Bagikan melalui


Operasi keamanan Microsoft Entra untuk perangkat

Perangkat biasanya tidak ditargetkan dalam serangan berbasis identitas, tetapi dapat digunakan untuk memuaskan dan mengelabui kontrol keamanan, atau untuk meniru pengguna. Perangkat dapat memiliki salah satu dari empat hubungan dengan ID Microsoft Entra:

Perangkat yang terdaftar dan bergabung mengeluarkan Token Refresh Utama (PRT), yang dapat digunakan sebagai artefak autentikasi utama, dan dalam beberapa kasus sebagai artefak autentikasi multifaktor. Penyerang dapat mencoba mendaftarkan perangkat mereka sendiri, menggunakan PRT pada perangkat yang sah untuk mengakses data bisnis, mencuri token berbasis PRT dari perangkat pengguna yang sah, atau menemukan kesalahan konfigurasi dalam kontrol berbasis perangkat di ID Microsoft Entra. Dengan perangkat gabungan hibrid Microsoft Entra, proses gabungan dimulai dan dikontrol oleh administrator, mengurangi metode serangan yang tersedia.

Untuk informasi selengkapnya tentang metode integrasi perangkat, lihat Memilih metode integrasi Anda dalam artikel Merencanakan penyebaran perangkat Microsoft Entra Anda.

Untuk mengurangi risiko pelaku kejahatan menyerang infrastruktur Anda melalui perangkat, pantau

  • Pendaftaran perangkat dan gabungan Microsoft Entra

  • Perangkat yang tidak sesuai mengakses aplikasi

  • Pengambilan kunci BitLocker

  • Peran administrator perangkat

  • Rincian masuk ke mesin virtual

Tempat mencari

File log yang Anda gunakan untuk menyelidiki dan memantau adalah:

Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:

  • Microsoft Azure Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).

  • Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.

  • Azure Monitor – mengaktifkan pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.

  • Azure Event Hubs -terintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.

  • Microsoft Defender for Cloud Apps – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.

  • Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.

Sebagian besar yang akan Anda pantau dan beritahukan adalah efek dari kebijakan Akses Bersyarat Anda. Anda dapat menggunakan Wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau lebih kebijakan Akses Bersyarat pada rincian masuk, dan hasil kebijakan termasuk kondisi perangkat Anda. Buku kerja ini memungkinkan Anda melihat ringkasan dan mengidentifikasi dampak selama periode waktu tertentu. Anda juga dapat menggunakan buku kerja untuk menyelidiki proses masuk pengguna tertentu.

Bagian lain dari artikel ini menjelaskan saran yang harus dipantau dan diberitahukan, dan diatur berdasarkan jenis ancaman. Di mana ada solusi tertentu yang dibuat sebelumnya, kami tautkan ke solusi tersebut atau menyediakan sampel setelah tabel. Atau, Anda dapat membangun pemberitahuan menggunakan alat sebelumnya.

Pendaftaran dan gabungan perangkat di luar kebijakan

Perangkat terdaftar Microsoft Entra dan microsoft Entra bergabung memiliki token refresh utama (PRT), yang setara dengan satu faktor autentikasi. Perangkat ini terkadang dapat berisi klaim autentikasi kuat. Untuk informasi lebih lanjut tentang kapan PRT berisi klaim autentikasi kuat, lihat Kapan PRT mendapatkan klaim MFA? Untuk mencegah pelaku kejahatan dari mendaftar atau menggabungkan perangkat, diperlukan autentikasi multifaktor (MFA) untuk mendaftar atau menggabungkan perangkat. Kemudian pantau perangkat apa pun yang terdaftar atau bergabung tanpa MFA. Anda juga harus memperhatikan perubahan pengaturan dan kebijakan MFA, dan kebijakan kepatuhan perangkat.

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Pendaftaran atau gabungan perangkat selesai tanpa MFA Medium Log rincian masuk Aktivitas: autentikasi berhasil ke Layanan Pendaftaran Perangkat.
Dan
MFA tidak diperlukan
Pemberitahuan ketika: Perangkat apa pun yang terdaftar atau bergabung tanpa MFA
Templat Microsoft Sentinel
Aturan sigma
Perubahan pada pengalih MFA Pendaftaran Perangkat di MICROSOFT Entra ID Sangat Penting Log audit Aktivitas: Menetapkan kebijakan pendaftaran perangkat Cari: Tombol yang diatur mati. Tidak ada entri log audit. Jadwalkan pemeriksaan berkala.
Aturan sigma
Perubahan pada kebijakan Akses Bersyarat yang mengharuskan perangkat bergabung atau patuh dengan domain. Sangat Penting Log audit Perubahan pada kebijakan Akses Bersyar
Pemberitahuan ketika: Ubah ke kebijakan apa pun yang mengharuskan domain bergabung atau sesuai, perubahan pada lokasi tepercaya, atau akun atau perangkat yang ditambahkan ke pengecualian kebijakan MFA.

Anda dapat membuat pemberitahuan yang memberi tahu administrator yang sesuai saat perangkat terdaftar atau bergabung tanpa MFA dengan menggunakan Microsoft Azure Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Anda juga dapat menggunakan Microsoft Intune untuk mengatur dan memantau kebijakan kepatuhan perangkat.

Masuk ke perangkat yang tidak sesuai

Mungkin tidak mungkin untuk memblokir akses ke semua cloud dan aplikasi perangkat lunak-sebagai-layanan dengan kebijakan Akses Bersyarat yang membutuhkan perangkat yang patuh.

Manajemen perangkat bergerak (MDM) membantu perangkat Windows 10 Anda tetap patuh. Dengan versi Windows 1809, kami merilis kebijakan garis besar keamanan. ID Microsoft Entra dapat diintegrasikan dengan MDM untuk menegakkan kepatuhan perangkat terhadap kebijakan perusahaan, dan dapat melaporkan status kepatuhan perangkat.

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Rincian masuk oleh perangkat yang tidak patuh Sangat Penting Log rincian masuk DeviceDetail.isCompliant == salah Jika memerlukan masuk dari perangkat yang sesuai, waspada saat: masuk apa pun oleh perangkat yang tidak patuh, atau akses apa pun tanpa MFA atau lokasi tepercaya.

Jika berupaya untuk membutuhkan perangkat, pantau rincian masuk yang mencurigakan.

Aturan sigma

Rincian masuk oleh perangkat yang tidak dikenal Kurang Penting Log rincian masuk DeviceDetail kosong, autentikasi faktor tunggal, atau dari lokasi yang tidak tepercaya Cari: akses apa pun dari perangkat kepatuhan, akses apa pun tanpa MFA atau lokasi tepercaya
Templat Microsoft Sentinel

Aturan sigma

Menggunakan LogAnalytics untuk kueri

Rincian masuk oleh perangkat yang tidak patuh

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Rincian masuk oleh perangkat yang tidak dikenal


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Perangkat kedaluwarsa

Perangkat kedaluwarsa termasuk perangkat yang belum masuk untuk jangka waktu tertentu. Perangkat dapat menjadi basi saat pengguna mendapatkan perangkat baru atau kehilangan perangkat, atau saat perangkat yang bergabung dengan Microsoft Entra dihapus atau disediakan ulang. Perangkat mungkin juga dapat tetap terdaftar atau bergabung saat pengguna tidak lagi terkait dengan penyewa. Perangkat kedaluwarsa harus dihapus sehingga token refresh utama (PRT) tidak dapat digunakan.

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Tanggal rincian masuk terakhir Kurang Penting Graph API approximateLastSignInDateTime Gunakan Graph API atau PowerShell untuk mengidentifikasi dan menghapus perangkat kedaluwarsa.

Pengambilan kunci BitLocker

Penyerang yang telah membahayakan perangkat pengguna dapat mengambil kunci BitLocker di ID Microsoft Entra. Jarang bagi pengguna untuk mengambil kunci, dan ini harus dipantau dan diselidiki.

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Pengambilan kunci Medium Log audit OperationName == "Membaca kunci BitLocker" Cari: pengambilan kunci, perilaku anomali lainnya oleh pengguna yang mengambil kunci.
Templat Microsoft Sentinel

Aturan sigma

Di LogAnalytics, buat kueri seperti

AuditLogs
| where OperationName == "Read BitLocker key" 

Peran administrator perangkat

Administrator Lokal Perangkat Gabungan Microsoft Entra dan peran Administrator Global secara otomatis mendapatkan hak administrator lokal di semua perangkat yang bergabung dengan Microsoft Entra. Penting untuk memantau siapa yang memiliki hak untuk menjaga lingkungan Anda tetap aman.

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Pengguna ditambahkan ke peran admin global atau perangkat Sangat Penting Log audit Jenis aktivitas = Tambahkan anggota ke peran. Cari: pengguna baru yang ditambahkan ke peran Microsoft Entra ini, perilaku anomali berikutnya oleh komputer atau pengguna.
Templat Microsoft Sentinel

Aturan sigma

Rincian masuk selain Azure Active Directory ke mesin virtual

Rincian masuk ke komputer virtual (VM) Windows atau LINUX harus dipantau untuk masuk oleh akun selain akun Microsoft Entra.

Masuk Microsoft Entra untuk LINUX

Masuk Microsoft Entra untuk LINUX memungkinkan organisasi untuk masuk ke VM Linux Azure mereka menggunakan akun Microsoft Entra melalui protokol shell aman (SSH).

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Akun selain Azure Active Directory masuk, terutama melalui SSH Sangat Penting Log autentikasi lokal Ubuntu:
monitor /var/log/auth.log untuk penggunaan SSH
RedHat:
monitor /var/log/sssd/ untuk penggunaan SSH
Cari: entri di mana akun selain Azure Active Directory berhasil tersambung ke Mesin Virtual. Lihat contoh berikut.

Contoh Ubuntu:

9 Mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Versi: 1.0.015570001; pengguna: localusertest01

9 Mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Pengguna 'localusertest01' bukan pengguna Microsoft Entra; mengembalikan hasil kosong.

9 Mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versi: 1.0.015570001; pengguna: localusertest01

9 Mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Pengguna 'localusertest01' bukan pengguna Microsoft Entra; mengembalikan hasil kosong.

9 Mei 23:49:43 ubuntu1804 sshd[3909]: Diterima secara publik untuk localusertest01 dari 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 Mei 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesi dibuka untuk pengguna localusertest01 oleh (uid=0).

Anda dapat mengatur kebijakan untuk rincian masuk mesin virtual (VM) LINUX, dan mendeteksi serta memberi bendera pada mesin virtual (VM) LINUX yang memiliki akun lokal tambahan yang tidak disetujui. Untuk mempelajari lebih lanjut, lihat menggunakan Azure Policy untuk memastikan standar dan menilai kepatuhan.

Rincian masuk Microsoft Entra untuk Windows Server

Masuk Microsoft Entra untuk Windows memungkinkan organisasi Anda untuk masuk ke VM Azure Windows 2019+ Anda menggunakan akun Microsoft Entra melalui protokol desktop jarak jauh (RDP).

Yang harus dipantau Tingkat Risiko Di mana Filter/sub-filter Catatan
Akun selain Azure Active Directory masuk, terutama melalui RDP Sangat Penting Log peristiwa Windows Server Masuk Interaktif ke Mesin Virtual Windows Peristiwa 528, jenis masuk 10 (RemoteInteractive).
Menampilkan saat pengguna masuk melalui Layanan Terminal atau Desktop Jarak Jauh.

Langkah berikutnya

Gambaran umum operasi keamanan Microsoft Entra

Operasi keamanan untuk akun pengguna

Operasi keamanan untuk akun konsumen

Operasi keamanan untuk akun istimewa

Operasi keamanan untuk Privileged Identity Management

Operasi keamanan untuk aplikasi

Operasi keamanan untuk infrastruktur