Memulihkan dari kompromi identitas sistemik

Artikel ini menjelaskan sumber daya dan rekomendasi Microsoft untuk memulihkan dari serangan penyusupan identitas sistemik terhadap organisasi Anda, seperti serangan Nobelium pada bulan Desember 2020.

Konten dalam artikel ini didasarkan pada panduan yang diberikan oleh Tim Deteksi dan Respons Microsoft (DART), yang berfungsi untuk merespons penyusupan dan membantu pelanggan menjadi tangguh terhadap cyber. Untuk panduan lebih lanjut dari tim DART, lihat serial blog keamanan Microsoft mereka.

Banyak organisasi telah beralih ke pendekatan berbasis cloud untuk keamanan yang lebih kuat pada identitas dan manajemen akses mereka. Namun, organisasi Anda mungkin juga memiliki sistem lokal di tempat dan menggunakan berbagai metode arsitektur hibrida. Artikel ini mengakui bahwa serangan identitas sistemik memengaruhi sistem cloud, lokal, dan hibrida, serta memberikan rekomendasi dan referensi untuk semua lingkungan ini.

Penting

Informasi ini disediakan apa adanya dan sekaligus menjadi panduan umum; penentuan akhir tentang cara menerapkan panduan ini ke lingkungan TI Anda dan penyewa harus mempertimbangkan lingkungan dan kebutuhan unik Anda, yang mana setiap Pelanggan berada dalam posisi terbaik untuk menentukan.

Tentang kompromi identitas sistemik

Serangan kompromi identitas sistemik pada organisasi terjadi ketika penyerang berhasil mendapatkan pijakan ke dalam administrasi infrastruktur identitas organisasi.

Jika serangan ini terjadi pada organisasi Anda, Anda harus berlomba melawan penyerang untuk mengamankan lingkungan Anda sebelum kerusakan lebih lanjut dapat terjadi.

  • Penyerang dengan kontrol administratif infrastruktur identitas lingkungan dapat menggunakan kontrol tersebut untuk membuat, mengubah, atau menghapus identitas dan izin identitas di lingkungan tersebut.

    Dalam kompromi lokal, jika sertifikat penandatanganan token SAML tepercaya tidak disimpan dalam HSM, serangan mencakup akses ke sertifikat penandatanganan token SAML yang terpercaya tersebut.

  • Penyerang kemudian dapat menggunakan sertifikat untuk memalsukan token SAML untuk meniru salah satu pengguna dan akun organisasi yang ada tanpa memerlukan akses ke info masuk akun, dan tanpa meninggalkan jejak apa pun.

  • Akses akun yang sangat istimewa juga dapat digunakan untuk menambahkan info masuk yang dikendalikan penyerang ke aplikasi yang ada, memungkinkan penyerang mengakses sistem Anda tanpa terdeteksi, seperti memanggil API, menggunakan izin tersebut.

Merespons serangan

Merespons kompromi identitas sistemik harus mencakup langkah-langkah yang ditunjukkan dalam gambar dan tabel berikut:

Langkah-langkah pemulihan dari penyusupan identitas.

Langkah Deskripsi
Membuat komunikasi yang aman Sebuah organisasi yang telah mengalami kompromi identitas sistemik harus berasumsi bahwa semua komunikasi terpengaruh. Sebelum mengambil tindakan pemulihan apa pun, Anda harus memastikan bahwa anggota tim Anda merupakan kunci penyelidikan dan upaya respons Anda dapat berkomunikasi dengan aman.

Mengamankan komunikasi harus menjadi langkah pertama Anda sehingga Anda dapat melanjutkan tanpa sepengetahuan penyerang.
Menyelidiki lingkungan Anda Setelah Anda mengamankan komunikasi di tim investigasi inti, Anda dapat mulai mencari titik akses awal dan teknik persisten. Identifikasi indikasi penyusupan Anda, lalu cari titik akses awal dan persistensi. Pada saat yang sama, mulailah membuat operasi pemantauan berkelanjutan selama upaya pemulihan Anda.
Meningkatkan postur keamanan Aktifkan fitur dan kemampuan keamanan dengan mengikuti rekomendasi praktik terbaik untuk meningkatkan keamanan sistem di masa mendatang.

Pastikan untuk melanjutkan upaya pemantauan berkelanjutan Anda seiring berjalannya waktu dan perubahan lanskap keamanan.
Mendapatkan kembali / mempertahankan kendali Anda harus mendapatkan kembali kontrol administratif lingkungan Anda dari penyerang. Setelah Anda memiliki kontrol lagi dan melakukan refresh postur keamanan sistem Anda, pastikan untuk memulihkan atau memblokir semua kemungkinan teknik persistensi dan eksploitasi akses awal yang baru.

Membuat komunikasi yang aman

Sebelum Anda mulai merespons, Anda harus yakin bahwa Anda dapat berkomunikasi dengan aman tanpa penyadapan penyerang. Pastikan untuk mengisolasi komunikasi apa pun yang terkait dengan insiden tersebut sehingga penyerang tidak mengetahui penyelidikan Anda sehingga dia terkejut dengan tindakan respons Anda.

Contohnya:

  1. Untuk komunikasi satu lawan satu dan grup awal, Anda mungkin ingin menggunakan panggilan PSTN, jembatan konferensi yang tidak terhubung ke infrastruktur perusahaan, dan solusi pesan terenkripsi end-to-end.

    Komunikasi di luar kerangka kerja ini harus diperlakukan sebagai disusupi dan tidak dipercaya, kecuali diverifikasi melalui saluran yang aman.

  2. Setelah percakapan awal tersebut, Anda mungkin ingin membuat penyewa Microsoft 365 yang sama sekali baru, diisolasi dari penyewa produksi organisasi. Buat akun untuk personel kunci yang perlu menjadi bagian dari respons saja.

Jika Anda membuat penyewa Microsoft 365 baru, pastikan untuk mengikuti semua praktik terbaik untuk penyewa, dan terutama untuk akun dan hak administratif. Batasi hak administratif, tanpa kepercayaan untuk aplikasi atau vendor luar.

Penting

Pastikan Anda tidak mengomunikasikan tentang penyewa baru di akun email Anda yang sudah ada dan berpotensi disusupi.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan Microsoft 365 dengan aman.

Mengidentifikasi indikasi kompromi

Sebaiknya pelanggan mengikuti pembaruan dari penyedia sistem, termasuk Microsoft dan mitra mana pun, dan menerapkan deteksi dan perlindungan baru apa pun yang disediakan dan mengidentifikasi insiden penyusupan (IOCs) yang dipublikasikan.

Periksa pembaruan di produk keamanan Microsoft berikut, dan terapkan perubahan yang disarankan:

Menerapkan pembaruan baru akan membantu mengidentifikasi kampanye sebelumnya dan mencegah kampanye mendatang terhadap sistem Anda. Perlu diingat bahwa daftar IOC mungkin tidak lengkap, dan dapat berkembang saat penyelidikan berlanjut.

Oleh karena itu, sebaiknya lakukan juga tindakan berikut:

Untuk informasi selengkapnya, lihat dokumentasi keamanan Microsoft:

Menyelidiki lingkungan Anda

Setelah penanggap insiden dan personel kunci Anda memiliki tempat yang aman untuk berkolaborasi, Anda dapat mulai menyelidiki lingkungan yang disusupi.

Anda harus menyeimbangkan pemahaman setiap perilaku anomali dan mengambil tindakan cepat untuk menghentikan aktivitas penyerang lebih lanjut. Setiap remediasi yang berhasil memerlukan pemahaman tentang metode awal masuk dan metode persisten yang digunakan oleh penyerang, selengkap mungkin pada saat itu juga. Setiap metode persisten yang terlewatkan selama penyelidikan dapat mengakibatkan akses lanjutan oleh penyerang, dan berpotensi dibobol kembali.

Pada titik ini, Anda mungkin ingin melakukan analisis risiko untuk memprioritaskan tindakan Anda. Untuk informasi selengkapnya, lihat:

Layanan keamanan Microsoft menyediakan sumber daya yang luas untuk penyelidikan terperinci. Bagian berikut menjelaskan tindakan teratas yang direkomendasikan.

Catatan

Jika Anda menemukan bahwa satu atau beberapa sumber pengelogan yang terdaftar saat ini bukan bagian dari program keamanan Anda, kami sarankan untuk mengonfigurasinya sesegera mungkin untuk mengaktifkan deteksi dan tinjauan log di masa mendatang.

Pastikan untuk mengonfigurasi retensi log Anda untuk mendukung tujuan investigasi organisasi Anda di masa mendatang. Simpan bukti sesuai kebutuhan untuk tujuan hukum, peraturan, atau asuransi.

Menyelidiki dan meninjau log lingkungan cloud

Selidiki dan tinjau log lingkungan cloud untuk tindakan mencurigakan dan indikasi kompromi penyerang. Misalnya, periksa log berikut:

Meninjau log audit titik akhir

Tinjau log audit titik akhir Anda untuk mengetahui perubahan lokal, seperti jenis tindakan berikut:

  • Perubahan keanggotaan grup
  • Pembuatan akun pengguna baru
  • Delegasi dalam Direktori Aktif

Terutama pertimbangkan salah satu dari perubahan ini yang terjadi bersama dengan tanda-tanda khas kompromi atau aktivitas lainnya.

Meninjau hak administratif di lingkungan Anda

Tinjau hak administratif di lingkungan cloud dan lokal Anda. Contohnya:

Lingkungan Deskripsi
Semua lingkungan cloud - Tinjau akses istimewa apa pun di cloud dan hapus izin yang tidak perlu
- Menerapkan Privileged Identity Management (PIM)
- Menyiapkan kebijakan Akses Bersyarat untuk membatasi akses administratif selama pengerasan
Semua lingkungan lokal - Meninjau akses istimewa lokal dan menghapus izin yang tidak perlu
- Mengurangi keanggotaan grup bawaan
- Memverifikasi delegasi Direktori Aktif
- Mengeraskan lingkungan Tingkat 0 Anda, dan membatasi siapa saja yang memiliki akses ke aset Tingkat 0
Semua aplikasi Perusahaan Meninjau izin yang didelegasikan dan pemberian izin yang memungkinkan salah satu tindakan berikut:

- Memodifikasi pengguna dan peran istimewa
- Membaca atau mengakses semua kotak email
- Mengirim atau meneruskan email atas nama pengguna lain
- Mengakses semua konten situs OneDrive atau SharePoint
- Menambahkan perwakilan layanan yang dapat membaca/menulis ke direktori
Lingkungan Microsoft 365 Meninjau pengaturan akses dan konfigurasi untuk lingkungan Microsoft 365 Anda, termasuk:
- Berbagi SharePoint Online
- Microsoft Teams
- Power Apps
- Microsoft OneDrive for Business
Meninjau akun pengguna di lingkungan Anda - Tinjau dan hapus akun pengguna tamu yang tidak lagi diperlukan.
- Tinjau konfigurasi email untuk delegasi, izin folder kotak email, pendaftaran perangkat seluler ActiveSync, aturan Kotak Masuk, dan opsi Outlook di Web.
- Tinjau Hak ApplicationImpersonation dan kurangi penggunaan autentikasi warisan sebanyak mungkin.
- Validasi bahwa MFA diberlakukan dan informasi kontak MFA serta pengaturan ulang kata sandi swalayan (SSPR) untuk semua pengguna sudah benar.

Membuat pemantauan berkelanjutan

Mendeteksi perilaku penyerang mencakup beberapa metode, dan bergantung pada alat keamanan yang tersedia di organisasi Anda untuk merespons serangan tersebut.

Misalnya, layanan keamanan Microsoft mungkin memiliki sumber daya dan panduan khusus yang relevan dengan serangan tersebut, seperti yang dijelaskan di bagian di bawah ini.

Penting

Jika penyelidikan Anda menemukan bukti izin administratif yang diperoleh melalui penyusupan pada sistem Anda, yang telah memberikan akses ke akun administrator global organisasi Anda dan/atau sertifikat penandatanganan token SAML tepercaya, sebaiknya ambil tindakan untuk memulihkan dan mempertahankan kontrol administratif.

Pemantauan dengan Pertahanan Microsoft Azure Sentinel

Microsoft Azure Sentinel memiliki banyak sumber daya bawaan untuk membantu penyelidikan Anda, seperti berburu buku kerja dan aturan analitik yang dapat membantu mendeteksi serangan di area yang relevan di lingkungan Anda.

Untuk informasi selengkapnya, lihat:

Pemantauan dengan Pertahanan Microsoft 365

Kami menyarankan Anda memeriksa Pertahanan Microsoft 365 untuk Titik akhir dan Antivirus Pertahanan Microsoft untuk panduan khusus yang relevan dengan serangan Anda.

Periksa contoh lain dari deteksi, pencarian kueri, dan laporan analisis ancaman di pusat keamanan Microsoft, seperti di Pertahanan Microsoft 365, Pertahanan Microsoft 365 untuk Identitas, dan Microsoft Defender for Cloud Apps. Untuk memastikan cakupan, pastikan Anda menginstal Agen Pertahanan Microsoft untuk Identitas di server ADFS selain semua pengendali domain.

Untuk informasi selengkapnya, lihat:

Pemantauan dengan Azure Active Directory

Log masuk Azure Active Directory dapat menunjukkan apakah autentikasi multifaktor digunakan dengan benar. Akses log masuk langsung dari area Azure Active Directory di portal Microsoft Azure, gunakan cmdlet Get-AzureADAuditSignInLogs, atau lihat di area Logs Microsoft Azure Sentinel.

Misalnya, telusuri atau filter hasil ketika bidang hasil MFA memiliki nilai persyaratan MFA yang dipenuhi berdasarkan klaim dalam token. Jika organisasi Anda menggunakan ADFS dan klaim yang dicatat tidak termasuk dalam konfigurasi ADFS, klaim ini dapat mengindikasikan aktivitas penyerang.

Cari atau filter hasil Anda lebih lanjut untuk mengecualikan kebisingan ekstra. Misalnya, Anda mungkin ingin menyertakan hasil hanya dari domain federasi. Jika Anda menemukan rincian masuk yang mencurigakan, telusuri lebih jauh berdasarkan alamat IP, akun pengguna, dan sebagainya.

Tabel berikut menjelaskan lebih banyak metode untuk menggunakan log Azure Active directory dalam penyelidikan Anda:

Metode Deskripsi
Menganalisis peristiwa masuk yang berisiko Azure Active Directory dan platform Perlindungan Identitasnya dapat menghasilkan peristiwa risiko yang terkait dengan penggunaan token SAML yang dibuat oleh penyerang.

Peristiwa ini mungkin diberi label sebagai properti tidak dikenal, alamat IP anonim, perjalanan yang mustahil, dan seterusnya.

Sebaiknya analisis dengan cermat semua peristiwa risiko yang terkait dengan akun yang memiliki hak administratif, termasuk yang mungkin telah ditutup atau diperbaiki secara otomatis. Misalnya, peristiwa risiko atau alamat IP anonim mungkin diperbaiki secara otomatis karena pengguna melewati MFA.

Pastikan untuk menggunakan ADFS Connect Health agar semua aktivitas autentikasi terlihat di Azure Active Directory.
Mendeteksi properti autentikasi domain Setiap upaya penyerang untuk memanipulasi kebijakan autentikasi domain akan dicatat di log Azure Active Directory Audit, dan tercermin dalam log Audit Terpadu.

Misalnya, tinjau setiap peristiwa yang terkait dengan Autentikasi himpunan domain di Log Audit Terpadu, log Audit Azure Active Directory, dan/atau lingkungan SIEM Anda untuk memverifikasi bahwa semua aktivitas yang tercantum diharapkan dan direncanakan.
Mendeteksi kredensial untuk aplikasi OAuth Penyerang yang telah mengontrol akun istimewa dapat mencari aplikasi dengan kemampuan untuk mengakses email pengguna mana pun di organisasi, lalu menambahkan info masuk yang dikontrol oleh penyerang ke aplikasi tersebut.

Misalnya, Anda mungkin ingin mencari salah satu aktivitas berikut, yang akan konsisten dengan perilaku penyerang:
- Menambahkan atau memperbarui info masuk utama layanan
- Memperbarui sertifikat dan rahasia aplikasi
- Menambahkan grant penetapan peran aplikasi ke pengguna
- Menambahkan Oauth2PermissionGrant
Mendeteksi akses email menurut aplikasi Cari akses ke email dengan aplikasi di lingkungan Anda. Misalnya, gunakan fitur Audit Microsoft Purview (Premium) untuk menyelidiki akun yang disusupi.
Mendeteksi proses masuk non-interaktif ke prinsipal layanan Laporan masuk Azure Active Directory memberikan detail tentang semua proses masuk non-interaktif yang menggunakan info masuk utama layanan. Misalnya, Anda dapat menggunakan laporan masuk untuk menemukan data berharga untuk penyelidikan Anda, seperti alamat IP yang digunakan oleh penyerang untuk mengakses aplikasi email.

Meningkatkan postur keamanan

Jika peristiwa keamanan telah terjadi di sistem Anda, sebaiknya Anda merenungkan strategi dan prioritas keamanan Anda saat ini.

Penanggap Insiden sering diminta untuk memberikan rekomendasi tentang investasi apa yang harus diprioritaskan organisasi, sekarang telah dihadapkan dengan ancaman baru.

Selain rekomendasi yang didokumentasikan dalam artikel ini, sebaiknya Anda mempertimbangkan untuk memprioritaskan area fokus yang responsif terhadap teknik pasca-eksploitasi yang digunakan oleh penyerang ini dan celah postur keamanan umum yang mengaktifkannya.

Bagian berikut mencantumkan rekomendasi untuk meningkatkan postur keamanan umum dan identitas.

Meningkatkan postur keamanan umum

Sebaiknya lakukan tindakan berikut untuk memastikan postur keamanan umum Anda:

Meningkatkan postur keamanan identitas

Sebaiknya lakukan tindakan berikut untuk memastikan postur keamanan terkait identitas:

  • Tinjau Lima langkah Microsoft untuk mengamankan infrastruktur identitas Anda , dan prioritaskan langkah yang sesuai untuk arsitektur identitas Anda.

  • Pertimbangkan untuk bermigrasi ke Keamanan Default Azure Active Directory untuk kebijakan autentikasi Anda.

  • Hilangkan penggunaan autentikasi warisan organisasi Anda, jika sistem atau aplikasi masih memerlukannya. Untuk informasi selengkapnya, lihat Memblokir autentikasi warisan ke Azure Active Directory dengan Akses Bersyarat.

    Catatan

    Tim Exchange berencana untuk menonaktifkan Autentikasi Dasar untuk protokol EAS, EWS, POP, IMAP, dan RPS pada paruh kedua tahun 2021.

    Sebagai titik kejelasan, Default Keamanan dan Kebijakan Autentikasi terpisah tetapi menyediakan fitur pelengkap.

    Sebaiknya gunakan kebijakan autentikasi untuk menonaktifkan Autentikasi Dasar untuk subset protokol Exchange Online atau secara bertahap menonaktifkan autentikasi dasar di seluruh organisasi besar.

  • Perlakukan infrastruktur ADFS dan infrastruktur AD Connect Anda sebagai aset Tingkat 0.

  • Batasi akses administratif lokal ke sistem, termasuk akun yang digunakan untuk menjalankan layanan ADFS.

    Hak istimewa terkecil yang diperlukan untuk akun yang menjalankan ADFS adalah Penetapan Hak Pengguna Masuk sebagai Layanan.

  • Batasi akses administratif untuk pengguna terbatas dan dari rentang alamat IP terbatas dengan menggunakan kebijakan Windows Firewall untuk Desktop Jauh.

    Sebaiknya Anda menyiapkan kotak lompat Tingkat 0 atau sistem yang setara.

  • Blokir semua akses UKM masuk ke sistem dari mana saja di lingkungan. Untuk informasi selengkapnya, lihat Melampaui Azure Stack Edge: Cara Mengamankan Lalu Lintas UKM di Windows. Sebaiknya Anda juga mengalirkan log Windows Firewall ke SIEM untuk pemantauan historis dan proaktif.

  • Jika Anda menggunakan Akun Layanan dan lingkungan Anda mendukungnya, migrasikan dari Akun Layanan ke grup Akun Layanan Terkelola (gMSA) . Jika Anda tidak dapat pindah ke gMSA, ubah sandi di Akun Layanan menjadi sandi yang rumit.

  • Pastikan pengelogan Verbose diaktifkan pada sistem ADFS Anda. Misalnya, jalankan perintah berikut:

    Set-AdfsProperties -AuditLevel verbose
    Restart-Service -Name adfssrv
    Auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable
    

Memulihkan dan mempertahankan kontrol administratif

Jika penyelidikan Anda telah mengidentifikasi bahwa penyerang memiliki kontrol administratif di cloud organisasi atau lingkungan lokal, Anda harus mendapatkan kembali kontrol sedemikian rupa sehingga Anda dapat memastikan bahwa penyerang tidak persisten.

Bagian ini menyediakan metode dan langkah yang mungkin dapat dipertimbangkan ketika membangun rencana pemulihan kontrol administratif Anda.

Penting

Langkah tepat yang diperlukan dalam organisasi Anda akan bergantung pada seberapa persisten yang Anda temukan dalam penyelidikan Anda, dan seberapa yakin Anda bahwa penyelidikan telah selesai dan telah menemukan semua kemungkinan metode entri dan persistensi.

Pastikan setiap tindakan yang diambil dilakukan dari perangkat tepercaya, yang dibuat dari sumber yang bersih. Misalnya, gunakan workstation akses istimewa yang baru.

Bagian berikut mencakup jenis rekomendasi untuk memulihkan dan mempertahankan kontrol administratif:

  • Menghapus kepercayaan pada server Anda saat ini
  • Merotasi sertifikat penandatanganan token SAML Anda, atau mengganti server ADFS Anda jika diperlukan
  • Aktivitas remediasi khusus untuk lingkungan cloud atau lokal

Menghapus kepercayaan pada server Anda saat ini

Jika organisasi Anda telah kehilangan kendali atas sertifikat penandatanganan token atau kepercayaan federasi, pendekatan yang paling terjamin adalah menghapus kepercayaan, dan beralih ke identitas yang dikuasai cloud sambil melakukan pemulihan lokal.

Menghapus kepercayaan dan beralih ke identitas yang dikuasai cloud membutuhkan perencanaan yang cermat dan pemahaman mendalam tentang efek operasi bisnis identitas pengisolasian. Untuk informasi selengkapnya, lihat Melindungi Microsoft 365 dari serangan lokal.

Merotasi sertifikat penandatanganan token SAML Anda

Jika organisasi Anda memutuskan tidak untuk menghapus kepercayaan saat memulihkan kontrol administratif lokal, Anda harus merotasi sertifikat penandatanganan token SAML setelah mendapatkan kembali kontrol administratif lokal, dan memblokir kemampuan penyerang untuk mengakses sertifikat penandatanganan lagi.

Merotasi sertifikat penandatanganan token satu kali masih memungkinkan sertifikat penandatanganan token sebelumnya berfungsi. Terus mengizinkan sertifikat sebelumnya berfungsi adalah fungsionalitas bawaan untuk rotasi sertifikat normal, yang memungkinkan masa tenggang bagi organisasi untuk memperbarui kepercayaan pihak yang mengandalkan sebelum sertifikat berakhir.

Jika ada serangan, Anda tidak ingin penyerang mempertahankan akses sama sekali. Pastikan untuk menggunakan langkah berikut untuk memastikan bahwa penyerang tidak mempertahankan kemampuan guna memalsukan token untuk domain Anda.

Perhatian

Langkah terakhir dalam prosedur ini yaitu mengeluarkan pengguna dari ponsel mereka, sesi email web saat ini, dan item lain apa pun yang menggunakan token terkait dan token refresh.

Tip

Melakukan langkah ini di lingkungan ADFS Anda membuat sertifikat primer dan sekunder, dan secara otomatis mempromosikan sertifikat sekunder ke primer setelah periode default 5 hari.

Jika Anda memiliki Kepercayaan Pihak Pengandal, hal ini mungkin memiliki pengaruh 5 hari setelah perubahan lingkungan ADFS awal, dan harus diperhitungkan dalam rencana Anda. Anda juga dapat mengatasi ini dengan mengganti sertifikat utama untuk ketiga kalinya, menggunakan tanda Mendesak lagi, dan menghapus sertifikat sekunder atau mematikan rotasi sertifikat otomatis.

Untuk merotasi sertifikat penandatanganan token sepenuhnya, dan mencegah pemalsuan token baru oleh penyerang

  1. Periksa untuk memastikan bahwa parameter AutoCertificateRollover Anda disetel ke True:

    Get-AdfsProperties | FL AutoCert*, Certificate*
    

    Jika AutoCertificateRollover tidak disetel ke True, tetapkan nilainya sebagai berikut:

    Set-ADFSProperties -AutoCertificateRollover $true
    
  2. Sambungkan ke Layanan Online Microsoft:

    Connect-MsolService
    
  3. Jalankan perintah berikut dan catat thumbprint dan tanggal kedaluwarsa sertifikat penandatanganan token lokal dan cloud Anda:

    Get-MsolFederationProperty -DomainName <domain>
    

    Contohnya:

    ...
    [Not Before]
        12/9/2020 7:57:13 PM
    
    [Not After]
        12/9/2021 7:57:13 PM
    
    [Thumbprint]
        3UD1JG5MEFHSBW7HEPF6D98EI8AHNTY22XPQWJFK6
    
  4. Ganti sertifikat penandatanganan token utama menggunakan pengalihan Mendesak. Perintah ini menyebabkan ADFS segera mengganti sertifikat utama, tanpa menjadikannya sertifikat sekunder:

    Update-AdfsCertificate -CertificateType Token-Signing -Urgent
    
  5. Buat sertifikat Penandatanganan Token sekunder, tanpa pengalihan Mendesak. Perintah ini memungkinkan dua sertifikat penandatanganan token lokal sebelum disinkronkan dengan Cloud Microsoft Azure.

    Update-AdfsCertificate -CertificateType Token-Signing
    
  6. Perbarui lingkungan cloud dengan sertifikat primer dan sekunder lokal untuk segera menghapus sertifikat penandatanganan token yang diterbitkan oleh cloud.

    Update-MsolFederatedDomain -DomainName <domain>
    

    Penting

    Jika langkah ini tidak dilakukan menggunakan metode ini, sertifikat penandatanganan token yang lama mungkin masih dapat melakukan autentikasi pengguna.

  7. Untuk memastikan bahwa langkah-langkah ini telah dilakukan dengan benar, verifikasi bahwa sertifikat yang ditampilkan sebelumnya di langkah 3 sekarang telah dihapus:

    Get-MsolFederationProperty -DomainName <domain>
    
  8. Cabut token refresh Anda melalui PowerShell, untuk mencegah akses dengan token lama.

    Untuk informasi selengkapnya, lihat:

Mengganti server ADFS Anda

Jika, alih-alih merotasi sertifikat penandatanganan token SAML, Anda memutuskan untuk mengganti server ADFS dengan sistem bersih, Anda harus menghapus ADFS yang ada dari lingkungan Anda, lalu membangun yang baru.

Untuk informasi selengkapnya, lihat Menghapus konfigurasi.

Aktivitas remediasi cloud

Selain rekomendasi yang tercantum sebelumnya dalam artikel ini, sebaiknya lakukan juga kegiatan berikut untuk lingkungan cloud Anda:

Aktivitas Deskripsi
Atur ulang kata sandi Atur ulang kata sandi pada akun break-glass mana pun dan kurangi jumlah akun break-glass ke minimum absolut yang diperlukan.
Membatasi akun akses istimewa Pastikan akun layanan dan pengguna dengan akses istimewa adalah akun khusus cloud dan jangan gunakan akun lokal yang disinkronkan atau digabungkan ke Azure Active Directory.
Menerapkan MFA Terapkan Autentikasi Multifaktor (MFA) di semua pengguna yang meningkat di penyewa. Sebaiknya terapkan MFA kepada semua pengguna di penyewa.
Membatasi akses administratif Terapkan Azure Active Directory Privileged Identity Management (PIM) dan akses bersyarat untuk membatasi akses administratif.

Untuk pengguna Microsoft 365, terapkan Privileged Access Management (PAM) untuk membatasi akses ke kemampuan sensitif, seperti eDiscovery, Admin Global, Administrasi Akun, dan lainnya.
Tinjau / kurangi izin yang didelegasikan dan pemberian izin Tinjau dan kurangi semua izin yang didelegasikan Aplikasi Perusahaan atau pemberian izin yang memungkinkan salah satu fungsi berikut:

- Memodifikasi pengguna dan peran istimewa
- Membaca, mengirim email, atau mengakses semua kotak email
- Mengakses konten OneDrive, Teams, atau SharePoint
- Menambahkan perwakilan layanan yang dapat membaca/menulis ke direktori
- Izin Aplikasi versus Akses yang Didelegasikan

Aktivitas remediasi lokal

Selain rekomendasi yang tercantum sebelumnya dalam artikel ini, sebaiknya lakukan juga aktivitas berikut untuk lingkungan cloud lokal Anda:

Aktivitas Deskripsi
Membangun kembali sistem yang terpengaruh Membangun kembali sistem yang diidentifikasi telah disusupi oleh penyerang selama penyelidikan Anda.
Menghapus pengguna admin yang tidak perlu Hapus anggota yang tidak perlu dari grup Admin Domain, Operator Microsoft Azure Backup, dan Admin Perusahaan. Untuk informasi selengkapnya, lihat Mengamankan Akses Istimewa.
Mengatur ulang kata sandi ke akun istimewa Atur ulang kata sandi dari semua akun istimewa di lingkungan.

Catatan: Akun istimewa tidak terbatas pada grup bawaan, tetapi juga dapat berupa grup yang didelegasikan akses ke administrasi server, administrasi stasiun kerja, atau area lain di lingkungan Anda.
Mengatur ulang akun krbtgt Atur ulang akun krbtgt dua kali menggunakan skrip New-KrbtgtKeys.

Catatan: Jika Anda menggunakan Pengontrol Domain Baca-Saja, Anda harus menjalankan skrip secara terpisah untuk Pengontrol Domain Baca-Tulis dan untuk Pengontrol Domain Baca-Saja.
Menjadwalkan waktu menghidupkan ulang sistem Setelah Anda memvalidasi bahwa tidak ada mekanisme persistensi yang dibuat oleh penyerang yang ada atau tetap ada di sistem Anda, jadwalkan waktu menghidupkan ulang sistem untuk membantu menghapus malware residen RAM.
Mengatur ulang kata sandi DSRM Atur ulang kata sandi DSRM (Mode Pemulihan Layanan Direktori) setiap pengontrol domain menjadi sesuatu yang unik dan kompleks.

Memperbaiki atau memblokir persistensi yang ditemukan selama investigasi

Investigasi adalah proses berulang, dan Anda harus menyeimbangkan keinginan organisasi untuk memperbaiki saat Anda mengidentifikasi anomali dan kemungkinan bahwa remediasi akan mengingatkan penyerang akan deteksi Anda dan memberi mereka waktu untuk bereaksi.

Misalnya, penyerang yang menyadari deteksi dapat mengubah teknik atau membuat lebih banyak persistensi.

Pastikan untuk memperbaiki teknik persistensi yang telah Anda identifikasi pada tahap awal penyelidikan.

Memperbaiki akses akun pengguna dan layanan

Selain saran tindakan yang tercantum di atas, sebaiknya Anda mempertimbangkan langkah-langkah berikut untuk memperbaiki dan memulihkan akun pengguna:

  • Menerapkan akses bersyarat berdasarkan perangkat tepercaya. Jika memungkinkan, sebaiknya Anda menerapkan akses bersyarat berbasis lokasi agar sesuai dengan persyaratan organisasi Anda.

  • Atur ulang kata sandi setelah pengusiran untuk setiap akun pengguna yang mungkin telah disusupi. Pastikan juga untuk menerapkan rencana jangka menengah untuk menyetel ulang info masuk untuk semua akun di direktori Anda.

  • Cabut token refresh segera setelah merotasi info masuk Anda.

    Untuk informasi selengkapnya, lihat:

Langkah berikutnya

  • Dapatkan bantuan dari dalam produk Microsoft, termasuk portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, dan Pusat Kepatuhan & Keamanan Office 365 dengan memilih Bantuan tombol (?) di bilah navigasi atas.

  • Untuk bantuan penyebaran, hubungi kami di FastTrack

  • Jika Anda memiliki kebutuhan terkait dukungan produk, ajukan kasus dukungan Microsoft.

    Penting

    Jika Anda yakin bahwa Anda telah disusupi dan memerlukan bantuan melalui respons insiden, buka kasus dukungan Microsoft Sev A.