Operasi keamanan untuk infrastruktur
Infrastruktur memiliki banyak komponen di mana kerentanan dapat terjadi jika tidak dikonfigurasi dengan benar. Sebagai bagian dari strategi pemantauan dan pemberitahuan Anda untuk infrastruktur, pantau, dan waspada peristiwa di area berikut:
Autentikasi dan Otorisasi
Komponen Autentikasi Hibrid termasuk. Server Federasi
Kebijakan
Langganan
Memantau dan memperingatkan komponen infrastruktur autentikasi Anda sangat penting. Setiap kompromi dapat menyebabkan kompromi penuh dari seluruh lingkungan. Banyak perusahaan yang menggunakan MICROSOFT Entra ID beroperasi di lingkungan autentikasi hibrid. Komponen cloud dan lokal harus disertakan dalam strategi pemantauan dan pemberitahuan Anda. Memiliki lingkungan autentikasi hibrid juga memperkenalkan vektor serangan lain ke lingkungan Anda.
Kami menyarankan semua komponen dianggap sebagai aset Control Plane / Tier 0, dan akun yang digunakan untuk mengelolanya. Lihat Mengamankan aset istimewa (SPA) untuk panduan tentang merancang dan menerapkan lingkungan Anda. Panduan ini mencakup rekomendasi untuk setiap komponen autentikasi hibrid yang berpotensi digunakan untuk penyewa Microsoft Entra.
Langkah pertama dalam mampu mendeteksi peristiwa tak terduga dan potensi serangan adalah membangun garis besar. Untuk semua komponen lokal yang tercantum dalam artikel ini, lihat Penyebaran akses istimewa, yang merupakan bagian dari panduan Mengamankan aset istimewa (SPA).
Tempat untuk melihat
File log yang Anda gunakan untuk penyelidikan dan pemantauan adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Sentinel – Memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan kemampuan informasi keamanan dan manajemen peristiwa (SIEM).
Aturan Sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang direkomendasikan, kami telah menambahkan tautan ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat dan dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – Memungkinkan pemantauan dan pemberitahuan otomatis dari berbagai kondisi. Bisa membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan SIEM - Log Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – Memungkinkan Anda menemukan dan mengelola aplikasi, mengatur di seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sisa artikel ini menjelaskan apa yang harus dipantau dan diberitahukan. Ini diatur oleh jenis ancaman. Di mana ada solusi bawaan, Anda akan menemukan tautan ke solusi tersebut, setelah tabel. Jika tidak, Anda dapat membuat pemberitahuan menggunakan alat sebelumnya.
Infrastruktur autentikasi
Di lingkungan hibrid yang berisi sumber daya dan akun lokal dan berbasis cloud, infrastruktur Direktori Aktif adalah bagian utama dari tumpukan autentikasi. Tumpukan juga merupakan target untuk serangan sehingga harus dikonfigurasi untuk mempertahankan lingkungan yang aman dan harus dipantau dengan benar. Contoh jenis serangan saat ini yang digunakan terhadap infrastruktur autentikasi Anda menggunakan teknik Semprotan Kata Sandi dan Solorigate. Berikut ini adalah tautan ke artikel yang kami rekomendasikan:
Mengamankan gambaran umum akses istimewa - Artikel ini memberikan gambaran umum tentang teknik saat ini menggunakan teknik Zero Trust untuk membuat dan memelihara akses istimewa yang aman.
Microsoft Defender untuk Identitas aktivitas domain yang dipantau - Artikel ini menyediakan daftar aktivitas komprehensif untuk memantau dan mengatur pemberitahuan.
Microsoft Defender untuk Identitas tutorial pemberitahuan keamanan - Artikel ini menyediakan panduan tentang membuat dan menerapkan strategi pemberitahuan keamanan.
Berikut ini adalah tautan ke artikel tertentu yang berfokus pada pemantauan dan pemberitahuan infrastruktur autentikasi Anda:
Pahami dan gunakan Jalur Gerakan Lateral dengan Microsoft Defender untuk Identitas - Teknik deteksi untuk membantu mengidentifikasi kapan akun yang tidak sensitif digunakan untuk mendapatkan akses ke akun jaringan sensitif.
Bekerja dengan pemberitahuan keamanan di Microsoft Defender untuk Identitas - Artikel ini menjelaskan cara meninjau dan mengelola pemberitahuan setelah dicatat.
Berikut ini adalah hal-hal khusus yang perlu dicari:
| Apa yang harus dipantau | Tingkat risiko | Mana | Catatan |
|---|---|---|---|
| Tren penguncian ekstranet | Tinggi | Microsoft Entra Connect Health | Lihat, Memantau Layanan Federasi Direktori Aktif menggunakan Microsoft Entra Connect Health untuk alat dan teknik untuk membantu mendeteksi tren penguncian ekstranet. |
| Gagal masuk | Tinggi | Sambungkan Portal Kesehatan | Ekspor atau unduh laporan IP Berisiko dan ikuti panduan di Laporan IP Berisiko (pratinjau publik) untuk langkah berikutnya. |
| Sesuai privasi | Rendah | Microsoft Entra Connect Health | Konfigurasikan Microsoft Entra Connect Health untuk menonaktifkan pengumpulan dan pemantauan data menggunakan artikel Privasi pengguna dan Microsoft Entra Connect Health . |
| Potensi serangan brute force pada LDAP | Sedang | Microsoft Defender untuk Identitas | Gunakan sensor untuk membantu mendeteksi potensi serangan brute force terhadap LDAP. |
| Pengintaian enumerasi akun | Sedang | Microsoft Defender untuk Identitas | Gunakan sensor untuk membantu melakukan pengintaian enumerasi akun. |
| Korelasi umum antara ID Microsoft Entra dan Azure AD FS | Sedang | Microsoft Defender untuk Identitas | Gunakan kemampuan untuk menghubungkan aktivitas antara ID Microsoft Entra dan lingkungan Azure AD FS Anda. |
Pemantauan autentikasi pass-through
Autentikasi pass-through Microsoft Entra memasukkan pengguna dengan memvalidasi kata sandi mereka secara langsung terhadap Active Directory lokal.
Berikut ini adalah hal-hal khusus yang perlu dicari:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Log Aplikasi dan Layanan\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Tidak dapat tersambung ke Direktori Aktif | Pastikan bahwa server agen adalah anggota forest AD yang sama dengan pengguna yang kata sandinya perlu divalidasi dan mereka dapat terhubung ke Direktori Aktif. |
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Log Aplikasi dan Layanan\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Waktu habis terjadi saat menyambungkan ke Direktori Aktif | Periksa untuk memastikan bahwa Direktori Aktif tersedia dan menanggapi permintaan dari agen. |
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Log Aplikasi dan Layanan\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - Nama pengguna yang diteruskan ke agen tidak valid | Pastikan pengguna mencoba masuk dengan nama pengguna yang tepat. |
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Log Aplikasi dan Layanan\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - Validasi mengalami WebException yang tidak dapat diprediksi | Kesalahan sementara. Coba lagi permintaan. Jika terus gagal, hubungi dukungan Microsoft. |
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Log Aplikasi dan Layanan\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Terjadi kesalahan saat berkomunikasi dengan Active Directory | Periksa log agen untuk informasi selengkapnya dan verifikasi bahwa Direktori Aktif beroperasi seperti yang diharapkan. |
| Kesalahan autentikasi pass-through Microsoft Entra | Tinggi | API fungsi Win32 LogonUserA | Peristiwa masuk 4624: Akun berhasil masuk - berkorelasi dengan – 4625(F): Akun gagal masuk |
Gunakan dengan nama pengguna yang dicurigai pada pengendali domain yang mengautentikasi permintaan. Panduan di fungsi LogonUserA (winbase.h) |
| Kesalahan autentikasi pass-through Microsoft Entra | Sedang | Skrip PowerShell pengendali domain | Lihat kueri setelah tabel. | Gunakan informasi di Microsoft Entra Connect: Memecahkan Masalah AutentikasiPass-through untuk panduan. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Pemantauan untuk pembuatan penyewa Microsoft Entra baru
Organisasi mungkin perlu memantau dan memperingatkan pembuatan penyewa Microsoft Entra baru saat tindakan dimulai oleh identitas dari penyewa organisasi mereka. Pemantauan untuk skenario ini memberikan visibilitas tentang berapa banyak penyewa yang dibuat dan dapat diakses oleh pengguna akhir.
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pembuatan penyewa Microsoft Entra baru, menggunakan identitas dari penyewa Anda. | Sedang | Log audit Microsoft Entra | Kategori: Manajemen Direktori Aktivitas: Membuat Perusahaan |
Target menunjukkan TenantID yang dibuat |
Konektor jaringan privat
ID Microsoft Entra dan proksi aplikasi Microsoft Entra memberi pengguna jarak jauh pengalaman akses menyeluruh (SSO). Pengguna terhubung dengan aman ke aplikasi lokal tanpa jaringan privat virtual (VPN) atau server dual-homed dan aturan firewall. Jika server konektor jaringan privat Microsoft Entra Anda disusupi, penyerang dapat mengubah pengalaman SSO atau mengubah akses ke aplikasi yang diterbitkan.
Untuk mengonfigurasi pemantauan untuk Proksi Aplikasi, lihat Memecahkan masalah Proksi Aplikasi dan pesan kesalahan. File data yang mencatat informasi dapat ditemukan di Log Aplikasi dan Layanan\Microsoft\Microsoft Entra jaringan privat\Connector\Admin. Untuk panduan referensi lengkap tentang aktivitas audit, lihat Referensi aktivitas audit Microsoft Entra. Hal-hal khusus untuk dipantau:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan Kerberos | Sedang | Berbagai alat | Sedang | Panduan kesalahan autentikasi Kerberos di bawah Kesalahan Kerberos tentang Memecahkan masalah Proksi Aplikasi dan pesan kesalahan. |
| Masalah keamanan DC | Tinggi | Log Audit Keamanan DC | ID Peristiwa 4742(S): Akun komputer diubah -dan- Bendera – Tepercaya untuk Delegasi -atau- Bendera – Tepercaya untuk Mengautentikasi untuk Delegasi |
Selidiki setiap perubahan bendera. |
| Serangan seperti pass-the-ticket | Tinggi | Ikuti panduan di: Pengintaian utama keamanan (LDAP) (ID eksternal 2038) Tutorial: Pemberitahuan kredensial yang disusupi Memahami dan menggunakan Jalur Gerakan Lateral dengan Microsoft Defender untuk Identitas Memahami profil entitas |
Pengaturan autentikasi warisan
Agar autentikasi multifaktor (MFA) efektif, Anda juga perlu memblokir autentikasi warisan. Anda kemudian perlu memantau lingkungan Anda dan memperingatkan penggunaan autentikasi warisan. Protokol autentikasi warisan seperti POP, SMTP, IMAP, dan MAPI tidak dapat memberlakukan MFA. Hal ini menjadikan protokol ini sebagai titik masuk yang disukai untuk penyerang. Untuk informasi selengkapnya tentang alat yang dapat Anda gunakan untuk memblokir autentikasi lama, lihat Alat baru untuk memblokir autentikasi warisan di organisasi Anda.
Autentikasi warisan diambil di log masuk Microsoft Entra sebagai bagian dari detail peristiwa. Anda dapat menggunakan buku kerja Azure Monitor untuk membantu mengidentifikasi penggunaan autentikasi lama. Untuk informasi selengkapnya, lihat Masuk menggunakan autentikasi lama, yang merupakan bagian dari Cara menggunakan Buku Kerja Azure Monitor untuk laporan Microsoft Entra. Anda juga dapat menggunakan buku kerja protokol Tidak Aman untuk Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Panduan Implementasi Buku Kerja Protokol Tidak Aman Microsoft Sentinel. Aktivitas khusus untuk dipantau meliputi:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi warisan | Tinggi | Log masuk Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync buka EXO Klien Lain = SharePoint dan EWS |
Di lingkungan domain gabungan, autentikasi yang gagal tidak direkam dan tidak muncul di log. |
Microsoft Entra Connect
Microsoft Entra Connect menyediakan lokasi terpusat yang memungkinkan sinkronisasi akun dan atribut antara lingkungan Microsoft Entra lokal dan berbasis cloud Anda. Microsoft Entra Connect adalah alat Microsoft yang dirancang untuk memenuhi dan mencapai tujuan identitas hibrid Anda. Ini menyediakan fitur-fitur berikut:
Sinkronisasi hash kata sandi - Metode masuk yang menyinkronkan hash kata sandi AD lokal pengguna dengan ID Microsoft Entra.
Sinkronisasi - Bertanggung jawab untuk membuat pengguna, grup, dan objek lainnya. Dan, pastikan informasi identitas untuk pengguna dan grup lokal Anda cocok dengan cloud. Sinkronisasi ini juga mencakup hash kata sandi.
Monitor Kondisi - Microsoft Entra Connect Health dapat menyediakan pemantauan yang kuat dan menyediakan lokasi pusat di portal Azure untuk melihat aktivitas ini.
Menyinkronkan identitas antara lingkungan lokal dan lingkungan cloud Anda memperkenalkan permukaan serangan baru untuk lingkungan lokal dan berbasis cloud Anda. Kami merekomendasikan:
Anda memperlakukan server utama dan penahapan Microsoft Entra Connect sebagai Sistem Tingkat 0 di sarana kontrol Anda.
Anda mengikuti serangkaian kebijakan standar yang mengatur setiap jenis akun dan penggunaannya di lingkungan Anda.
Anda menginstal Microsoft Entra Connect dan Connect Health. Ini terutama menyediakan data operasional untuk lingkungan.
Pengelogan operasi Microsoft Entra Connect terjadi dengan cara yang berbeda:
Wizard Microsoft Entra Connect mencatat data ke
\ProgramData\AADConnect. Setiap kali wizard dipanggil, file log jejak bertanda waktu dibuat. Log jejak dapat diimpor ke Sentinel atau alat informasi keamanan dan manajemen peristiwa (SIEM) pihak ke-3 lainnya untuk analisis.Beberapa operasi memulai skrip PowerShell untuk menangkap informasi pengelogan. Untuk mengumpulkan data ini, Anda harus memastikan pengelogan blok skrip diaktifkan.
Memantau perubahan konfigurasi
MICROSOFT Entra ID menggunakan Microsoft SQL Server Data Engine atau SQL untuk menyimpan informasi konfigurasi Microsoft Entra Connect. Oleh karena itu, pemantauan dan audit file log yang terkait dengan konfigurasi harus disertakan dalam strategi pemantauan dan audit Anda. Secara khusus, sertakan tabel berikut dalam strategi pemantauan dan pemberitahuan Anda.
| Apa yang harus dipantau | Mana | Catatan |
|---|---|---|
| mms_management_agent | Catatan audit layanan SQL | Lihat Catatan Audit SQL Server |
| mms_partition | Catatan audit layanan SQL | Lihat Catatan Audit SQL Server |
| mms_run_profile | Catatan audit layanan SQL | Lihat Catatan Audit SQL Server |
| mms_server_configuration | Catatan audit layanan SQL | Lihat Catatan Audit SQL Server |
| mms_synchronization_rule | Catatan audit layanan SQL | Lihat Catatan Audit SQL Server |
Untuk informasi tentang apa dan cara memantau informasi konfigurasi, lihat:
Untuk server SQL, lihat Catatan Audit SQL Server.
Untuk Microsoft Azure Sentinel, lihat Menyambungkan ke server Windows untuk mengumpulkan peristiwa keamanan.
Untuk informasi tentang mengonfigurasi dan menggunakan Microsoft Entra Connect, lihat Apa itu Microsoft Entra Connect?
Pemantauan dan sinkronisasi pemecahan masalah
Salah satu fungsi Microsoft Entra Connect adalah menyinkronkan sinkronisasi hash antara kata sandi lokal pengguna dan ID Microsoft Entra. Jika kata sandi tidak disinkronkan seperti yang diharapkan, sinkronisasi mungkin memengaruhi subset pengguna atau semua pengguna. Gunakan hal berikut untuk membantu memverifikasi operasi yang tepat atau memecahkan masalah:
Informasi untuk memeriksa dan memecahkan masalah sinkronisasi hash, lihat Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.
Modifikasi pada ruang konektor, lihat Memecahkan masalah objek dan atribut Microsoft Entra Connect.
Sumber daya penting tentang pemantauan
| Apa yang harus dipantau | Sumber daya |
|---|---|
| Validasi sinkronisasi hash | Lihat Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect |
| Modifikasi pada ruang konektor | lihat Memecahkan masalah objek dan atribut Microsoft Entra Connect |
| Modifikasi pada aturan yang Anda konfigurasi | Memantau perubahan pada: pemfilteran, domain dan OU, atribut, dan perubahan berbasis grup |
| Perubahan SQL dan MSDE | Perubahan pada parameter pengelogan dan penambahan fungsi kustom |
Pantau hal berikut:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Perubahan penjadwal | Tinggi | PowerShell | Set-ADSyncScheduler | Cari modifikasi yang akan dijadwalkan |
| Perubahan pada tugas terjadwal | Tinggi | Log audit Microsoft Entra | Aktivitas = 4699(S): Tugas terjadwal dihapus -atau- Aktivitas = 4701: Tugas terjadwal dinonaktifkan -atau- Aktivitas = 4702: Tugas terjadwal diperbarui |
Pantau semua |
Untuk informasi selengkapnya tentang pengelogan operasi skrip PowerShell, lihat Mengaktifkan Pengelogan Blok Skrip, yang merupakan bagian dari dokumentasi referensi PowerShell.
Untuk informasi selengkapnya tentang mengonfigurasi pengelogan PowerShell untuk analisis oleh Splunk, lihat Mendapatkan Data ke Splunk User Behavior Analytics.
Memantau akses menyeluruh yang mulus
Akses menyeluruh tanpa hambatan (Seamless SSO) Microsoft Entra secara otomatis memasukkan pengguna saat mereka berada di desktop perusahaan mereka yang terhubung ke jaringan perusahaan Anda. SSO Tanpa Hambatan memberi pengguna Anda akses mudah ke aplikasi berbasis cloud Anda tanpa komponen lokal lainnya. SSO menggunakan kemampuan autentikasi pass-through dan sinkronisasi hash kata sandi yang disediakan oleh Microsoft Entra Connect.
Memantau akses menyeluruh dan aktivitas Kerberos dapat membantu Anda mendeteksi pola serangan pencurian info masuk umum. Pantau menggunakan informasi berikut:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan yang terkait dengan kegagalan validasi SSO dan Kerberos | Sedang | Log masuk Microsoft Entra | Daftar akses menyeluruh kode kesalahan di Akses menyeluruh. | |
| Kueri untuk pemecahan masalah kesalahan | Sedang | PowerShell | Lihat kueri tabel berikut. periksa di setiap forest dengan SSO diaktifkan. | Periksa di setiap forest dengan SSO diaktifkan. |
| Peristiwa terkait Kerberos | Tinggi | pemantauan Microsoft Defender untuk Identitas | Tinjau panduan yang tersedia di Microsoft Defender untuk Identitas Jalur Gerakan Lateral (LMP) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Kebijakan perlindungan kata sandi
Jika Anda menyebarkan Perlindungan Kata Sandi Microsoft Entra, pemantauan dan pelaporan adalah tugas penting. Tautan berikut memberikan detail untuk membantu Anda memahami berbagai teknik pemantauan, termasuk di mana setiap informasi log layanan dan cara melaporkan penggunaan Perlindungan Kata Sandi Microsoft Entra.
Agen pengendali domain (DC) dan layanan proksi keduanya mencatat pesan log peristiwa. Semua cmdlet PowerShell yang dijelaskan di bawah ini hanya tersedia di server proksi (lihat modul PowerShell AzureADPasswordProtection). Perangkat lunak agen DC tidak menginstal modul PowerShell.
Informasi terperinci untuk merencanakan dan menerapkan perlindungan kata sandi lokal tersedia di Rencanakan dan sebarkan Perlindungan Kata Sandi Microsoft Entra lokal. Untuk detail pemantauan, lihat Memantau Perlindungan Kata Sandi Microsoft Entra lokal. Pada setiap pengontrol domain, perangkat lunak layanan agen DC menulis hasil setiap operasi validasi kata sandi individu (dan status lainnya) ke log peristiwa lokal berikut:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Log Admin agen DC adalah sumber informasi utama tentang perilaku perangkat lunak. Secara default, log Jejak nonaktif dan harus diaktifkan sebelum data dicatat. Untuk memecahkan masalah proksi aplikasi dan pesan kesalahan, informasi terperinci tersedia di Memecahkan Masalah proksi aplikasi Microsoft Entra. Informasi untuk peristiwa ini masuk:
Log Aplikasi dan Layanan\Microsoft\Microsoft Entra jaringan privat\Connector\Admin
Log audit Microsoft Entra, Kategori Proksi Aplikasi
Referensi lengkap untuk aktivitas audit Microsoft Entra tersedia di referensi aktivitas audit Microsoft Entra.
Akses Bersyarah
Di ID Microsoft Entra, Anda dapat melindungi akses ke sumber daya Anda dengan mengonfigurasi kebijakan Akses Bersyar. Sebagai administrator TI, Anda ingin memastikan kebijakan Akses Bersyarat berfungsi seperti yang diharapkan untuk memastikan bahwa sumber daya Anda dilindungi. Pemantauan dan pemberitahuan tentang perubahan pada layanan Akses Bersyarat memastikan kebijakan yang ditentukan oleh organisasi Anda untuk akses ke data diberlakukan. Log Microsoft Entra saat perubahan dilakukan pada Akses Bersyarat dan juga menyediakan buku kerja untuk memastikan kebijakan Anda memberikan cakupan yang diharapkan.
Tautan Buku Kerja
Pantau perubahan pada kebijakan Akses Bersyar menggunakan informasi berikut:
| Apa yang harus dipantau | Tingkat risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kebijakan Akses Bersyarah Baru yang dibuat oleh aktor yang tidak disetujui | Sedang | Log audit Microsoft Entra | Aktivitas: Menambahkan kebijakan Akses Bersyar Kategori: Kebijakan Dimulai oleh (aktor): Nama Prinsipal Pengguna |
Pantau dan pemberitahuan tentang perubahan Akses Bersyar. Apakah Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? Templat Microsoft Azure Sentinel Aturan sigma |
| Kebijakan Akses Bersyarah dihapus oleh aktor yang tidak disetujui | Sedang | Log audit Microsoft Entra | Aktivitas: Menghapus kebijakan Akses Bersyar Kategori: Kebijakan Dimulai oleh (aktor): Nama Prinsipal Pengguna |
Pantau dan pemberitahuan tentang perubahan Akses Bersyar. Apakah Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? Templat Microsoft Azure Sentinel Aturan sigma |
| Kebijakan Akses Bersyarah diperbarui oleh aktor yang tidak disetujui | Sedang | Log audit Microsoft Entra | Aktivitas: Memperbarui kebijakan Akses Bersyar Kategori: Kebijakan Dimulai oleh (aktor): Nama Prinsipal Pengguna |
Pantau dan pemberitahuan tentang perubahan Akses Bersyar. Apakah Dimulai oleh (aktor): disetujui untuk membuat perubahan pada Akses Bersyar? Tinjau Properti yang Dimodifikasi dan bandingkan nilai "lama" vs "baru" Templat Microsoft Azure Sentinel Aturan sigma |
| Penghapusan pengguna dari grup yang digunakan untuk mencakup kebijakan Akses Bersyar penting | Sedang | Log audit Microsoft Entra | Aktivitas: Menghapus anggota dari grup Kategori: GroupManagement Target: Nama Prinsipal Pengguna |
Montior dan Pemberitahuan untuk grup yang digunakan untuk mencakup Kebijakan Akses Bersyar penting. "Target" adalah pengguna yang telah dihapus. Aturan sigma |
| Penambahan pengguna ke grup yang digunakan untuk mencakup kebijakan Akses Bersyar penting | Rendah | Log audit Microsoft Entra | Aktivitas: Menambahkan anggota ke grup Kategori: GroupManagement Target: Nama Prinsipal Pengguna |
Montior dan Pemberitahuan untuk grup yang digunakan untuk mencakup Kebijakan Akses Bersyar penting. "Target" adalah pengguna yang telah ditambahkan. Aturan sigma |
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management