Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Aktivitas identitas konsumen adalah area penting bagi organisasi Anda untuk melindungi dan memantau. Artikel ini untuk penyewa Azure Active Directory B2C (Azure AD B2C) dan memiliki panduan untuk memantau aktivitas akun konsumen. Kegiatan tersebut adalah:
- Akun konsumen
- Akun istimewa
- Aplikasi
- Infrastruktur
Sebelum Anda mulai
Sebelum menggunakan panduan dalam artikel ini, kami sarankan Anda membaca, panduan operasi keamanan Microsoft Entra.
Menentukan garis dasar
Untuk menemukan perilaku anomali, tentukan perilaku normal dan yang diharapkan. Menentukan perilaku yang diharapkan untuk organisasi Anda membantu Anda menemukan perilaku tak terduga. Gunakan definisi untuk membantu mengurangi positif palsu, selama pemantauan dan pemberitahuan.
Dengan perilaku yang diharapkan ditentukan, lakukan pemantauan garis besar untuk memvalidasi harapan. Kemudian, pantau log untuk apa yang jatuh di luar toleransi.
Untuk akun yang dibuat di luar proses normal, gunakan log audit Microsoft Entra, log masuk Microsoft Entra, dan atribut direktori sebagai sumber data Anda. Saran berikut dapat membantu Anda menentukan normal.
Pembuatan akun konsumen
Evaluasi daftar berikut:
- Strategi dan prinsip alat dan proses untuk membuat dan mengelola akun konsumen
- Misalnya, atribut dan format standar yang diterapkan ke atribut akun konsumen
- Sumber yang disetujui untuk pembuatan akun.
- Misalnya, onboarding kebijakan kustom, provisi pelanggan, atau alat migrasi
- Strategi pemberitahuan untuk akun yang dibuat di luar sumber yang disetujui.
- Membuat daftar organisasi terkontrol yang berkolaborasi dengan organisasi Anda
- Parameter strategi dan pemberitahuan untuk akun yang dibuat, dimodifikasi, atau dinonaktifkan oleh administrator akun konsumen yang tidak disetujui
- Strategi pemantauan dan pemberitahuan untuk akun konsumen yang kehilangan atribut standar, seperti nomor pelanggan, atau tidak mengikuti konvensi penamaan organisasi
- Strategi, prinsip, dan proses untuk penghapusan dan retensi akun
Tempat mencari
Gunakan file log untuk menyelidiki dan memantau. Lihat artikel berikut ini untuk informasi selengkapnya:
- Log audit di MICROSOFT Entra ID
- Log masuk di ID Microsoft Entra (pratinjau)
- Cara: Menyelidiki Risiko
Log audit dan alat otomatisasi
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). Gunakan portal Azure untuk mengintegrasikan log Microsoft Entra dengan alat lain untuk mengotomatiskan pemantauan dan pemberitahuan:
- Microsoft Sentinel – analitik keamanan dengan kemampuan manajemen informasi dan peristiwa keamanan (SIEM)
- Aturan sigma - standar terbuka untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Jika ada templat Sigma untuk kriteria pencarian yang direkomendasikan, kami menambahkan tautan ke repositori Sigma. Microsoft tidak menulis, menguji, atau mengelola templat Sigma. Repositori dan templat dibuat, dan dikumpulkan, oleh komunitas keamanan TI.
- Azure Monitor – pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
- Azure Event Hubs terintegrasi dengan SIEM - mengintegrasikan log Microsoft Entra dengan SIEM seperti Splunk, ArcSight, QRadar, dan Sumo Logic dengan Azure Event Hubs
- Microsoft Defender untuk Cloud Apps – menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, serta menyesuaikan kepatuhan aplikasi cloud
- Microsoft Entra ID Protection - mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator kompromi offline
Gunakan sisa artikel untuk rekomendasi tentang apa yang harus dipantau dan diberi tahu. Lihat tabel, diatur menurut jenis ancaman. Lihat tautan ke solusi atau sampel bawaan mengikuti tabel. Buat pemberitahuan menggunakan alat yang disebutkan sebelumnya.
Akun konsumen
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Sejumlah besar pembuatan atau penghapusan akun | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil Dimulai oleh (pelaku) = Layanan CPIM -dan- Aktivitas: Hapus pengguna Status = berhasil Dimulai oleh (pelaku) = Layanan CPIM |
Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda. Batasi pemberitahuan palsu. |
| Akun yang dibuat dan dihapus oleh pengguna atau proses yang tidak disetujui | Medium | Log audit Microsoft Entra | Diprakarsai oleh (pelaku) – USER PRINCIPAL NAME -dan- Aktivitas: Tambah pengguna Status = berhasil Dimulai oleh (pelaku) != Layanan CPIM dan-atau Aktivitas: Hapus pengguna Status = berhasil Dimulai oleh (pelaku) != Layanan CPIM |
Jika aktor adalah pengguna yang tidak disetujui, konfigurasikan untuk mengirim pemberitahuan. |
| Akun yang ditetapkan ke peran istimewa | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Tambah pengguna Status = berhasil Dimulai oleh (pelaku) == Layanan CPIM -dan- Aktivitas = Tambah anggota ke peran Status = berhasil |
Jika akun ditetapkan ke peran Microsoft Entra, peran Azure, atau keanggotaan grup istimewa, beri tahu dan prioritaskan penyelidikan. |
| Upaya masuk yang gagal | Sedang - jika Insiden terisolasi Tinggi - jika terdapat banyak akun yang mengalami pola yang sama |
Log masuk Microsoft Entra | Status = gagal -dan- Kode galat kredensial masuk 50126 - Kesalahan memvalidasi info masuk dikarenakan nama pengguna atau kata sandi yang tidak valid. -dan- Aplikasi == "CPIM PowerShell Client" -atau- Aplikasi == "ProxyIdentityExperienceFramework" |
Tentukan ambang batas dasar, lalu pantau dan sesuaikan agar sesuai dengan perilaku organisasi Anda dan batasi peringatan palsu yang dihasilkan. |
| Peristiwa penguncian cerdas | Sedang - jika Insiden terisolasi Tinggi - jika terdapat banyak akun yang mengalami pola atau VIP yang sama |
Log masuk Microsoft Entra | Status = gagal -dan- Kode galat masuk = 50053 – IdsLocked -dan- Aplikasi == "CPIM PowerShell Client" -atau- Aplikasi =="ProxyIdentityExperienceFramework" |
Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda dan batasi pemberitahuan palsu. |
| Autentikasi yang gagal dari negara atau wilayah yang tidak Anda operasikan | Medium | Log masuk Microsoft Entra | Status = gagal -dan- Lokasi = <lokasi yang tidak disetujui> -dan- Aplikasi == "CPIM PowerShell Client" -atau- Aplikasi == "ProxyIdentityExperienceFramework" |
Entri pemantauan tidak sama dengan nama kota yang disediakan. |
| Peningkatan autentikasi gagal dari jenis apa pun | Medium | Log masuk Microsoft Entra | Status = gagal -dan- Aplikasi == "CPIM PowerShell Client" -atau- Aplikasi == "ProxyIdentityExperienceFramework" |
Jika Anda tidak memiliki ambang batas, pantau dan waspada jika kegagalan meningkat 10%, atau lebih besar. |
| Akun dinonaktifkan/diblokir untuk masuk | Kurang Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode galat = 50057, Akun pengguna dinonaktifkan. |
Skenario ini dapat menunjukkan seseorang yang mencoba mendapatkan akses ke akun setelah mereka meninggalkan organisasi. Akun diblokir, tetapi penting untuk mencatat dan memperingatkan aktivitas ini. |
| Peningkatan yang dapat diukur dari proses masuk yang berhasil | Kurang Penting | Log masuk Microsoft Entra | Status = Berhasil -dan- Aplikasi == "CPIM PowerShell Client" -atau- Aplikasi == "ProxyIdentityExperienceFramework" |
Jika Anda tidak memiliki ambang batas, pantau dan waspada jika autentikasi berhasil meningkat sebesar 10%, atau lebih besar. |
Akun istimewa
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Ambang batas kegagalan masuk, kata sandi salah | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 50126 |
Tentukan ambang dasar dan pantau dan sesuaikan dengan perilaku organisasi Anda. Batasi pemberitahuan palsu. |
| Kegagalan karena persyaratan Akses Bersyarat | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 53003 -dan- Alasan kegagalan = Diblokir oleh Akses Bersyarat |
Peristiwa ini dapat menunjukkan penyerang mencoba masuk ke akun. |
| Interupsi | Tinggi, sedang | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 53003 -dan- Alasan kegagalan = Diblokir oleh Akses Bersyarat |
Peristiwa ini dapat menunjukkan penyerang memiliki kata sandi akun, tetapi tidak dapat melewati tantangan MFA. |
| Penguncian Akun | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 50053 |
Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda. Batasi pemberitahuan palsu. |
| Akun dinonaktifkan atau diblokir untuk masuk | rendah | Log masuk Microsoft Entra | Status = Kegagalan -dan- Target = UPN pengguna -dan- kode kesalahan = 50057 |
Peristiwa ini dapat menunjukkan seseorang yang mencoba mendapatkan akses akun setelah mereka meninggalkan organisasi. Meskipun akun diblokir, catat dan peringatkan aktivitas ini. |
| Pemberitahuan atau pemblokiran penipuan MFA | Sangat Penting | Log masuk Microsoft Entra/Azure Log Analytics | Detail Autentikasi Kredensial Masuk> Detail hasil = MFA ditolak, kode penipuan dimasukkan |
Pengguna istimewa menunjukkan bahwa mereka belum menghasut prompt MFA, yang dapat menunjukkan penyerang memiliki kata sandi akun. |
| Pemberitahuan atau pemblokiran penipuan MFA | Sangat Penting | Log masuk Microsoft Entra/Azure Log Analytics | Jenis aktivitas = Penipuan dilaporkan - Pengguna diblokir untuk MFA atau penipuan yang dilaporkan - Tidak ada tindakan yang diambil, berdasarkan pengaturan tingkat penyewa laporan penipuan | Pengguna istimewa menunjukkan tidak ada dorongan dari permintaan MFA. Skenario ini dapat menunjukkan penyerang memiliki kata sandi akun. |
| Akses masuk akun dengan hak istimewa di luar kontrol yang ditentukan | Sangat Penting | Log masuk Microsoft Entra | Status = Kegagalan UserPricipalName = <Akun administrator> Lokasi = <lokasi yang tidak disetujui> Alamat IP = <IP yang tidak disetujui> Info Perangkat = <Browser yang tidak disetujui, Sistem Operasi> |
Memantau dan memperingatkan entri yang Anda tentukan sebagai tidak disetujui. |
| Melebihi batas akses masuk normal | Sangat Penting | Log masuk Microsoft Entra | Status = Berhasil -dan- Lokasi = -dan- Waktu = Di luar jam kerja |
Pantau dan waspada jika proses masuk terjadi di luar waktu yang diharapkan. Temukan pola kerja normal untuk setiap akun istimewa dan waspada jika ada perubahan yang tidak dienkripsi di luar waktu kerja normal. Masuk di luar jam kerja normal dapat menunjukkan kompromi atau kemungkinan ancaman orang dalam. |
| Perubahan kata sandi | Sangat Penting | Log audit Microsoft Entra | Aktor aktivitas = Admin/layanan mandiri -dan- Target = Pengguna -dan- Status = Berhasil atau gagal |
Pemberitahuan saat kata sandi akun administrator berubah. Tulis kueri untuk akun istimewa. |
| Perubahan pada metode autentikasi | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Buat penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Perubahan dapat menunjukkan penyerang yang menambahkan metode autentikasi ke akun untuk melanjutkan akses. |
| Penyedia Identitas diperbarui oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas : Perbarui penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Perubahan dapat menunjukkan penyerang yang menambahkan metode autentikasi ke akun untuk melanjutkan akses. |
| Penyedia Identitas dihapus oleh aktor yang tidak disetujui | Sangat Penting | Tinjauan akses Microsoft Entra | Aktivitas: Hapus penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Perubahan dapat menunjukkan penyerang yang menambahkan metode autentikasi ke akun untuk melanjutkan akses. |
Aplikasi
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Menambahkan kredensial ke aplikasi | Sangat Penting | Log audit Microsoft Entra | Layanan-Direktori Inti, Kategori-ApplicationManagement Aktivitas: Memperbarui Aplikasi-Sertifikat dan pengelolaan rahasia -dan- Aktivitas: Memperbarui Perwakilan layanan/Memperbarui Aplikasi |
Pemberitahuan saat kredensial: ditambahkan di luar jam kerja atau alur kerja normal, jenis yang tidak digunakan di lingkungan Anda, atau ditambahkan ke perwakilan layanan pendukung alur non-SAML. |
| Aplikasi yang ditetapkan ke peran kontrol akses berbasis peran (RBAC) Azure, atau peran Microsoft Entra | Tinggi hingga sedang | Log audit Microsoft Entra | Jenis: perwakilan layanan Aktivitas: “Tambahkan anggota ke peran” or “Tambahkan anggota yang memenuhi syarat ke peran” -atau- “Tambahkan anggota yang tercakup ke peran.” |
T/A |
| Aplikasi yang diberi izin yang sangat istimewa, seperti izin dengan ".All" (Directory.ReadWrite.All) atau izin secara luas (Mail.) | Sangat Penting | Log audit Microsoft Entra | T/A | Aplikasi yang diberi izin secara luas seperti ".All" (Directory.ReadWrite.All) atau izin secara luas (Mail.) |
| Administrator yang memberikan izin aplikasi (peran aplikasi), atau izin yang didelegasikan dengan hak istimewa tinggi | Sangat Penting | Portal Microsoft 365 | “Tambahkan penetapan peran aplikasi ke perwakilan layanan” -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) “Tambahkan pemberian izin yang didelegasikan” -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) -dan- DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi. |
Pemberitahuan saat Administrator Global, Administrator Aplikasi, atau Administrator Aplikasi Cloud menyetujui aplikasi. Terutama mencari persetujuan di luar aktivitas normal dan mengubah prosedur. |
| Aplikasi diberikan izin untuk Microsoft Graph, Exchange, SharePoint, atau ID Microsoft Entra. | Sangat Penting | Log audit Microsoft Entra | “Tambahkan pemberian izin delegasi” -atau- “Tambahkan penetapan peran aplikasi ke perwakilan layanan” -dengan keterangan- Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph, Exchange Online, dan sebagainya) |
Gunakan pemberitahuan di baris sebelumnya. |
| Izin yang didelegasikan dengan hak istimewa tinggi yang diberikan atas nama semua pengguna | Sangat Penting | Log audit Microsoft Entra | “Tambahkan pemberian izin delegasi” lokasi Target mengidentifikasi API dengan data sensitif (seperti Microsoft Graph) DelegatedPermissionGrant.Scope mencakup izin hak istimewa tinggi -dan- DelegatedPermissionGrant.ConsentType adalah “AllPrincipals”. |
Gunakan pemberitahuan di baris sebelumnya. |
| Aplikasi yang menggunakan alur autentikasi ROPC | Medium | Log masuk Microsoft Entra | Status=Berhasil Protokol Autentikasi-ROPC |
Tingkat kepercayaan tinggi ditempatkan dalam aplikasi ini karena kredensial dapat di-cache atau disimpan. Jika memungkinkan, pindah ke alur autentikasi yang lebih aman. Gunakan proses hanya dalam pengujian aplikasi otomatis, jika pernah. |
| URI Menggantung | Sangat Penting | Log Microsoft Entra dan Pendaftaran Aplikasi | Direktori Inti Layanan Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi Sukses – Nama Properti AppAddress |
Misalnya, cari URI menjuntai yang menunjuk ke nama domain yang hilang, atau yang tidak Anda miliki. |
| Perubahan konfigurasi URI pengalihan | Sangat Penting | Log Microsoft Entra | Direktori Inti Layanan Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi Sukses – Nama Properti AppAddress |
Cari URI yang tidak menggunakan HTTPS*, URI dengan wildcard di akhir atau domain URL, URI yang tidak unik untuk aplikasi, URI yang mengarah ke domain yang tidak Anda kontrol. |
| Perubahan pada URI AppID | Sangat Penting | Log Microsoft Entra | Direktori Inti Layanan Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi Aktivitas: Memperbarui Perwakilan layanan |
Cari modifikasi URI AppID, seperti menambahkan, memodifikasi, atau menghapus URI. |
| Perubahan pada pemilik aplikasi | Medium | Log Microsoft Entra | Direktori Inti Layanan Category-ApplicationManagement Aktivitas: Menambahkan pemilik ke aplikasi |
Cari instans pengguna yang ditambahkan sebagai pemilik aplikasi di luar aktivitas manajemen perubahan normal. |
| Perubahan pada URL keluar | Kurang Penting | Log Microsoft Entra | Direktori Inti Layanan Category-ApplicationManagement Aktivitas: Memperbarui Aplikasi -dan- Aktivitas: Memperbarui perwakilan layanan |
Cari modifikasi pada URL keluar. Entri kosong atau entri ke lokasi yang tidak ada akan mencegah pengguna mengakhiri sesi. |
Infrastruktur
| Yang harus dipantau | Tingkat Risiko | Di mana | Filter/subfilter | Catatan |
|---|---|---|---|---|
| Kebijakan Akses Bersyarah Baru yang dibuat oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Menambahkan kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan Akses Bersyar. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? |
| Kebijakan Akses Bersyarah dihapus oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Menghapus kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan Akses Bersyar. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? |
| Kebijakan Akses Bersyarah diperbarui oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Memperbarui kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan Akses Bersyar. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? Tinjau Properti yang Dimodifikasi dan bandingkan nilai lama vs. baru |
| Kebijakan kustom B2C yang dibuat oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Buat kebijakan kustom Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan kebijakan kustom. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada kebijakan kustom? |
| Kebijakan kustom B2C diperbarui oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Mendapatkan kebijakan kustom Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan kebijakan kustom. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada kebijakan kustom? |
| Kebijakan kustom B2C dihapus oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Menghapus kebijakan kustom Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan kebijakan kustom. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada kebijakan kustom? |
| Alur pengguna yang dibuat oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Membuat alur pengguna Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan alur pengguna. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada alur pengguna? |
| Alur pengguna diperbarui oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Memperbarui alur pengguna Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan alur pengguna. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada alur pengguna? |
| Alur pengguna dihapus oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Hapus alur pengguna Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan alur pengguna. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada alur pengguna? |
| Konektor API yang dibuat oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Membuat konektor API Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan konektor API. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konektor API? |
| Konektor API diperbarui oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Memperbarui konektor API Kategori: ResourceManagement Target: Nama Prinsipal Pengguna: ResourceManagement |
Memantau dan memperingatkan perubahan konektor API. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konektor API? |
| Konektor API dihapus oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Memperbarui konektor API Kategori: ResourceManagment Target: Nama Prinsipal Pengguna: ResourceManagment |
Memantau dan memperingatkan perubahan konektor API. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konektor API? |
| Penyedia Identitas (IdP) yang dibuat oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas: Buat penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan IdP. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konfigurasi IdP? |
| IdP diperbarui oleh aktor yang tidak disetujui | Sangat Penting | Log audit Microsoft Entra | Aktivitas : Perbarui penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan IdP. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konfigurasi IdP? |
| IdP dihapus oleh aktor yang tidak disetujui | Medium | Log audit Microsoft Entra | Aktivitas: Hapus penyedia identitas Kategori: ResourceManagement Target: Nama Prinsipal Pengguna |
Memantau dan memperingatkan perubahan IdP. Dimulai oleh (aktor): disetujui untuk membuat perubahan pada konfigurasi IdP? |
Langkah berikutnya
Untuk mempelajari selengkapnya, lihat artikel operasi keamanan berikut ini:
- Panduan operasi keamanan Microsoft Entra
- Operasi keamanan Microsoft Entra untuk akun pengguna
- Operasi keamanan untuk akun istimewa di ID Microsoft Entra
- Operasi keamanan Microsoft Entra untuk Privileged Identity Management
- Panduan operasi keamanan Microsoft Entra untuk aplikasi
- Operasi keamanan Microsoft Entra untuk perangkat
- Operasi keamanan untuk infrastruktur