Panduan operasi keamanan Microsoft Entra untuk aplikasi
Aplikasi menyediakan permukaan serangan untuk pelanggaran keamanan dan harus dipantau. Meskipun tidak ditargetkan sesering akun pengguna, pelanggaran dapat terjadi. Karena aplikasi sering berjalan tanpa intervensi manusia, serangan mungkin lebih sulit dideteksi.
Artikel ini memberikan panduan untuk memantau dan memberi tahu tentang peristiwa aplikasi. Hal ini diperbarui secara teratur untuk membantu memastikan Anda:
Mencegah aplikasi berbahaya mendapatkan akses yang tidak dijamin ke data
Mencegah aplikasi disusupi oleh pelaku kejahatan
Mengumpulkan wawasan yang memungkinkan Anda membangun dan mengonfigurasi aplikasi baru dengan lebih aman
Jika Anda tidak terbiasa dengan cara kerja aplikasi di ID Microsoft Entra, lihat Aplikasi dan perwakilan layanan di ID Microsoft Entra.
Catatan
Jika Anda belum meninjau gambaran umum operasi keamanan Microsoft Entra, pertimbangkan untuk melakukannya sekarang.
Apa yang harus dicari
Saat Anda memantau log aplikasi untuk mencari insiden keamanan, tinjau daftar berikut untuk membantu membedakan aktivitas normal dengan aktivitas berbahaya. Peristiwa berikut mungkin menunjukkan masalah keamanan. Masing-masing dibahas dalam artikel.
Setiap perubahan yang terjadi di luar proses dan jadwal bisnis normal
Perubahan info masuk aplikasi
Izin aplikasi
Perwakilan layanan yang ditetapkan ke ID Microsoft Entra atau peran kontrol akses berbasis peran Azure (RBAC)
Aplikasi yang diberi izin yang sangat istimewa
Perubahan Azure Key Vault
Pengguna akhir yang memberi persetujuan aplikasi
Persetujuan pengguna akhir yang dihentikan berdasarkan tingkat risiko
Perubahan konfigurasi aplikasi
Pengidentifikasi sumber daya universal (URI) berubah atau tidak standar
Perubahan pada pemilik aplikasi
URL keluar diubah
Tempat mencari
File log yang Anda gunakan untuk menyelidiki dan memantau adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain, yang memungkinkan lebih banyak otomatisasi pemantauan dan peringatan:
Microsoft Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).
Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Jika ada templat Sigma untuk kriteria pencarian yang direkomendasikan, kami telah menambahkan tautan ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, serta memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Pratinjau Perlindungan Identitas - mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sebagian besar yang Anda pantau dan beritahukan adalah efek dari kebijakan Akses Bersyarat Anda. Anda dapat menggunakan Wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau lebih kebijakan Akses Bersyarat pada rincian masuk, dan hasil kebijakan termasuk kondisi perangkat Anda. Gunakan buku kerja untuk menampilkan ringkasan, dan mengidentifikasi efek selama periode waktu tertentu. Anda dapat menggunakan buku kerja untuk menyelidiki proses masuk pengguna tertentu.
Sisa dari artikel ini adalah apa yang kami sarankan agar Anda pantau dan waspadai. Artikel ini disusun berdasarkan jenis ancaman. Di mana ada solusi bawaan yang dibangun sebelumnya yang kami tautkan ke rekomendasi tersebut atau memberikan sampel mengikuti tabel. Atau, Anda dapat membangun pemberitahuan menggunakan alat sebelumnya.
Info masuk aplikasi
Banyak aplikasi menggunakan kredensial untuk mengautentikasi di ID Microsoft Entra. Setiap informasi masuk lain yang ditambahkan di luar proses yang diharapkan bisa menjadi aktor jahat yang menggunakan info masuk tersebut. Sebaiknya menggunakan sertifikat X509 yang diterbitkan oleh otoritas tepercaya atau Identitas Terkelola, bukan menggunakan rahasia klien. Namun, jika Anda harus menggunakan rahasia klien, ikuti praktik terbaik untuk menjaga aplikasi tetap aman. Perhatikan bahwa pembaruan perwakilan layanan dan aplikasi dicatat sebagai dua entri dalam log audit.
Pantau aplikasi untuk mengidentifikasi waktu kedaluwarsa informasi masuk yang panjang.
Ganti info masuk berdurasi panjang dengan yang memiliki durasi kedaluwarsa yang pendek. Pastikan bahwa info masuk tidak diterapkan dalam repositori kode dan disimpan dengan aman.
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Info masuk yang ditambahkan ke aplikasi yang sudah ada | Sangat Penting | Log audit Microsoft Entra | Direktori Service-Core, Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi-Sertifikat dan pengelolaan rahasia -dan- Aktivitas: Memperbarui Perwakilan layanan/Memperbarui Aplikasi |
Peringatan saat kredensial: ditambahkan di luar jam kerja atau alur kerja normal, dari jenis yang tidak digunakan di lingkungan Anda, atau ditambahkan ke perwakilan layanan pendukung alur non-SAML. Templat Microsoft Sentinel Aturan sigma |
Info masuk dengan masa pakai lebih lama dari yang diizinkan oleh kebijakan Anda. | Medium | Microsoft Graph | Status dan tanggal akhir info masuk Kunci Aplikasi -dan- Info masuk kata sandi aplikasi |
Anda dapat menggunakan MS Graph API untuk menemukan tanggal mulai dan akhir info masuk, serta mengevaluasi info masuk tersebut yang memiliki masa pakai yang lebih lama dari yang diizinkan. Lihat skrip PowerShell setelah tabel ini. |
Pemantauan dan pemberitahuan standar berikut tersedia:
Microsoft Sentinel–Memberi tahu saat info masuk perwakilan layanan atau aplikasi baru ditambahkan
Azure Monitor – Buku kerja Microsoft Entra untuk membantu Anda menilai risiko Solorigate - Komunitas Teknologi Microsoft
Pertahanan Microsoft untuk Aplikasi Cloud–Deteksi anomali Pertahanan Microsoft untuk Aplikasi Cloud memberi tahu panduan investigasi
PowerShell - Contoh skrip PowerShell untuk menemukan masa pakai info masuk.
Izin aplikasi
Seperti akun administrator, aplikasi dapat diberi peran istimewa. Aplikasi dapat diberi peran Microsoft Entra apa pun, seperti Administrator Pengguna, atau peran Azure RBAC seperti Pembaca Penagihan. Karena mereka dapat berjalan tanpa pengguna, dan sebagai layanan latar belakang, pantau dengan cermat ketika aplikasi diberikan peran atau izin istimewa.
Perwakilan layanan yang ditetapkan untuk peran
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Aplikasi yang ditetapkan ke peran Azure RBAC, atau peran Microsoft Entra | Tinggi hingga Medium | Log audit Microsoft Entra | Jenis: perwakilan layanan Aktivitas: "Tambahkan anggota ke peran" atau “Tambahkan anggota yang memenuhi syarat ke peran” -atau- “Tambahkan anggota yang tercakup ke peran.” |
Untuk peran yang sangat istimewa, risikonya tinggi. Untuk peran istimewa yang lebih rendah, risikonya sedang. Pemberitahuan kapan saja aplikasi ditetapkan ke peran Azure atau peran Microsoft Entra di luar manajemen perubahan normal atau prosedur konfigurasi. Templat Microsoft Sentinel Aturan sigma |
Aplikasi yang diberi izin yang sangat istimewa
Aplikasi harus mengikuti prinsip hak istimewa minimal. Selidiki izin aplikasi untuk memastikan izin tersebut benar-benar dibutuhkan. Anda dapat membuat laporan pemberian persetujuan aplikasi untuk membantu mengidentifikasi aplikasi dan menyoroti izin istimewa.
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Aplikasi yang diberi izin yang sangat istimewa, seperti izin dengan ".All" (Directory.ReadWrite.All) atau izin luas (Mail.) | Sangat Penting | Log audit Microsoft Entra | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", - dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) -dan- AppRole.Value mengidentifikasi izin aplikasi yang sangat istimewa (peran aplikasi). |
Aplikasi yang diberi izin luas seperti ".All" (Directory.ReadWrite.All) atau izin luas (Mail.) Templat Microsoft Sentinel Aturan sigma |
Administrator yang memberikan izin delegasi sangat istimewa atau izin aplikasi (peran aplikasi) | Sangat Penting | Portal Microsoft 365 | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) "Tambahkan pemberian izin yang didelegasikan", -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) -dan- DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi. |
Pemberitahuan saat administrator menyetujui aplikasi. Khususnya cari persetujuan di luar aktivitas normal dan ubah prosedur. Templat Microsoft Sentinel Templat Microsoft Sentinel Templat Microsoft Sentinel Aturan sigma |
Aplikasi diberikan izin untuk Microsoft Graph, Exchange, SharePoint, atau ID Microsoft Entra. | Sangat Penting | Log audit Microsoft Entra | "Tambahkan pemberian izin yang didelegasikan" -atau- "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph, Exchange Online, dan sebagainya) |
Pemberitahuan seperti pada baris sebelumnya. Templat Microsoft Sentinel Aturan sigma |
Izin aplikasi (peran aplikasi) untuk API lainnya diberikan | Medium | Log audit Microsoft Entra | "Tambahkan penetapan peran aplikasi ke perwakilan layanan", -dengan keterangan- Target mengidentifikasi API lainnya. |
Pemberitahuan seperti pada baris sebelumnya. Aturan sigma |
Izin delegasi yang sangat istimewa diberikan atas nama semua pengguna | Sangat Penting | Log audit Microsoft Entra | "Tambahkan pemberian izin yang didelegasikan", di mana Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph), DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi, -dan- DelegatedPermissionGrant.ConsentType adalah “AllPrincipals”. |
Pemberitahuan seperti pada baris sebelumnya. Templat Microsoft Sentinel Templat Microsoft Sentinel Templat Microsoft Sentinel Aturan sigma |
Untuk informasi selengkapnya tentang pemantauan izin aplikasi, lihat tutorial ini: Menyelidiki dan memulihkan aplikasi OAuth yang berisiko.
Azure Key Vault
Gunakan Azure Key Vault untuk menyimpan rahasia penyewa Anda. Sebaiknya berikan perhatian pada setiap perubahan pada konfigurasi dan aktivitas Key Vault.
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Cara dan waktu Key Vault Anda diakses dan oleh siapa | Medium | Log Azure Key Vault | Jenis sumber daya: Key Vault | Cari: setiap akses ke Key Vault di luar proses dan jam reguler, setiap perubahan pada ACL Key Vault. Templat Microsoft Sentinel Aturan sigma |
Setelah Anda menyiapkan Azure Key Vault, aktifkan pengelogan. Lihat cara dan waktu Key Vault Anda diakses, dan mengonfigurasi pemberitahuan di Key Vault untuk memberi tahu pengguna yang ditetapkan atau daftar distribusi melalui pemberitahuan email, panggilan telepon, SMS, atau Event Grid jika kesehatan terpengaruh. Sebagai tambahan, menyiapkan pemantauan dengan wawasan Key Vault memberi Anda snapshot tentang permintaan Key Vault, performa, kegagalan, dan latensi. Log Analytics juga memiliki beberapa contoh kueri untuk Azure Key Vault yang dapat diakses setelah memilih Key Vault Anda, lalu di bagian “Pemantauan” memilih “Log”.
Persetujuan pengguna akhir
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Persetujuan pengguna akhir untuk aplikasi | Kurang Penting | Log audit Microsoft Entra | Aktivitas: Persetujuan untuk aplikasi / ConsentContext.IsAdminConsent = false | Cari: akun profil tinggi atau sangat istimewa, aplikasi meminta izin berisiko tinggi, aplikasi dengan nama yang mencurigakan, misalnya generik, salah eja, dan sebagainya. Templat Microsoft Sentinel Aturan sigma |
Tindakan menyetujui untuk aplikasi tidak berbahaya. Namun, selidiki pemberian persetujuan pengguna akhir baru dengan mencari aplikasi yang mencurigakan. Anda dapat membatasi operasi persetujuan pengguna.
Untuk informasi selengkapnya tentang operasi persetujuan, lihat sumber daya berikut:
Mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan di ID Microsoft Entra
Mendeteksi dan Memulihkan Pemberian Persetujuan Terlarang - Office 365
Playbook respons insiden - Investigasi pemberian persetujuan aplikasi
Pengguna akhir dihentikan karena persetujuan berbasis risiko
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Persetujuan pengguna akhir dihentikan karena persetujuan berbasis risiko | Medium | Log audit Microsoft Entra | Direktori Inti/Pengelolaan Aplikasi/Persetujuan untuk aplikasi Alasan status kegagalan = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Pantau dan analisis setiap kali persetujuan dihentikan karena risiko. Cari: akun profil tinggi atau sangat istimewa, aplikasi meminta izin berisiko tinggi, atau aplikasi dengan nama yang mencurigakan, misalnya generik, salah eja, dan sebagainya. Templat Microsoft Sentinel Aturan sigma |
Alur autentikasi aplikasi
Ada beberapa alur dalam protokol OAuth 2.0. Alur yang disarankan untuk aplikasi tergantung pada jenis aplikasi yang sedang dibangun. Dalam beberapa kasus, ada pilihan alur yang tersedia untuk aplikasi. Untuk kasus ini, beberapa alur autentikasi direkomendasikan daripada yang lain. Secara khusus, hindari kredensial kata sandi pemilik sumber daya (ROPC) karena ini mengharuskan pengguna untuk mengekspos kredensial kata sandi mereka saat ini ke aplikasi. Aplikasi kemudian menggunakan info masuk tersebut untuk mengautentikasi pengguna terhadap IdP. Sebagian besar aplikasi harus menggunakan alur kode autentikasi, atau alur kode autentikasi dengan Proof Key for Code Exchange (PKCE), karena alur ini direkomendasikan.
Satu-satunya skenario yang disarankan ROPC adalah untuk pengujian aplikasi secara otomatis. Lihat Menjalankan pengujian integrasi otomatis untuk detailnya.
Alur kode perangkat adalah alur protokol OAuth 2.0 lain untuk perangkat dengan input terbatas dan tidak digunakan di semua lingkungan. Saat alur kode perangkat muncul di lingkungan, dan tidak digunakan dalam skenario perangkat yang dibatasi input. Penyelidikan lebih lanjut dijaga untuk aplikasi yang salah dikonfigurasi atau berpotensi sesuatu yang berbahaya. Alur kode perangkat juga dapat diblokir atau diizinkan di Akses Bersyar. Lihat Alur autentikasi Akses Bersyarah untuk detailnya.
Pantau autentikasi aplikasi menggunakan formasi berikut:
Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Aplikasi yang menggunakan alur autentikasi ROPC | Medium | Log masuk Microsoft Entra | Status=Berhasil Protokol Autentikasi-ROPC |
Tingkat kepercayaan yang tinggi sedang ditempatkan dalam aplikasi ini karena info masuk dapat di-cache atau disimpan. Pindahkan jika memungkinkan ke alur autentikasi yang lebih aman. Hal ini hanya boleh digunakan dalam pengujian aplikasi otomatis, jika ada. Untuk informasi selengkapnya, lihat Platform identitas Microsoft dan Info masuk Kata Sandi Pemilik Sumber Daya OAuth 2.0 Aturan sigma |
Aplikasi yang menggunakan alur kode Perangkat | Rendah hingga sedang | Log masuk Microsoft Entra | Status=Berhasil Kode Perangkat-Protokol Autentikasi |
Alur kode perangkat digunakan untuk perangkat dengan input terbatas yang mungkin tidak ada di semua lingkungan. Jika alur kode perangkat yang berhasil muncul, tanpa perlu, selidiki validitasnya. Untuk informasi selengkapnya, lihat Platform identitas Microsoft dan alur pemberian otorisasi perangkat OAuth 2.0 Aturan sigma |
Perubahan konfigurasi aplikasi
Memantau perubahan pada konfigurasi aplikasi. Khususnya, perubahan konfigurasi pada pengidentifikasi sumber daya seragam (URI), kepemilikan, dan URL keluar.
Perubahan URI Menggantung dan URI Pengalihan
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
URI Menggantung | Sangat Penting | Log Microsoft Entra dan Pendaftaran Aplikasi | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Memperbarui Aplikasi Sukses – Nama Properti AppAddress |
Misalnya, cari URI menggantung yang mengarah ke nama domain yang tidak lagi ada atau yang tidak Anda miliki secara eksplisit. Templat Microsoft Sentinel Aturan sigma |
Perubahan konfigurasi URI pengalihan | Sangat Penting | Log Microsoft Entra | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Memperbarui Aplikasi Sukses – Nama Properti AppAddress |
Cari URI yang tidak menggunakan HTTPS*, URIS dengan kartubebas di akhir atau domain URL, URI yang TIDAK unik untuk aplikasi, URI yang mengarah ke domain yang tidak Anda kontrol. Templat Microsoft Sentinel Aturan sigma |
Pemberitahuan saat perubahan ini terdeteksi.
URI AppID ditambahkan, diubah, atau dihapus
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Perubahan pada URI AppID | Sangat Penting | Log Microsoft Entra | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Memperbarui Aplikasi Aktivitas: Memperbarui Perwakilan layanan |
Cari modifikasi URI AppID, seperti menambahkan, memodifikasi, atau menghapus URI. Templat Microsoft Sentinel Aturan sigma |
Pemberitahuan saat perubahan ini terdeteksi di luar prosedur manajemen perubahan yang disetujui.
Pemilik baru
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Perubahan pada pemilik aplikasi | Medium | Log Microsoft Entra | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Menambahkan pemilik ke aplikasi |
Cari semua instans pengguna yang ditambahkan sebagai pemilik aplikasi di luar aktivitas pengelolaan perubahan normal. Templat Microsoft Sentinel Aturan sigma |
URL keluar diubah atau dihapus
Yang harus dipantau | Tingkat Risiko | Di mana | Filter/sub-filter | Catatan |
---|---|---|---|---|
Perubahan pada URL keluar | Kurang Penting | Log Microsoft Entra | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Memperbarui Aplikasi -dan- Aktivitas: Memperbarui perwakilan layanan |
Cari perubahan apa pun pada URL keluar. Entri kosong atau entri ke lokasi yang tidak ada akan mencegah pengguna mengakhiri sesi. Templat Microsoft Sentinel Aturan sigma |
Sumber
Toolkit GitHub Microsoft Entra - https://github.com/microsoft/AzureADToolkit
Ringkasan keamanan Azure Key Vault dan panduan keamanan - Ringkasan keamanan Azure Key Vault
Solorigate risk information and tools - Buku kerja Microsoft Entra untuk membantu Anda mengakses risiko Solorigate
Panduan deteksi serangan OAuth - Penambahan info masuk yang tidak biasa ke aplikasi OAuth
Informasi konfigurasi pemantauan Microsoft Entra untuk SIEM - Alat mitra dengan integrasi Azure Monitor
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management