Merotasi sertifikat penandatanganan token satu kali masih memungkinkan sertifikat penandatanganan token sebelumnya berfungsi. Terus mengizinkan sertifikat sebelumnya berfungsi adalah fungsionalitas bawaan untuk rotasi sertifikat normal, yang memungkinkan masa tenggang bagi organisasi untuk memperbarui kepercayaan pihak yang mengandalkan sebelum sertifikat berakhir.
Jika ada serangan, Anda tidak ingin penyerang mempertahankan akses sama sekali. Pastikan bahwa penyerang tidak mempertahankan kemampuan untuk menempa token untuk domain Anda.
Untuk informasi selengkapnya, lihat:
Mengganti server ADFS Anda
Jika, alih-alih merotasi sertifikat penandatanganan token SAML, Anda memutuskan untuk mengganti server ADFS dengan sistem bersih, Anda harus menghapus ADFS yang ada dari lingkungan Anda, lalu membangun yang baru.
Untuk informasi selengkapnya, lihat Menghapus konfigurasi.
Aktivitas remediasi cloud
Selain rekomendasi yang tercantum sebelumnya dalam artikel ini, sebaiknya lakukan juga kegiatan berikut untuk lingkungan cloud Anda:
| Aktivitas | Deskripsi |
|---|---|
| Atur ulang kata sandi | Atur ulang kata sandi pada akun break-glass mana pun dan kurangi jumlah akun break-glass ke minimum absolut yang diperlukan. |
| Membatasi akun akses istimewa | Pastikan bahwa akun layanan dan pengguna dengan akses istimewa adalah akun khusus cloud, dan jangan gunakan akun lokal yang disinkronkan atau digabungkan ke ID Microsoft Entra. |
| Menerapkan MFA | Terapkan Autentikasi Multifaktor (MFA) di semua pengguna yang meningkat di penyewa. Sebaiknya terapkan MFA kepada semua pengguna di penyewa. |
| Membatasi akses administratif | Terapkan Azure Active Directory Privileged Identity Management (PIM) dan akses bersyarat untuk membatasi akses administratif. Untuk pengguna Microsoft 365, terapkan Privileged Access Management (PAM) untuk membatasi akses ke kemampuan sensitif, seperti eDiscovery, Admin Global, Administrasi Akun, dan lainnya. |
| Tinjau / kurangi izin yang didelegasikan dan pemberian izin | Tinjau dan kurangi semua izin atau pemberian persetujuan yang didelegasikan Aplikasi Perusahaan yang memungkinkan salah satu fungsi berikut: - Modifikasi pengguna dan peran istimewa - Membaca, mengirim email, atau mengakses semua kotak surat - Mengakses konten OneDrive, Teams, atau SharePoint - Menambahkan Perwakilan Layanan yang dapat membaca/menulis ke direktori - Izin Aplikasi versus Akses yang Didelegasikan |
Aktivitas remediasi lokal
Selain rekomendasi yang tercantum sebelumnya dalam artikel ini, sebaiknya lakukan juga aktivitas berikut untuk lingkungan cloud lokal Anda:
| Aktivitas | Deskripsi |
|---|---|
| Membangun kembali sistem yang terpengaruh | Membangun kembali sistem yang diidentifikasi telah disusupi oleh penyerang selama penyelidikan Anda. |
| Menghapus pengguna admin yang tidak perlu | Hapus anggota yang tidak perlu dari grup Admin Domain, Operator Microsoft Azure Backup, dan Admin Perusahaan. Untuk informasi selengkapnya, lihat Mengamankan Akses Istimewa. |
| Mengatur ulang kata sandi ke akun istimewa | Atur ulang kata sandi semua akun istimewa di lingkungan. Catatan: Akun istimewa tidak terbatas pada grup bawaan, tetapi juga dapat berupa grup yang didelegasikan akses ke administrasi server, administrasi stasiun kerja, atau area lain di lingkungan Anda. |
| Mengatur ulang akun krbtgt | Atur ulang akun krbtgt dua kali menggunakan skrip New-KrbtgtKeys. Catatan: Jika Anda menggunakan Pengontrol Domain Baca-Saja, Anda harus menjalankan skrip secara terpisah untuk Pengontrol Domain Baca-Tulis dan untuk Pengontrol Domain Baca-Saja. |
| Menjadwalkan waktu menghidupkan ulang sistem | Setelah Anda memvalidasi bahwa tidak ada mekanisme persistensi yang dibuat oleh penyerang yang ada atau tetap ada di sistem Anda, jadwalkan waktu menghidupkan ulang sistem untuk membantu menghapus malware residen RAM. |
| Mengatur ulang kata sandi DSRM | Atur ulang kata sandi DSRM (Mode Pemulihan Layanan Direktori) setiap pengontrol domain menjadi sesuatu yang unik dan kompleks. |
Memperbaiki atau memblokir persistensi yang ditemukan selama investigasi
Investigasi adalah proses berulang, dan Anda harus menyeimbangkan keinginan organisasi untuk memperbaiki saat Anda mengidentifikasi anomali dan kemungkinan bahwa remediasi akan mengingatkan penyerang akan deteksi Anda dan memberi mereka waktu untuk bereaksi.
Misalnya, penyerang yang menyadari deteksi dapat mengubah teknik atau membuat lebih banyak persistensi.
Pastikan untuk memperbaiki teknik persistensi yang telah Anda identifikasi pada tahap awal penyelidikan.
Memperbaiki akses akun pengguna dan layanan
Selain saran tindakan yang tercantum di atas, sebaiknya Anda mempertimbangkan langkah-langkah berikut untuk memperbaiki dan memulihkan akun pengguna:
Menerapkan akses bersyarat berdasarkan perangkat tepercaya. Jika memungkinkan, sebaiknya Anda menerapkan akses bersyarat berbasis lokasi agar sesuai dengan persyaratan organisasi Anda.
Atur ulang kata sandi setelah pengusiran untuk setiap akun pengguna yang mungkin telah disusupi. Pastikan juga untuk menerapkan rencana jangka menengah untuk menyetel ulang info masuk untuk semua akun di direktori Anda.
Cabut token refresh segera setelah merotasi info masuk Anda.
Untuk informasi selengkapnya, lihat:
Langkah berikutnya
Dapatkan bantuan dari dalam produk Microsoft, termasuk Portal Pertahanan Microsoft, portal kepatuhan Microsoft Purview, dan Pusat Keamanan &Kepatuhan Office 365 dengan memilih tombol Bantuan (?) di bilah navigasi atas.
Untuk bantuan penyebaran, hubungi kami di FastTrack
Jika Anda memiliki kebutuhan terkait dukungan produk, ajukan kasus dukungan Microsoft.
Penting
Jika Anda yakin bahwa Anda telah disusupi dan memerlukan bantuan melalui respons insiden, buka kasus dukungan Microsoft Sev A.