Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Keamanan aset bisnis tergantung pada integritas akun dengan hak istimewa yang mengelola sistem TI Anda. Penyerang cyber menggunakan serangan pencurian info masuk untuk menargetkan akun admin dan akun akses hak istimewa lainnya untuk mencoba mendapatkan akses ke data sensitif.
Untuk layanan cloud, pencegahan dan respons adalah tanggung jawab bersama penyedia layanan cloud dan pelanggan.
Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif. Di ID Microsoft Entra, kami mengganti perimeter keamanan jaringan dengan autentikasi di lapisan identitas organisasi Anda. Karena pengguna ditugaskan pada peran administratif istimewa, akses mereka harus dilindungi di lingkungan lokal, cloud, dan hibrida.
Anda sepenuhnya bertanggung jawab atas semua lapisan keamanan untuk lingkungan TI lokal Anda. Ketika Anda menggunakan layanan cloud Azure, pencegahan dan respons adalah tanggung jawab bersama Microsoft sebagai penyedia layanan cloud dan Anda sebagai pelanggan.
Untuk informasi lebih lanjut tentang model tanggung jawab bersama, kunjungi Tanggung jawab bersama di cloud.
Untuk informasi selengkapnya tentang mengamankan akses untuk pengguna istimewa, lihat Mengamankan akses Istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.
Untuk berbagai video, panduan cara, dan konten konsep kunci untuk identitas istimewa, kunjungi dokumentasi Privileged Identity Management.
Privileged Identity Management (PIM) adalah layanan Microsoft Entra yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda. Sumber daya ini mencakup sumber daya di ID Microsoft Entra, Azure, dan Layanan Online Microsoft lainnya seperti Microsoft 365 atau Microsoft Intune. Anda dapat menggunakan PIM untuk membantu mengurangi risiko berikut:
Mengidentifikasi dan meminimalkan jumlah orang yang memiliki akses ke informasi dan sumber daya yang aman.
Mendeteksi izin akses yang berlebihan, tidak perlu, atau disalahgunakan pada sumber daya sensitif.
Mengurangi kemungkinan aktor jahat mendapatkan akses ke informasi atau sumber daya yang aman.
Mengurangi kemungkinan pengguna yang tidak sah secara tidak sengaja berdampak pada sumber daya sensitif.
Gunakan artikel ini untuk menyediakan panduan guna mengatur garis besar, mengaudit kredensial masuk, dan penggunaan akun istimewa. Gunakan sumber log audit sumber untuk membantu menjaga integritas akun istimewa.
Tempat mencari
File log yang Anda gunakan untuk menyelidiki dan memantau adalah:
Di portal Azure, lihat log audit Microsoft Entra dan unduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain untuk mengotomatiskan pemantauan dan pemberitahuan:
Microsoft Azure Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).
Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – mengaktifkan pemantauan dan pemberitahuan otomatis tentang berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan log SIEM- Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Microsoft Defender for Cloud Apps – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sisa artikel ini memiliki rekomendasi untuk menetapkan garis besar guna dipantau dan diperingatkan, dengan model tingkat. Link ke solusi bawaan muncul setelah tabel. Anda dapat membuat peringatan menggunakan alat sebelumnya. Konten diatur ke dalam area topik berikut:
Garis besar
Penetapan peran Microsoft Entra
Pengaturan pemberitahuan peran Microsoft Entra
Penetapan peran sumber daya Azure
Manajemen akses untuk sumber daya Azure
Akses lebih tinggi untuk mengelola langganan Azure
Garis besar
Berikut ini adalah pengaturan garis besar yang direkomendasikan:
| Yang harus dipantau | Tingkat risiko | Rekomendasi | Peran | Catatan |
|---|---|---|---|---|
| Penetapan peran Microsoft Entra | Sangat Penting | Wajibkan justifikasi untuk aktivasi. Mewajibkan persetujuan untuk mengaktifkan. Atur proses persetujuan dua tingkat. Saat aktivasi, perlu autentikasi multifaktor Microsoft Entra. Atur durasi elevasi maksimum hingga 8 jam. | Administrator Keamanan, Administrator Peran Istimewa, Administrator Global | Administrator peran istimewa dapat menyesuaikan PIM di organisasi Microsoft Entra mereka, termasuk mengubah pengalaman bagi pengguna yang mengaktifkan penetapan peran yang memenuhi syarat. |
| Konfigurasi Peran Sumber Daya Azure | Sangat Penting | Wajibkan justifikasi untuk aktivasi. Mewajibkan persetujuan untuk mengaktifkan. Atur proses persetujuan dua tingkat. Saat aktivasi, perlu autentikasi multifaktor Microsoft Entra. Atur durasi elevasi maksimum hingga 8 jam. | Pemilik, Administrator Akses Pengguna | Selidiki segera jika bukan perubahan yang direncanakan. Pengaturan ini dapat menyebabkan penyerang mengakses langganan Azure di lingkungan Anda. |
Pemberitahuan Manajemen Identitas Istimewa
Privileged Identity Management (PIM) menghasilkan pemberitahuan saat ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Entra Anda. Saat pemberitahuan dibuat, pemberitahuan akan muncul di dasbor Privileged Identity Management. Anda juga dapat mengonfigurasi pemberitahuan email atau mengirim ke SIEM Anda melalui GraphAPI. Karena pemberitahuan ini berfokus khusus pada peran administratif, Anda harus memantau dengan cermat pemberitahuan apa pun.
Penetapan peran Microsoft Entra
Administrator peran istimewa dapat menyesuaikan PIM di organisasi Microsoft Entra mereka, yang termasuk mengubah pengalaman pengguna untuk mengaktifkan penetapan peran yang memenuhi syarat:
Cegah pelaku jahat menghapus persyaratan autentikasi multifaktor Microsoft Entra untuk mengaktifkan akses istimewa.
Cegah pengguna jahat melewati justifikasi dan persetujuan mengaktifkan akses istimewa.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pemberitahuan pada Menambah perubahan ke izin akun dengan hak istimewa | Sangat Penting | Log audit Microsoft Entra | Kategori = Manajemen Peran -dan- Jenis Aktivitas – Tambahkan anggota yang memenuhi syarat (permanen) -dan- Jenis Aktivitas – Tambahkan anggota yang memenuhi syarat (memenuhi syarat) -dan- Status = Berhasil/gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Pantau dan selalu waspada terhadap setiap perubahan pada Administrator Peran Istimewa dan Administrator Global. Ini dapat menjadi indikasi bahwa penyerang mencoba mendapatkan hak istimewa untuk memodifikasi pengaturan penetapan peran. Jika Anda tidak memiliki ambang yang ditentukan, waspada pada 4 dalam 60 menit untuk pengguna dan 2 dalam 60 menit untuk akun dengan hak istimewa. Aturan sigma |
| Pemberitahuan pada perubahan penghapusan massal ke izin akun dengan hak istimewa | Sangat Penting | Log audit Microsoft Entra | Kategori = Manajemen Peran -dan- Jenis Aktivitas – Hapus anggota yang memenuhi syarat (permanen) -dan- Jenis Aktivitas – Hapus anggota yang memenuhi syarat (memenuhi syarat) -dan- Status = Berhasil/gagal -dan- Properti yang dimodifikasi = Role.DisplayName |
Selidiki segera jika bukan perubahan yang direncanakan. Pengaturan ini dapat menyebabkan penyerang bisa mengakses langganan Azure di lingkungan Anda. Templat Microsoft Sentinel Aturan sigma |
| Perubahan pada pengaturan PIM | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen Peran -dan- Jenis Aktivitas = Memperbarui pengaturan peran di PIM -dan- Alasan Status = MFA pada aktivasi dinonaktifkan (contoh) |
Pantau dan selalu waspada terhadap setiap perubahan pada Administrator Peran Istimewa dan Administrator Global. Ini dapat menjadi indikasi bahwa penyerang memiliki akses untuk memodifikasi pengaturan penetapan peran. Salah satu tindakan ini dapat mengurangi keamanan elevasi PIM dan memudahkan penyerang untuk mendapatkan akun dengan hak istimewa. Templat Microsoft Sentinel Aturan sigma |
| Persetujuan dan menolak elevasi | Sangat Penting | Log audit Microsoft Entra | Layanan = Tinjauan Akses -dan- Kategori = UserManagement -dan- Jenis Aktivitas = Permintaan Disetujui/Ditolak -dan- Pelaku diinisiasi = UPN |
Semua elevasi harus dipantau. Catat semua elevasi guna memberikan indikasi garis waktu yang jelas untuk sebuah serangan. Templat Microsoft Sentinel Aturan sigma |
| Pengaturan pemberitahuan berubah menjadi dinonaktifkan. | Sangat Penting | Log audit Microsoft Entra | Layanan = PIM -dan- Kategori = Manajemen Peran -dan- Tipe Aktivitas = Nonaktifkan Peringatan PIM -dan- Status = Berhasil/Gagal |
Selalu beri tahu. Membantu mendeteksi aktor jahat yang menghapus pemberitahuan yang terkait dengan persyaratan autentikasi multifaktor Microsoft Entra untuk mengaktifkan akses istimewa. Membantu mendeteksi aktivitas yang mencurigakan atau tidak aman. Templat Microsoft Sentinel Aturan sigma |
Untuk informasi selengkapnya tentang mengidentifikasi perubahan pengaturan peran di log audit Microsoft Entra, lihat Melihat riwayat audit untuk peran Microsoft Entra di Privileged Identity Management.
Penetapan peran sumber daya Azure
Pemantauan penetapan peran sumber daya Azure memberikan visibilitas ke dalam aktivitas dan aktivasi untuk peran sumber daya. Penugasan ini mungkin disalahgunakan untuk membuat permukaan serangan ke sumber daya. Saat Anda memantau jenis aktivitas ini, Anda mencoba mendeteksi:
Penetapan peran kueri pada sumber daya tertentu
Penetapan peran untuk semua sumber daya anak
Semua perubahan penetapan peran aktif dan yang memenuhi syarat
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Log audit Sumber Daya Pemberitahuan Audit untukaktivitas akun dengan Hak Istimewa | Sangat Penting | Dalam PIM, di bawah Azure Resources, Audit Sumber Daya | Tindakan: Menambahkan anggota yang memenuhi syarat ke peran dalam PIM selesai (terikat waktu) -dan- Target Utama -dan- Pengguna Jenis -dan- Status = Berhasil |
Selalu beri tahu. Membantu mendeteksi pelaku jahat yang menambahkan peran yang memenuhi syarat untuk mengelola semua sumber daya di Azure. |
| Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan | Medium | Dalam PIM, di bawah Azure Resources, Audit Sumber Daya | Tindakan : Nonaktifkan Peringatan -dan- Target Utama : Terlalu banyak pemilik yang ditetapkan ke sumber daya -dan- Status = Berhasil |
Membantu mendeteksi pelaku yang buruk menonaktifkan peringatan, dalam panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki |
| Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan | Medium | Dalam PIM, di bawah Azure Resources, Audit Sumber Daya | Tindakan : Nonaktifkan Peringatan -dan- Target Utama : Terlalu banyak pemilik permanen yang ditetapkan ke sumber daya -dan- Status = Berhasil |
Mencegah pelaku yang buruk menonaktifkan peringatan, dalam panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki |
| Audit Sumber Daya Peringatan Audit untuk Nonaktifkan Pemberitahuan | Medium | Dalam PIM, di bawah Azure Resources, Audit Sumber Daya | Tindakan : Nonaktifkan Peringatan -dan- Peran Duplikat Target Utama dibuat -dan- Status = Berhasil |
Mencegah pelaku yang buruk menonaktifkan peringatan, dari panel Peringatan yang dapat melewatkan aktivitas berbahaya yang sedang diselidiki |
Untuk informasi selengkapnya tentang mengonfigurasi pemberitahuan dan mengaudit peran sumber daya Azure, lihat:
Manajemen akses untuk sumber daya dan langganan Azure
Pengguna atau anggota grup menetapkan peran langganan Pemilik atau Administrator Akses Pengguna, dan Administrator Global Microsoft Entra yang mengaktifkan manajemen langganan di ID Microsoft Entra, memiliki izin Administrator Sumber Daya secara default. Administrator menetapkan peran, mengonfigurasi pengaturan peran, dan meninjau akses menggunakan Privileged Identity Management (PIM) untuk sumber daya Azure.
Pengguna yang memiliki izin administrator Sumber Daya dapat mengelola PIM untuk Sumber Daya. Pantaulah dan mitigasi risiko yang ditimbulkan ini: kemampuan dapat digunakan untuk memungkinkan akses istimewa pelaku yang buruk pada sumber daya langganan Azure, seperti mesin virtual (VM) atau akun penyimpanan.
| Yang harus dipantau | Tingkat risiko | Di mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Elevasi | Sangat Penting | ID Microsoft Entra, di bawah Kelola, Properti | Tinjau pengaturan secara berkala. Manajemen akses untuk sumber daya Azure |
Administrator Global dapat meningkatkan dengan mengaktifkan Manajemen akses untuk sumber daya Azure. Pastikan pelaku yang buruk belum mendapatkan izin untuk menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan Active Directory. |
Untuk informasi selengkapnya, lihat Menetapkan peran sumber daya Azure di Privileged Identity Management
Langkah berikutnya
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun pengguna
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk aplikasi