Memahami pemberitahuan keamanan

Microsoft Defender untuk Identitas pemberitahuan keamanan menjelaskan dalam bahasa dan grafik yang jelas, aktivitas mencurigakan mana yang diidentifikasi di jaringan Anda dan aktor dan komputer yang terlibat dalam ancaman. Pemberitahuan dinilai untuk tingkat keparahan, dikodekan warna untuk membuatnya mudah difilter secara visual, dan diatur menurut fase ancaman. Setiap pemberitahuan dirancang untuk membantu Anda memahami dengan cepat apa yang terjadi di jaringan Anda. Daftar bukti pemberitahuan berisi tautan langsung ke pengguna dan komputer yang terlibat, untuk membantu mempermudah dan mengarahkan investigasi Anda.

Dalam artikel ini, Anda akan mempelajari struktur pemberitahuan keamanan Defender for Identity, dan cara menggunakannya.

• Struktur pemberitahuan keamanan
• Klasifikasi pemberitahuan keamanan
• Kategori pemberitahuan keamanan
• Investigasi Pemberitahuan Keamanan Tingkat Lanjut
• Entitas terkait
• Defender untuk Identitas dan NNR (Resolusi Nama Jaringan)

Struktur pemberitahuan keamanan

Setiap pemberitahuan keamanan Defender for Identity menyertakan cerita Pemberitahuan. Ini adalah rantai peristiwa yang terkait dengan pemberitahuan ini dalam urutan kronologis, dan informasi penting lainnya yang terkait dengan pemberitahuan.

Pada halaman pemberitahuan, Anda dapat:

• Kelola pemberitahuan - ubah status, penugasan, dan klasifikasi pemberitahuan. Anda juga dapat menambahkan komentar di sini.

• Ekspor - unduh laporan Excel terperinci untuk analisis

• Tautkan pemberitahuan ke insiden lain - tautkan pemberitahuan ke insiden baru yang sudah ada

  

Untuk informasi selengkapnya tentang pemberitahuan, lihat Menyelidiki pemberitahuan di Microsoft Defender XDR.

Klasifikasi pemberitahuan keamanan

Setelah penyelidikan yang tepat, semua pemberitahuan keamanan Defender for Identity dapat diklasifikasikan sebagai salah satu jenis aktivitas berikut:

• True positive (TP): Tindakan berbahaya yang terdeteksi oleh Defender for Identity.

• Positif sejati jinak (B-TP): Tindakan yang terdeteksi oleh Defender for Identity yang nyata, tetapi tidak berbahaya, seperti tes penetrasi atau aktivitas yang diketahui yang dihasilkan oleh aplikasi yang disetujui.

• Positif palsu (FP): Alarm palsu, yang berarti aktivitas tidak terjadi.

Apakah pemberitahuan keamanan adalah TP, B-TP, atau FP

Untuk setiap pemberitahuan, ajukan pertanyaan berikut untuk menentukan klasifikasi pemberitahuan dan membantu memutuskan apa yang harus dilakukan selanjutnya:

1. Seberapa umum pemberitahuan keamanan khusus ini di lingkungan Anda?
2. Apakah pemberitahuan dipicu oleh jenis komputer atau pengguna yang sama? Misalnya, server dengan peran atau pengguna yang sama dari grup/departemen yang sama? Jika komputer atau pengguna serupa, Anda dapat memutuskan untuk mengecualikannya untuk menghindari pemberitahuan FP tambahan di masa mendatang.

Catatan

Peningkatan pemberitahuan dari jenis yang sama persis biasanya mengurangi tingkat pemberitahuan yang mencurigakan/penting. Untuk pemberitahuan berulang, verifikasi konfigurasi, dan gunakan detail dan definisi pemberitahuan keamanan untuk memahami dengan tepat apa yang terjadi yang memicu pengulangan.

Kategori pemberitahuan keamanan

Pemberitahuan keamanan Defender for Identity dibagi menjadi kategori atau fase berikut, seperti fase yang terlihat dalam rantai pembunuhan serangan cyber yang khas. Pelajari selengkapnya tentang setiap fase dan pemberitahuan yang dirancang untuk mendeteksi setiap serangan, menggunakan tautan berikut:

• Pemberitahuan pengintaian
• Pemberitahuan kredensial yang disusupi
• Pemberitahuan gerakan lateral
• Pemberitahuan dominasi domain
• Pemberitahuan eksfiltrasi

Investigasi pemberitahuan keamanan tingkat lanjut

Untuk mendapatkan detail selengkapnya tentang pemberitahuan keamanan, pilih Ekspor pada halaman detail pemberitahuan untuk mengunduh laporan pemberitahuan Excel terperinci.

File yang diunduh mencakup detail ringkasan tentang pemberitahuan pada tab pertama, termasuk:

• Judul
• Deskripsi
• Waktu Mulai (UTC)
• Waktu Selesai (UTC)
• Tingkat keparahan – Rendah/Sedang/Tinggi
• Status – Terbuka/Ditutup
• Waktu Pembaruan Status (UTC)
• Melihat di browser

Semua entitas yang terlibat, termasuk akun, komputer, dan sumber daya dicantumkan, dipisahkan oleh peran mereka. Detail disediakan untuk entitas sumber, tujuan, atau yang diserang, tergantung pada pemberitahuan.

Sebagian besar tab menyertakan data berikut per entitas:

• Nama

• Detail

• Jenis

• SamName

• Komputer Sumber

• Pengguna Sumber (jika tersedia)

• Pengendali domain

• Sumber Daya yang Diakses: Waktu, Komputer, Nama, Detail, Jenis, Layanan.

• Entitas terkait: ID, Jenis, Nama, Entitas Unik Json, Json Profil Entitas Unik

• Semua aktivitas mentah yang diambil oleh Defender untuk Sensor Identitas yang terkait dengan pemberitahuan (aktivitas jaringan atau peristiwa) termasuk:

  • Aktivitas Jaringan
  • Aktivitas Acara

Beberapa pemberitahuan memiliki tab tambahan, seperti detail tentang:

• Menyerang akun ketika serangan yang dicurigai menggunakan Brute Force.
• Server Domain Name System (DNS) ketika dicurigai diserang melibatkan pengintaian pemetaan jaringan (DNS).

Contohnya:

Entitas terkait

Di setiap pemberitahuan, tab terakhir menyediakan Entitas Terkait. Entitas terkait adalah semua entitas yang terlibat dalam aktivitas yang mencurigakan, tanpa pemisahan "peran" yang mereka mainkan dalam pemberitahuan. Setiap entitas memiliki dua file Json, Json Entitas Unik dan Json Profil Entitas Unik. Gunakan kedua file Json ini untuk mempelajari lebih lanjut tentang entitas dan untuk membantu Anda menyelidiki pemberitahuan.

File Json Entitas Unik

Menyertakan data Defender for Identity yang dipelajari dari Direktori Aktif tentang akun tersebut. Ini termasuk semua atribut seperti Distinguished Name, SID, LockoutTime, dan PasswordExpiryTime. Untuk akun pengguna, menyertakan data seperti Departemen, Mail, dan Telepon Number. Untuk akun komputer, menyertakan data seperti OperatingSystem, IsDomainController, dan DnsName.

File Json Profil Entitas Unik

Menyertakan semua data Defender untuk Identitas yang difilmkan pada entitas. Defender for Identity menggunakan aktivitas jaringan dan peristiwa yang diambil untuk mempelajari pengguna dan komputer lingkungan. Profil Defender untuk Identitas informasi yang relevan per entitas. Informasi ini berkontribusi pada kemampuan identifikasi ancaman Defender for Identity.

Bagaimana cara menggunakan informasi Defender for Identity dalam penyelidikan?

Investigasi dapat sedetail yang diperlukan. Berikut adalah beberapa ide cara untuk menyelidiki menggunakan data yang disediakan oleh Defender for Identity.

• Periksa apakah semua pengguna terkait termasuk dalam grup atau departemen yang sama.
• Apakah pengguna terkait berbagi sumber daya, aplikasi, atau komputer?
• Apakah akun aktif meskipun PasswordExpiryTime-nya sudah berlalu?

Defender untuk Identitas dan NNR (Resolusi Nama Jaringan)

Kemampuan deteksi Pertahanan untuk Identitas mengandalkan Resolusi Nama Jaringan (NNR) aktif untuk menyelesaikan IP ke komputer di organisasi Anda. Dengan menggunakan NNR, Defender for Identity dapat berkorelasi antara aktivitas mentah (berisi alamat IP), dan komputer yang relevan yang terlibat dalam setiap aktivitas. Berdasarkan aktivitas mentah, entitas profil Defender for Identity, termasuk komputer, dan menghasilkan pemberitahuan.

Data NNR sangat penting untuk mendeteksi pemberitahuan berikut:

• Dugaan pencurian identitas (pass-the-ticket)
• Dugaan serangan DCSync (replikasi layanan direktori)
• Pengintaian pemetaan jaringan (DNS)

Gunakan informasi NNR yang disediakan di tab Aktivitas Jaringan dari laporan unduhan pemberitahuan, untuk menentukan apakah pemberitahuan adalah FP. Dalam kasus pemberitahuan FP , adalah umum untuk memiliki hasil kepastian NNR yang diberikan dengan keyakinan rendah.

Data laporan unduhan muncul dalam dua kolom:

• Komputer Sumber/Tujuan

  • Kepastian – kepastian resolusi rendah dapat menunjukkan resolusi nama yang salah.

• Komputer Sumber/Tujuan

  • Metode resolusi – menyediakan metode NNR yang digunakan untuk menyelesaikan IP ke komputer dalam organisasi.

Untuk informasi selengkapnya tentang cara bekerja dengan pemberitahuan keamanan Defender for Identity, lihat Bekerja dengan pemberitahuan keamanan.

Konten terkait

• Menyelidiki pengguna
• Menyelidiki komputer
• Bekerja dengan jalur gerakan lateral
• Lihat forum Defender for Identity!