Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Infrastruktur memiliki banyak komponen di mana kerentanan dapat terjadi jika tidak dikonfigurasi dengan benar. Sebagai bagian dari strategi pemantauan dan peringatan Anda untuk infrastruktur, pantau dan waspada peristiwa-peristiwa di area berikut:
Autentikasi dan Otorisasi
Komponen Autentikasi Hibrid mencakup Server Federasi
Kebijakan
Langganan
Memantau dan mewaspadai komponen infrastruktur autentikasi Anda sangat penting. Penyusupan apa pun dapat menyebabkan penyusupan penuh terhadap seluruh lingkungan. Banyak perusahaan yang menggunakan MICROSOFT Entra ID beroperasi di lingkungan autentikasi hibrid. Komponen cloud dan lokal harus disertakan dalam strategi pemantauan dan peringatan Anda. Memiliki lingkungan autentikasi hibrida juga memperkenalkan vektor serangan lain ke lingkungan Anda.
Kami merekomendasikan semua komponen agar dianggap sebagai aset Sarana Kontrol / Tier 0 dan akun yang digunakan untuk mengelolanya. Lihat Mengamankan aset istimewa (SPA) untuk panduan dalam merancang dan mengimplementasikan lingkungan Anda. Panduan ini mencakup rekomendasi untuk setiap komponen autentikasi hibrid yang berpotensi digunakan untuk penyewa Microsoft Entra.
Langkah pertama untuk dapat mendeteksi kejadian tak terduga dan potensi serangan adalah dengan menetapkan satu garis besar. Untuk semua komponen lokal yang tercantum dalam artikel ini, lihat Penyebaran akses istimewa, yang merupakan bagian dari panduan mengamankan aset istimewa (SPA).
Tempat mencari
File log yang Anda gunakan untuk menyelidiki dan memantau adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Sentinel – Mengaktifkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).
Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – Mengaktifkan pemantauan dan peringatan otomatis dari berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan SIEM - Log Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – Memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, serta memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Bagian selanjutnya dari artikel ini menjelaskan apa yang perlu Anda pantau dan waspadai. Artikel ini disusun berdasarkan jenis ancaman. Saat terdapat solusi tertentu yang telah dibuat sebelumnya, Anda akan menemukan link ke solusi tersebut, setelah tabel. Atau, Anda dapat membangun pemberitahuan menggunakan alat sebelumnya.
Infrastruktur autentikasi
Dalam lingkungan hibrida yang berisi sumber daya dan akun berbasis cloud dan lokal, infrastruktur Layanan Domain Active Directory adalah bagian penting dari tumpukan autentikasi. Tumpukan ini juga merupakan target serangan sehingga harus dikonfigurasi untuk menjaga lingkungan yang aman dan harus dipantau dengan benar. Contoh jenis serangan saat ini yang digunakan terhadap infrastruktur autentikasi Anda menggunakan teknik Password Spray dan Solorigate. Berikut ini adalah tautan ke artikel yang kami rekomendasikan:
Mengamankan gambaran umum akses istimewa – Artikel ini memberikan gambaran umum tentang teknik saat ini menggunakan teknik Zero Trust untuk membuat dan memelihara akses istimewa yang aman.
Aktivitas domain yang dipantau Pertahanan Microsoft untuk Identitas - Artikel ini menyediakan daftar aktivitas yang komprehensif untuk memantau dan mengatur peringatan.
Tutorial peringatan keamanan Pertahanan Microsoft untuk Identitas - Artikel ini memberikan panduan tentang membuat dan menerapkan strategi peringatan keamanan.
Berikut ini adalah tautan ke artikel tertentu yang berfokus pada pemantauan dan peringatan infrastruktur autentikasi Anda:
Memahami dan menggunakan Jalur Pergerakan Lateral dengan Pertahanan Microsoft untuk Identitas - Teknik deteksi untuk membantu mengidentifikasi kapan akun yang tidak sensitif digunakan untuk mendapatkan akses ke akun jaringan yang sensitif.
Bekerja dengan peringatan keamanan di Pertahanan Microsoft untuk Identitas - Artikel ini menjelaskan cara meninjau dan mengelola peringatan setelah dicatat.
Berikut ini adalah hal-hal spesifik yang harus dicari:
| Yang harus dipantau | Tingkat risiko | Di mana | Catatan |
|---|---|---|---|
| Tren penguncian ekstranet | Sangat Penting | Microsoft Entra Connect Health (Layanan Kesehatan Terhubung dari Microsoft Entra) | Lihat, Memantau Layanan Federasi Direktori Aktif menggunakan Microsoft Entra Connect Health untuk alat dan teknik untuk membantu mendeteksi tren penguncian ekstranet. |
| Upaya masuk yang gagal | Sangat Penting | Portal Connect Health | Mengekspor atau mengunduh IP Berisiko dan ikuti panduan di Laporan IP Berisiko (pratinjau umum) untuk langkah selanjutnya. |
| Sesuai privasi | Kurang Penting | Microsoft Entra Connect Health (Layanan Kesehatan Terhubung dari Microsoft Entra) | Konfigurasikan Microsoft Entra Connect Health untuk menonaktifkan pengumpulan dan pemantauan data menggunakan artikel Privasi pengguna dan Microsoft Entra Connect Health . |
| Potensi serangan brute force di LDAP | Menengah | Microsoft Defender untuk Identitas | Gunakan sensor untuk membantu mendeteksi potensi serangan brute force terhadap LDAP. |
| Pengintaian enumirasi akun | Menengah | Microsoft Defender untuk Identitas | Gunakan sensor untuk membantu melakukan pengintaian enumerasi akun. |
| Korelasi umum antara ID Microsoft Entra dan Azure AD FS | Menengah | Microsoft Defender untuk Identitas | Gunakan kemampuan untuk menghubungkan aktivitas antara ID Microsoft Entra dan lingkungan Azure AD FS Anda. |
Pemantauan autentikasi pass-through
Autentikasi pass-through Microsoft Entra memasukkan pengguna dengan memvalidasi kata sandi mereka secara langsung terhadap Active Directory lokal.
Berikut ini adalah hal-hal spesifik yang harus dicari:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Tidak dapat tersambung ke Layanan Domain Active Directory | Pastikan bahwa server agen adalah anggota forest AD yang sama dengan pengguna yang kata sandinya perlu divalidasi, dan mereka dapat terhubung ke Layanan Domain Active Directory. |
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Waktu habis terjadi saat menyambungkan ke Layanan Domain Active Directory | Periksa untuk memastikan bahwa Active Directory tersedia dan menanggapi permintaan dari agen. |
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - Nama pengguna yang diteruskan ke agen tidak valid | Pastikan pengguna mencoba masuk dengan nama pengguna yang tepat. |
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - Validasi menemukan WebException yang tidak dapat diprediksi | Kesalahan sementara. Coba lagi permintaannya. Jika terus gagal, hubungi dukungan Microsoft. |
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Timbul masalah saat berkomunikasi dengan Layanan Domain Active Directory | Periksa log agen untuk informasi lebih lanjut dan verifikasikan bahwa Active Directory beroperasi seperti yang diharapkan. |
| Kesalahan autentikasi pass-through Microsoft Entra | Sangat Penting | API fungsi Win32 LogonUserA | Peristiwa masuk 4624(s): Akun berhasil masuk - berkorelasi dengan – 4625(F): Akun gagal masuk |
Gunakan dengan nama pengguna yang dicurigai pada pengontrol domain yang mengautentikasi permintaan. Panduan LogonUserA function (winbase.h) |
| Kesalahan autentikasi pass-through Microsoft Entra | Menengah | Skrip pengontrol domain PowerShell | Lihat kueri setelah tabel. | Gunakan informasi di Microsoft Entra Connect: Memecahkan Masalah AutentikasiPass-through untuk panduan. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Pemantauan untuk pembuatan penyewa Microsoft Entra baru
Organisasi mungkin perlu memantau dan memperingatkan pembuatan penyewa Microsoft Entra baru saat tindakan dimulai oleh identitas dari penyewa organisasi mereka. Pemantauan untuk skenario ini memberikan visibilitas tentang berapa banyak penyewa yang dibuat dan dapat diakses oleh pengguna akhir.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pembuatan penyewa Microsoft Entra baru, menggunakan identitas dari penyewa Anda. | Menengah | Log audit Microsoft Entra | Kategori: Manajemen Direktori Aktivitas: Membuat Perusahaan |
Target menunjukkan TenantID yang dibuat |
Konektor jaringan privat
ID Microsoft Entra dan proksi aplikasi Microsoft Entra memberi pengguna jarak jauh pengalaman akses menyeluruh (SSO). Pengguna dengan aman terhubung ke aplikasi lokal tanpa jaringan privat virtual (VPN) atau server rumah ganda dan aturan firewall. Jika server konektor jaringan privat Microsoft Entra Anda disusupi, penyerang dapat mengubah pengalaman SSO atau mengubah akses ke aplikasi yang diterbitkan.
Untuk mengonfigurasi pemantauan Proksi Aplikasi, lihat Memecahkan Masalah Proksi Aplikasi dan pesan kesalahan. File data yang mencatat informasi dapat ditemukan di Log Aplikasi dan Layanan\Microsoft\Microsoft Entra jaringan privat\Connector\Admin. Untuk panduan referensi lengkap tentang aktivitas audit, lihat Referensi aktivitas audit Microsoft Entra. Hal-hal khusus yang harus diperiksa:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan Kerberos | Menengah | Berbagai alat | Menengah | Panduan kesalahan autentikasi Kerberos di bawah kesalahan Kerberos pada Memecahkan Masalah Proksi Aplikasi dan pesan kesalahan. |
| Masalah keamanan DC | Sangat Penting | Log Audit Keamanan DC | ID Peristiwa 4742(S): Akun komputer telah diubah -dan- Bendera – Dipercayai untuk Mendelegasikan -atau- Bendera – Dipercaya untuk Mengautentikasi untuk Mendelegasikan |
Selidiki perubahan bendera apa pun. |
| Serangan seperti Berikan-tiket | Sangat Penting | Ikuti panduan di: Pengintaian perwakilan keamanan (LDAP) (ID eksternal 2038) Tutorial: Peringatan kredensial yang disusupi Memahami dan menggunakan Jalur Pergerakan Lateral dengan Pertahanan Microsoft untuk Identitas Memahami profil entitas |
Pengaturan autentikasi warisan
Agar autentikasi multifaktor (MFA/Multifactor Authentication) berfungsi efektif, Anda juga perlu memblokir autentikasi warisan. Anda kemudian perlu memantau lingkungan Anda dan mewaspadai penggunaan autentikasi warisan. Protokol autentikasi lama seperti POP, SMTP, IMAP, dan MAPI tidak dapat menerapkan MFA. Hal ini menjadikan protokol ini sebagai titik masuk pilihan bagi penyerang. Untuk informasi selengkapnya tentang alat yang dapat Anda gunakan untuk memblokir autentikasi lama, lihat Alat baru untuk memblokir autentikasi lama di organisasi Anda.
Autentikasi warisan diambil di log masuk Microsoft Entra sebagai bagian dari detail peristiwa. Anda dapat menggunakan buku kerja Azure Monitor untuk membantu mengidentifikasi penggunaan autentikasi lama. Untuk informasi selengkapnya, lihat Masuk menggunakan autentikasi lama, yang merupakan bagian dari Cara menggunakan Buku Kerja Azure Monitor untuk laporan Microsoft Entra. Anda juga dapat menggunakan buku kerja protokol Insecure untuk Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Panduan Implementasi Buku Kerja Protokol Tidak Aman Microsoft Azure Sentinel. Kegiatan khusus untuk dipantau meliputi:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi warisan | Sangat Penting | Log masuk Microsoft Entra | ClientApp : POP AplikasiKlien : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync ke EXO Klien Lain = SharePoint dan EWS |
Di lingkungan domain gabungan, autentikasi yang gagal tidak dicatat dan tidak muncul di log. |
Microsoft Entra Connect
Microsoft Entra Connect menyediakan lokasi terpusat yang memungkinkan sinkronisasi akun dan atribut antara lingkungan Microsoft Entra lokal dan berbasis cloud Anda. Microsoft Entra Connect adalah alat Microsoft yang dirancang untuk memenuhi dan mencapai tujuan identitas hibrid Anda. Firewall Manager menyediakan fitur-fitur berikut:
Sinkronisasi hash kata sandi - Metode masuk yang menyinkronkan hash kata sandi AD lokal pengguna dengan ID Microsoft Entra.
Sinkronisasi - Bertanggung jawab untuk membuat pengguna, grup, dan objek lainnya. Dan, memastikan informasi identitas untuk pengguna dan grup lokal Anda cocok dengan cloud. Sinkronisasi ini juga mencakup hash kata sandi.
Monitor Kondisi - Microsoft Entra Connect Health dapat menyediakan pemantauan yang kuat dan menyediakan lokasi pusat di portal Azure untuk melihat aktivitas ini.
Menyinkronkan identitas antara lingkungan lokal dan lingkungan cloud Anda memperkenalkan permukaan serangan baru untuk lingkungan lokal dan berbasis cloud Anda. Kami menyarankan:
Anda memperlakukan server utama dan penahapan Microsoft Entra Connect sebagai Sistem Tingkat 0 di sarana kontrol Anda.
Anda mengikuti serangkaian kebijakan standar yang mengatur setiap jenis akun dan penggunaannya di lingkungan Anda.
Anda menginstal Microsoft Entra Connect dan Connect Health. Cara ini terutama menyediakan data operasional untuk lingkungan.
Pengelogan operasi Microsoft Entra Connect terjadi dengan cara yang berbeda:
Wizard Microsoft Entra Connect mencatat data ke
\ProgramData\AADConnect. Setiap kali wizard dipanggil, file log jejak dengan cap waktu dibuat. Log pelacakan dapat diimpor ke Sentinel atau alat informasi keamanan dan manajemen acara (SIEM) pihak ke-3 lainnya untuk analisis.Beberapa operasi memulai skrip PowerShell untuk menangkap informasi pengelogan. Untuk mengumpulkan data ini, Anda harus memastikan pengelogan blok skrip diaktifkan.
Memantau perubahan konfigurasi
MICROSOFT Entra ID menggunakan Microsoft SQL Server Data Engine atau SQL untuk menyimpan informasi konfigurasi Microsoft Entra Connect. Oleh karena itu, pemantauan dan audit file log yang terkait dengan konfigurasi harus dimasukkan ke dalam strategi pemantauan dan audit Anda. Secara khusus, sertakan tabel berikut dalam strategi pemantauan dan peringatan Anda.
| Yang harus dipantau | Di mana | Catatan |
|---|---|---|
| mms_management_agent | rekaman audit layanan SQL | Lihat Rekaman Audit SQL Server |
| mms_partition | rekaman audit layanan SQL | Lihat Rekaman Audit SQL Server |
| mms_run_profile | rekaman audit layanan SQL | Lihat Rekaman Audit SQL Server |
| pengaturan_server_MMS | rekaman audit layanan SQL | Lihat Rekaman Audit SQL Server |
| aturan_sinkronisasi_mms | rekaman audit layanan SQL | Lihat Rekaman Audit SQL Server |
Untuk informasi tentang apa yang harus dilakukan dan bagaimana memantau informasi konfigurasi, lihat:
Untuk server SQL, lihat Rekaman Audit SQL Server.
Untuk Microsoft Azure Sentinel, lihat Sambungkan ke server Windows untuk mengumpulkan peristiwa keamanan.
Untuk informasi tentang mengonfigurasi dan menggunakan Microsoft Entra Connect, lihat Apa itu Microsoft Entra Connect?
Memantau dan memecahkan masalah sinkronisasi
Salah satu fungsi Microsoft Entra Connect adalah menyinkronkan sinkronisasi hash antara kata sandi lokal pengguna dan ID Microsoft Entra. Jika kata sandi tidak disinkronkan seperti yang diharapkan, sinkronisasi dapat mempengaruhi sebagian pengguna atau semua pengguna. Gunakan hal berikut untuk membantu memverifikasi operasi yang tepat atau memecahkan masalah:
Informasi untuk memeriksa dan memecahkan masalah sinkronisasi hash, lihat Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.
Modifikasi pada ruang konektor, lihat Memecahkan masalah objek dan atribut Microsoft Entra Connect.
Sumber daya penting untuk pemantauan
| Yang harus dipantau | Sumber |
|---|---|
| Validasi sinkronisasi hash | Lihat Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect |
| Modifikasi pada ruang konektor | lihat Memecahkan masalah objek dan atribut Microsoft Entra Connect |
| Modifikasi pada aturan yang Anda konfigurasi | Memantau perubahan pada: pemfilteran, domain dan unit organisasi, atribut, dan perubahan berbasis grup |
| Perubahan SQL dan MSDE | Perubahan parameter pengelogan dan penambahan fungsi kustom |
Memantau hal-hal berikut:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Perubahan Microsoft Azure Scheduler | Sangat Penting | PowerShell | Set-ADSyncScheduler | Mencari modifikasi pda jadwal |
| Perubahan pada tugas terjadwal | Sangat Penting | Log audit Microsoft Entra | Aktivitas = 4699 (S): Tugas terjadwal telah dihapus -atau- Aktivitas = 4701(s): Tugas terjadwal telah dinonaktifkan -atau- Aktivitas = 4702: Tugas terjadwal diperbarui |
Memantau semua |
Untuk informasi selengkapnya tentang pengelogan operasi skrip PowerShell, lihat Mengaktifkan Pengelogan Blok Skrip, yang merupakan bagian dari dokumentasi referensi PowerShell.
Untuk informasi selengkapnya tentang mengonfigurasi pembuatan log PowerShell untuk analisis oleh Splunk, lihat Dapatkan Data ke Splunk User Behavior Analytics.
Memantau akses menyeluruh (SSO) yang mulus
Akses menyeluruh tanpa hambatan (Seamless SSO) Microsoft Entra secara otomatis memasukkan pengguna saat mereka berada di desktop perusahaan mereka yang terhubung ke jaringan perusahaan Anda. SSO Tanpa Hambatan memberi pengguna Anda akses mudah ke aplikasi berbasis cloud tanpa komponen lokal lainnya. SSO menggunakan kemampuan autentikasi pass-through dan sinkronisasi hash kata sandi yang disediakan oleh Microsoft Entra Connect.
Memantau aktivitas akses menyeluruh dan Kerberos dapat membantu Anda mendeteksi pola serangan pencurian kredensial umum. Memantau menggunakan informasi berikut:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kesalahan yang terkait dengan kegagalan validasi SSO dan Kerberos | Menengah | Log masuk Microsoft Entra | Daftar kode kesalahan sistem masuk tunggal pada Akses menyeluruh. | |
| Kueri untuk kesalahan pemecahan masalah | Menengah | PowerShell | Lihat kueri tabel berikut. periksa di setiap forest dengan SSO diaktifkan. | Periksa di setiap forest dengan SSO diaktifkan. |
| Peristiwa terkait Kerberos | Sangat Penting | Memantau Pertahanan Microsoft untuk Identitas | Panduan tinjauan tersedia di Jalur Pergerakan Lateral (LMP) Pertahanan Microsoft untuk Identitas |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Kebijakan perlindungan kata sandi
Jika Anda menyebarkan Perlindungan Kata Sandi Microsoft Entra, pemantauan dan pelaporan adalah tugas penting. Tautan berikut memberikan detail untuk membantu Anda memahami berbagai teknik pemantauan, termasuk di mana setiap informasi log layanan dan cara melaporkan penggunaan Perlindungan Kata Sandi Microsoft Entra.
Agen pengendali domain (DC) dan layanan proksi keduanya mencatat pesan log peristiwa. Semua PowerShell cmdlet yang dijelaskan di bawah hanya tersedia di server proksi (lihat modul AzureADPasswordProtection PowerShell). Perangkat lunak agen DC tidak memasang modul PowerShell.
Informasi terperinci untuk merencanakan dan menerapkan perlindungan kata sandi lokal tersedia di Rencanakan dan sebarkan Perlindungan Kata Sandi Microsoft Entra lokal. Untuk detail pemantauan, lihat Memantau Perlindungan Kata Sandi Microsoft Entra lokal. Di setiap pengendali domain, perangkat lunak layanan agen DC menulis hasil setiap operasi validasi kata sandi individu (dan status lainnya) pada log peristiwa lokal berikut:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Log Aplikasi dan Layanan\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Log Admin agen DC merupakan sumber informasi utama tentang cara perangkat lunak berperilaku. Secara default, log Pelacakan tidak aktif dan harus diaktifkan sebelum data dicatat. Untuk memecahkan masalah proksi aplikasi dan pesan kesalahan, informasi terperinci tersedia di Memecahkan Masalah proksi aplikasi Microsoft Entra. Informasi untuk peristiwa ini dicatat di:
Log Aplikasi dan Layanan\Microsoft\Microsoft Entra jaringan privat\Connector\Admin
Log audit Microsoft Entra, Kategori Proksi Aplikasi
Referensi lengkap untuk aktivitas audit Microsoft Entra tersedia di referensi aktivitas audit Microsoft Entra.
Akses Bersyarat
Di ID Microsoft Entra, Anda dapat melindungi akses ke sumber daya Anda dengan mengonfigurasi kebijakan Akses Bersyar. Sebagai administrator TI, Anda ingin memastikan kebijakan Akses Bersyarat Anda berfungsi seperti yang diharapkan untuk memastikan bahwa sumber daya Anda terlindungi. Pemantauan dan peringatan tentang perubahan pada layanan Akses Bersyarat memastikan kebijakan yang ditentukan oleh organisasi Anda untuk akses ke data diterapkan. Log Microsoft Entra saat perubahan dilakukan pada Akses Bersyarat dan juga menyediakan buku kerja untuk memastikan kebijakan Anda memberikan cakupan yang diharapkan.
Tautan Buku Kerja
Pantau perubahan pada kebijakan Akses Bersyarat menggunakan informasi berikut:
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Kebijakan Akses Bersyarat baru yang dibuat oleh pelaku yang tidak disetujui | Menengah | Log audit Microsoft Entra | Aktivitas: Menambahkan kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Pemantauan dan pemberitahuan tentang perubahan Akses Bersyarat. Apakah Diprakarsai oleh (pelaku): setujui untuk membuat perubahan pada Akses Bersyarat? Templat Microsoft Sentinel Aturan sigma |
| Kebijakan Akses Bersyarat dihapus oleh pelaku yang tidak disetujui | Menengah | Log audit Microsoft Entra | Aktivitas: Menghapus kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Pemantauan dan pemberitahuan tentang perubahan Akses Bersyarat. Apakah Diprakarsai oleh (pelaku): setujui untuk membuat perubahan pada Akses Bersyarat? Templat Microsoft Sentinel Aturan sigma |
| Kebijakan Akses Bersyarat diperbarui oleh pelaku yang tidak disetujui | Menengah | Log audit Microsoft Entra | Aktivitas: Memperbarui kebijakan Akses Bersyar Kategori: Kebijakan Diprakarsai oleh (pelaku) – Nama Prinsipal Pengguna |
Pemantauan dan pemberitahuan tentang perubahan Akses Bersyarat. Apakah Diprakarsai oleh (pelaku): setujui untuk membuat perubahan pada Akses Bersyarat? Tinjau Properti yang Dimodifikasi dan bandingkan nilai "lama" vs "baru" Templat Microsoft Sentinel Aturan sigma |
| Penghapusan pengguna dari grup yang digunakan untuk mencakup kebijakan Akses Bersyarat yang penting | Menengah | Log audit Microsoft Entra | Aktivitas: Menghapus anggota dari grup Kategori: GroupManagement Target: Nama Prinsipal Pengguna |
Pantau dan Beri Pemberitahuan untuk grup yang digunakan untuk mengatur ruang lingkup Kebijakan Akses Bersyarat kritis. "Target" adalah pengguna yang telah dihapus. Aturan sigma |
| Penambahan pengguna ke grup yang digunakan untuk mencakup kebijakan Akses Bersyarat penting | Kurang Penting | Log audit Microsoft Entra | Aktivitas: Menambahkan anggota ke grup Kategori: GroupManagement Target: Nama Prinsipal Pengguna |
Pantau dan Beri Pemberitahuan untuk grup yang digunakan untuk mengatur ruang lingkup Kebijakan Akses Bersyarat kritis. "Target" adalah pengguna yang telah ditambahkan. Aturan sigma |
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management