Operasi keamanan Microsoft Entra untuk perangkat
Perangkat umumnya tidak ditargetkan dalam serangan berbasis identitas, tetapi dapat digunakan untuk memenuhi dan mengelabui kontrol keamanan, atau untuk meniru pengguna. Perangkat dapat memiliki salah satu dari empat hubungan dengan ID Microsoft Entra:
Perangkat terdaftar dan tergabung mengeluarkan Token Refresh Utama (PRT), yang dapat digunakan sebagai artefak autentikasi utama, dan dalam beberapa kasus sebagai artefak autentikasi multifaktor. Penyerang dapat mencoba mendaftarkan perangkat mereka sendiri, menggunakan PRT pada perangkat yang sah untuk mengakses data bisnis, mencuri token berbasis PRT dari perangkat pengguna yang sah, atau menemukan kesalahan konfigurasi dalam kontrol berbasis perangkat di ID Microsoft Entra. Dengan perangkat gabungan hibrid Microsoft Entra, proses gabungan dimulai dan dikontrol oleh administrator, mengurangi metode serangan yang tersedia.
Untuk informasi selengkapnya tentang metode integrasi perangkat, lihat Memilih metode integrasi Anda dalam artikel Merencanakan penyebaran perangkat Microsoft Entra Anda.
Untuk mengurangi risiko pelaku jahat menyerang infrastruktur Anda melalui perangkat, pantau
Pendaftaran perangkat dan gabungan Microsoft Entra
Perangkat yang tidak patuh mengakses aplikasi
Pengambilan kunci BitLocker
Peran administrator perangkat
Masuk ke komputer virtual
Tempat untuk melihat
File log yang Anda gunakan untuk penyelidikan dan pemantauan adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan kemampuan informasi keamanan dan manajemen peristiwa (SIEM).
Aturan Sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang direkomendasikan, kami telah menambahkan tautan ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat dan dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – memungkinkan pemantauan dan pemberitahuan otomatis dari berbagai kondisi. Bisa membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs -terintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur di seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sebagian besar hal yang akan Anda pantau dan waspada adalah efek dari kebijakan Akses Bersyar Anda. Anda bisa menggunakan wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau beberapa kebijakan Akses Bersyarat pada rincian masuk Anda, dan hasil kebijakan termasuk status perangkat. Buku kerja ini memungkinkan Anda menampilkan ringkasan, dan mengidentifikasi efek selama periode waktu tertentu. Anda juga bisa menggunakan buku kerja untuk menyelidiki rincian masuk pengguna tertentu.
Sisa artikel ini menjelaskan apa yang kami sarankan Anda pantau dan waspada, dan diatur berdasarkan jenis ancaman. Jika ada solusi khusus yang dibuat sebelumnya, kami menautkannya atau memberikan sampel mengikuti tabel. Jika tidak, Anda dapat membuat pemberitahuan menggunakan alat sebelumnya.
Pendaftaran dan gabungan perangkat di luar kebijakan
Perangkat terdaftar Microsoft Entra dan microsoft Entra bergabung memiliki token refresh utama (PRT), yang setara dengan satu faktor autentikasi. Perangkat ini terkadang dapat berisi klaim autentikasi yang kuat. Untuk informasi selengkapnya tentang kapan PRT berisi klaim autentikasi yang kuat, lihat Kapan PRT mendapatkan klaim MFA? Untuk mencegah pelaku jahat mendaftarkan atau menggabungkan perangkat, perlu autentikasi multifaktor (MFA) untuk mendaftar atau bergabung dengan perangkat. Kemudian pantau untuk perangkat apa pun yang terdaftar atau bergabung tanpa MFA. Anda juga harus mengawasi perubahan pada pengaturan dan kebijakan MFA, dan kebijakan kepatuhan perangkat.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pendaftaran perangkat atau gabungan selesai tanpa MFA | Sedang | Log masuk | Aktivitas: autentikasi yang berhasil ke Device Registration Service. Dan Tidak diperlukan MFA |
Pemberitahuan saat: Perangkat apa pun yang terdaftar atau bergabung tanpa MFA Templat Microsoft Azure Sentinel Aturan sigma |
| Perubahan pada pengalih MFA Pendaftaran Perangkat di MICROSOFT Entra ID | Tinggi | Log audit | Aktivitas: Mengatur kebijakan pendaftaran perangkat | Cari: Tombol yang diatur ke nonaktif. Tidak ada entri log audit. Jadwalkan pemeriksaan berkala. Aturan sigma |
| Perubahan pada kebijakan Akses Bersyarat yang memerlukan perangkat yang bergabung atau sesuai domain. | Tinggi | Log audit | Perubahan pada kebijakan Akses Bersyar |
Pemberitahuan saat: Ubah ke kebijakan apa pun yang mengharuskan domain bergabung atau patuh, perubahan pada lokasi tepercaya, atau akun atau perangkat yang ditambahkan ke pengecualian kebijakan MFA. |
Anda dapat membuat pemberitahuan yang memberi tahu administrator yang sesuai saat perangkat terdaftar atau bergabung tanpa MFA dengan menggunakan Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Anda juga dapat menggunakan Microsoft Intune untuk mengatur dan memantau kebijakan kepatuhan perangkat.
Rincian masuk perangkat yang tidak sesuai
Mungkin tidak dimungkinkan untuk memblokir akses ke semua aplikasi cloud dan perangkat lunak sebagai layanan dengan kebijakan Akses Bersyarat yang memerlukan perangkat yang sesuai.
Manajemen perangkat seluler (MDM) membantu Anda menjaga perangkat Windows 10 tetap sesuai. Dengan Windows versi 1809, kami merilis garis besar kebijakan keamanan. ID Microsoft Entra dapat diintegrasikan dengan MDM untuk menegakkan kepatuhan perangkat terhadap kebijakan perusahaan, dan dapat melaporkan status kepatuhan perangkat.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Rincian masuk oleh perangkat yang tidak patuh | Tinggi | Log masuk | DeviceDetail.isCompliant == false | Jika memerlukan masuk dari perangkat yang sesuai, beri tahu kapan: masuk apa pun oleh perangkat yang tidak patuh, atau akses apa pun tanpa MFA atau lokasi tepercaya. Jika bekerja untuk mengharuskan perangkat, pantau masuk yang mencurigakan. |
| Rincian masuk oleh perangkat yang tidak diketahui | Rendah | Log masuk | DeviceDetail kosong, autentikasi faktor tunggal, atau dari lokasi yang tidak tepercaya | Cari: akses apa pun dari perangkat kepatuhan, akses apa pun tanpa MFA atau lokasi tepercaya Templat Microsoft Azure Sentinel Aturan sigma |
Menggunakan LogAnalytics untuk mengkueri
Rincian masuk oleh perangkat yang tidak patuh
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Rincian masuk oleh perangkat yang tidak diketahui
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Perangkat kedaluarsa
Perangkat kedaluarsa mencakup perangkat yang belum masuk untuk periode waktu tertentu. Perangkat dapat menjadi basi saat pengguna mendapatkan perangkat baru atau kehilangan perangkat, atau saat perangkat yang bergabung dengan Microsoft Entra dihapus atau disediakan ulang. Perangkat mungkin juga tetap terdaftar atau bergabung ketika pengguna tidak lagi terkait dengan penyewa. Perangkat kedaluarsa harus dihapus sehingga token refresh utama (PRT) tidak dapat digunakan.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Tanggal masuk terakhir | Rendah | Graph API | approximateLastSignInDateTime | Gunakan Graph API atau PowerShell untuk mengidentifikasi dan menghapus perangkat kedaluarsa. |
Pengambilan kunci BitLocker
Penyerang yang telah membahayakan perangkat pengguna dapat mengambil kunci BitLocker di ID Microsoft Entra. Tidak jarang pengguna mengambil kunci, dan harus dipantau dan diselidiki.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pengambilan kunci | Sedang | Log audit | OperationName == "Kunci Read BitLocker" | Cari: pengambilan kunci, perilaku anomali lainnya oleh pengguna yang mengambil kunci. Templat Microsoft Azure Sentinel Aturan sigma |
Di LogAnalytics, buat kueri seperti
AuditLogs
| where OperationName == "Read BitLocker key"
Peran administrator perangkat
Administrator Lokal Perangkat Gabungan Microsoft Entra dan peran Administrator Global secara otomatis mendapatkan hak administrator lokal di semua perangkat yang bergabung dengan Microsoft Entra. Penting untuk memantau siapa yang memiliki hak-hak ini untuk menjaga lingkungan Anda tetap aman.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pengguna ditambahkan ke peran admin global atau perangkat | Tinggi | Log audit | Jenis aktivitas = Tambahkan anggota ke peran. | Cari: pengguna baru yang ditambahkan ke peran Microsoft Entra ini, perilaku anomali berikutnya oleh komputer atau pengguna. Templat Microsoft Azure Sentinel Aturan sigma |
Rincian masuk non-Azure ACTIVE Directory ke komputer virtual
Rincian masuk ke komputer virtual (VM) Windows atau LINUX harus dipantau untuk masuk oleh akun selain akun Microsoft Entra.
Masuk Microsoft Entra untuk LINUX
Masuk Microsoft Entra untuk LINUX memungkinkan organisasi untuk masuk ke VM Linux Azure mereka menggunakan akun Microsoft Entra melalui protokol shell aman (SSH).
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Masuk akun Non-Azure AD, terutama melalui SSH | Tinggi | Log autentikasi lokal | Ubuntu: monitor /var/log/auth.log untuk penggunaan SSH RedHat: monitor /var/log/sssd/ untuk penggunaan SSH |
Cari: entri di mana akun non-Azure ACTIVE Directory berhasil tersambung ke VM. Lihat contoh berikut. |
Contoh Ubuntu:
9 Mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Versi: 1.0.015570001; pengguna: localusertest01
9 Mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Pengguna 'localusertest01' bukan pengguna Microsoft Entra; mengembalikan hasil kosong.
9 Mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versi: 1.0.015570001; pengguna: localusertest01
9 Mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Pengguna 'localusertest01' bukan pengguna Microsoft Entra; mengembalikan hasil kosong.
9 Mei 23:49:43 ubuntu1804 sshd[3909]: Diterima secara publik untuk localusertest01 dari 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 Mei 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesi dibuka untuk localusertest01 pengguna dengan (uid=0).
Anda dapat mengatur kebijakan untuk masuk VM LINUX, dan mendeteksi dan menandai VM Linux yang telah menambahkan akun lokal yang tidak disetujui. Untuk mempelajari selengkapnya, lihat menggunakan Azure Policy untuk memastikan standar dan menilai kepatuhan.
Rincian masuk Microsoft Entra untuk Windows Server
Masuk Microsoft Entra untuk Windows memungkinkan organisasi Anda untuk masuk ke VM Azure Windows 2019+ Anda menggunakan akun Microsoft Entra melalui protokol desktop jarak jauh (RDP).
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Rincian masuk akun non-Azure ACTIVE Directory, terutama melalui RDP | Tinggi | Log peristiwa Windows Server | Masuk Interaktif ke VM Windows | Peristiwa 528, log-on tipe 10 (RemoteInteractive). Memperlihatkan kapan pengguna masuk melalui Layanan Terminal atau Desktop Jauh. |
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management