Operasi keamanan Microsoft Entra untuk akun pengguna
Identitas pengguna adalah salah satu aspek terpenting dalam melindungi organisasi dan data Anda. Artikel ini menyediakan panduan untuk memantau pembuatan, penghapusan, dan penggunaan akun akun. Bagian pertama mencakup cara memantau pembuatan dan penghapusan akun yang tidak biasa. Bagian kedua mencakup cara memantau penggunaan akun yang tidak biasa.
Jika Anda belum membaca gambaran umum operasi keamanan Microsoft Entra, kami sarankan Anda melakukannya sebelum melanjutkan.
Artikel ini membahas akun pengguna umum. Untuk akun istimewa, lihat Operasi keamanan – akun istimewa.
Menentukan garis besar
Untuk menemukan perilaku anomali, Anda harus terlebih dahulu menentukan perilaku normal dan yang diharapkan. Menentukan perilaku yang diharapkan untuk organisasi Anda, membantu Anda menentukan kapan perilaku tak terduga terjadi. Definisi ini juga membantu mengurangi tingkat kebisingan positif palsu saat memantau dan memberi tahu.
Setelah menentukan apa yang Anda harapkan, Anda melakukan pemantauan garis besar untuk memvalidasi harapan Anda. Dengan informasi tersebut, Anda dapat memantau log untuk apa pun yang berada di luar toleransi yang Anda tentukan.
Gunakan log audit Microsoft Entra, log masuk Microsoft Entra, dan atribut direktori sebagai sumber data Anda untuk akun yang dibuat di luar proses normal. Berikut ini adalah saran untuk membantu Anda memikirkan dan menentukan apa yang normal bagi organisasi Anda.
Pembuatan akun pengguna – evaluasi hal berikut:
Strategi dan prinsip untuk alat dan proses yang digunakan untuk membuat dan mengelola akun pengguna. Misalnya, apakah ada atribut standar, format yang diterapkan ke atribut akun pengguna.
Sumber yang disetujui untuk pembuatan akun. Misalnya, berasal dari Direktori Aktif (AD), ID Microsoft Entra, atau sistem SDM seperti Workday.
Strategi pemberitahuan untuk akun yang dibuat di luar sumber yang disetujui. Apakah ada daftar organisasi terkontrol yang berkolaborasi dengan organisasi Anda?
Provisi akun tamu dan parameter pemberitahuan untuk akun yang dibuat di luar pengelolaan pemberian izin atau proses normal lainnya.
Parameter strategi dan pemberitahuan untuk akun yang dibuat, dimodifikasi, atau dinonaktifkan oleh akun yang bukan administrator pengguna yang disetujui.
Strategi pemantauan dan pemberitahuan untuk akun yang kehilangan atribut standar, seperti ID karyawan atau tidak mengikuti konvensi penamaan organisasi.
Strategi, prinsip, dan proses untuk penghapusan dan retensi akun.
Akun pengguna lokal – evaluasi hal berikut untuk akun yang disinkronkan dengan Microsoft Entra Connect:
Forest, domain, dan unit organisasi (OU) dalam cakupan untuk sinkronisasi. Siapa saja administrator yang disetujui yang dapat mengubah pengaturan ini dan seberapa sering cakupan diperiksa?
Jenis akun yang disinkronkan. Misalnya, akun pengguna dan atau akun layanan.
Proses untuk membuat akun lokal istimewa dan bagaimana sinkronisasi jenis akun ini dikontrol.
Proses untuk membuat akun pengguna lokal dan bagaimana sinkronisasi jenis akun ini dikelola.
Untuk informasi selengkapnya untuk mengamankan dan memantau akun lokal, lihat Melindungi Microsoft 365 dari serangan lokal.
Akun pengguna cloud – evaluasi hal berikut:
Proses untuk memprovisikan dan mengelola akun cloud langsung di ID Microsoft Entra.
Proses untuk menentukan jenis pengguna yang disediakan sebagai akun cloud Microsoft Entra. Misalnya, apakah Anda hanya mengizinkan akun istimewa atau anda juga mengizinkan akun pengguna?
Proses untuk membuat dan memelihara daftar individu dan atau proses tepercaya yang diharapkan untuk membuat dan mengelola akun pengguna cloud.
Proses untuk membuat dan memelihara strategi pemberitahuan untuk akun berbasis cloud yang tidak disetujui.
Tempat untuk melihat
File log yang Anda gunakan untuk penyelidikan dan pemantauan adalah:
Dari portal Azure, Anda dapat melihat log audit Microsoft Entra dan mengunduh sebagai file nilai yang dipisahkan koma (CSV) atau JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:
Microsoft Sentinel – memungkinkan analitik keamanan cerdas di tingkat perusahaan dengan menyediakan kemampuan informasi keamanan dan manajemen peristiwa (SIEM).
Aturan Sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang direkomendasikan, kami telah menambahkan tautan ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat dan dikumpulkan oleh komunitas keamanan TI di seluruh dunia.
Azure Monitor – memungkinkan pemantauan dan pemberitahuan otomatis dari berbagai kondisi. Bisa membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.
Azure Event Hubs yang terintegrasi dengan SIEM - Log Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs.
Aplikasi Microsoft Defender untuk Cloud – memungkinkan Anda menemukan dan mengelola aplikasi, mengatur di seluruh aplikasi dan sumber daya, dan memeriksa kepatuhan aplikasi cloud Anda.
Mengamankan identitas beban kerja dengan Microsoft Entra ID Protection - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.
Sebagian besar hal yang akan Anda pantau dan waspada adalah efek dari kebijakan Akses Bersyarat Anda. Anda bisa menggunakan wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau beberapa kebijakan Akses Bersyarat pada rincian masuk Anda, dan hasil kebijakan, termasuk status perangkat. Buku kerja ini memungkinkan Anda menampilkan ringkasan, dan mengidentifikasi efek selama periode waktu tertentu. Anda juga bisa menggunakan buku kerja untuk menyelidiki rincian masuk pengguna tertentu.
Sisa artikel ini menjelaskan apa yang kami sarankan Anda pantau dan waspada, dan diatur berdasarkan jenis ancaman. Jika ada solusi khusus yang dibuat sebelumnya, kami menautkannya atau memberikan sampel mengikuti tabel. Jika tidak, Anda dapat membuat pemberitahuan menggunakan alat sebelumnya.
Pembuatan akun
Pembuatan akun anomali dapat menunjukkan masalah keamanan. Akun berumur pendek, akun yang tidak mengikuti standar penamaan, dan akun yang dibuat di luar proses normal harus diselidiki.
Akun berumur pendek
Pembuatan dan penghapusan akun di luar proses manajemen identitas normal harus dipantau di ID Microsoft Entra. Akun berumur pendek adalah akun yang dibuat dan dihapus dalam rentang waktu singkat. Jenis pembuatan akun dan penghapusan cepat ini dapat berarti aktor jahat mencoba menghindari deteksi dengan membuat akun, menggunakannya, lalu menghapus akun.
Pola akun berumur pendek mungkin menunjukkan orang atau proses yang tidak disetujui mungkin memiliki hak untuk membuat dan menghapus akun yang berada di luar proses dan kebijakan yang ditetapkan. Jenis perilaku ini menghapus penanda yang terlihat dari direktori.
Jika jejak data untuk pembuatan dan penghapusan akun tidak ditemukan dengan cepat, informasi yang diperlukan untuk menyelidiki insiden mungkin tidak ada lagi. Misalnya, akun mungkin dihapus lalu dihapus menyeluruh dari keranjang sampah. Log audit disimpan selama 30 hari. Namun, Anda dapat mengekspor log anda ke Azure Monitor atau solusi security information and event management (SIEM) untuk retensi jangka panjang.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Peristiwa pembuatan dan penghapusan akun dalam jangka waktu dekat. | Tinggi | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil -dan- Aktivitas: Menghapus pengguna Status = berhasil |
Cari peristiwa nama prinsipal pengguna (UPN). Cari akun yang dibuat lalu dihapus dalam waktu kurang dari 24 jam. Templat Microsoft Azure Sentinel |
| Akun yang dibuat dan dihapus oleh pengguna atau proses yang tidak disetujui. | Sedang | Log audit Microsoft Entra | Dimulai oleh (aktor) – NAMA PRINSIPAL PENGGUNA -dan- Aktivitas: Tambahkan pengguna Status = berhasil dan-atau Aktivitas: Menghapus pengguna Status = berhasil |
Jika aktor adalah pengguna yang tidak disetujui, konfigurasikan untuk mengirim pemberitahuan. Templat Microsoft Azure Sentinel |
| Akun dari sumber yang tidak disetujui. | Sedang | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil Target = NAMA PRINSIPAL PENGGUNA |
Jika entri bukan dari domain yang disetujui atau merupakan domain yang diblokir yang diketahui, konfigurasikan untuk mengirim pemberitahuan. Templat Microsoft Azure Sentinel |
| Akun yang ditetapkan ke peran istimewa. | Tinggi | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil -dan- Aktivitas: Menghapus pengguna Status = berhasil -dan- Aktivitas: Menambahkan anggota ke peran Status = berhasil |
Jika akun ditetapkan ke peran Microsoft Entra, peran Azure, atau keanggotaan grup istimewa, beri tahu dan prioritaskan penyelidikan. Templat Microsoft Azure Sentinel Aturan sigma |
Akun istimewa dan non-hak istimewa harus dipantau dan diberi tahu. Namun, karena akun istimewa memiliki izin administratif, akun tersebut harus memiliki prioritas yang lebih tinggi dalam proses pemantauan, pemberitahuan, dan respons Anda.
Akun tidak mengikuti kebijakan penamaan
Akun pengguna yang tidak mengikuti kebijakan penamaan mungkin telah dibuat di luar kebijakan organisasi.
Praktik terbaik adalah memiliki kebijakan penamaan untuk objek pengguna. Memiliki kebijakan penamaan membuat manajemen lebih mudah dan membantu memberikan konsistensi. Kebijakan ini juga dapat membantu menemukan kapan pengguna telah dibuat di luar proses yang disetujui. Aktor jahat mungkin tidak menyadari standar penamaan Anda dan mungkin membuatnya lebih mudah untuk mendeteksi akun yang disediakan di luar proses organisasi Anda.
Organisasi cenderung memiliki format dan atribut tertentu yang digunakan untuk membuat pengguna dan atau akun istimewa. Misalnya:
UPN akun admin = ADM_firstname.lastname@tenant.onmicrosoft.com
UPN akun pengguna = Firstname.Lastname@contoso.com
Sering kali, akun pengguna memiliki atribut yang mengidentifikasi pengguna nyata. Misalnya, EMPID = XXXNNN. Gunakan saran berikut untuk membantu menentukan normal untuk organisasi Anda, dan saat menentukan garis besar untuk entri log saat akun tidak mengikuti konvensi penamaan Anda:
Akun yang tidak mengikuti konvensi penamaan. Misalnya,
nnnnnnn@contoso.comversusfirstname.lastname@contoso.com.Akun yang tidak memiliki atribut standar yang diisi atau tidak dalam format yang benar. Misalnya, tidak memiliki ID karyawan yang valid.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Akun pengguna yang tidak memiliki atribut yang diharapkan ditentukan. | Rendah | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil |
Cari akun dengan atribut standar Anda baik null atau dalam format yang salah. Misalnya, EmployeeID Templat Microsoft Azure Sentinel |
| Akun pengguna yang dibuat menggunakan format penamaan yang salah. | Rendah | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil |
Cari akun dengan UPN yang tidak mengikuti kebijakan penamaan Anda. Templat Microsoft Azure Sentinel |
| Akun istimewa yang tidak mengikuti kebijakan penamaan. | Tinggi | Langganan Azure | Mencantumkan penetapan peran Azure menggunakan portal Azure - Azure RBAC | Cantumkan penetapan peran untuk langganan dan pemberitahuan di mana nama masuk tidak cocok dengan format organisasi Anda. Misalnya, ADM_ sebagai awalan. |
| Akun istimewa yang tidak mengikuti kebijakan penamaan. | Tinggi | Direktori Microsoft Entra | Mencantumkan penetapan peran Microsoft Entra | Cantumkan penetapan peran untuk pemberitahuan peran Microsoft Entra di mana UPN tidak cocok dengan format organisasi Anda. Misalnya, ADM_ sebagai awalan. |
Untuk informasi selengkapnya tentang penguraian, lihat:
Log audit Microsoft Entra - Mengurai data teks di Log Azure Monitor
Langganan Azure - Mencantumkan penetapan peran Azure menggunakan Azure PowerShell
ID Microsoft Entra - Mencantumkan penetapan peran Microsoft Entra
Akun yang dibuat di luar proses normal
Memiliki proses standar untuk membuat pengguna dan akun istimewa penting sehingga Anda dapat mengontrol siklus hidup identitas dengan aman. Jika pengguna disediakan dan dideprovisi di luar proses yang ditetapkan, pengguna dapat menimbulkan risiko keamanan. Beroperasi di luar proses yang ditetapkan juga dapat memperkenalkan masalah manajemen identitas. Potensi risiko meliputi:
Akun pengguna dan istimewa mungkin tidak diatur untuk mematuhi kebijakan organisasi. Ini dapat menyebabkan permukaan serangan yang lebih luas pada akun yang tidak dikelola dengan benar.
Menjadi lebih sulit untuk mendeteksi kapan aktor jahat membuat akun untuk tujuan berbahaya. Dengan membuat akun yang valid di luar prosedur yang ditetapkan, menjadi lebih sulit untuk mendeteksi kapan akun dibuat, atau izin yang dimodifikasi untuk tujuan berbahaya.
Sebaiknya pengguna dan akun istimewa hanya dibuat mengikuti kebijakan organisasi Anda. Misalnya, akun harus dibuat dengan standar penamaan yang benar, informasi organisasi, dan di bawah cakupan tata kelola identitas yang sesuai. Organisasi harus memiliki kontrol ketat untuk siapa yang memiliki hak untuk membuat, mengelola, dan menghapus identitas. Peran untuk membuat akun ini harus dikelola dengan ketat dan hak hanya tersedia setelah mengikuti alur kerja yang ditetapkan untuk menyetujui dan mendapatkan izin ini.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Akun pengguna yang dibuat atau dihapus oleh pengguna atau proses yang tidak disetujui. | Sedang | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil dan-atau- Aktivitas: Menghapus pengguna Status = berhasil -dan- Dimulai oleh (aktor) = NAMA PRINSIPAL PENGGUNA |
Pemberitahuan pada akun yang dibuat oleh pengguna atau proses yang tidak disetujui. Prioritaskan akun yang dibuat dengan hak istimewa yang ditajamkan. Templat Microsoft Azure Sentinel |
| Akun pengguna yang dibuat atau dihapus dari sumber yang tidak disetujui. | Sedang | Log audit Microsoft Entra | Aktivitas: Tambahkan pengguna Status = berhasil -atau- Aktivitas: Menghapus pengguna Status = berhasil -dan- Target = NAMA PRINSIPAL PENGGUNA |
Pemberitahuan saat domain tidak disetujui atau domain yang diblokir yang diketahui. |
Rincian masuk yang tidak biasa
Melihat kegagalan untuk autentikasi pengguna adalah normal. Tetapi melihat pola atau blok kegagalan dapat menjadi indikator bahwa sesuatu terjadi dengan Identitas pengguna. Misalnya, selama serangan Semprotan kata sandi atau Brute Force, atau ketika akun pengguna disusupi. Sangat penting bagi Anda untuk memantau dan memperingatkan ketika pola muncul. Ini membantu memastikan Anda dapat melindungi pengguna dan data organisasi Anda.
Keberhasilan tampaknya mengatakan semuanya baik-baik saja. Tapi itu bisa berarti bahwa aktor jahat telah berhasil mengakses layanan. Memantau login yang berhasil membantu Anda mendeteksi akun pengguna yang mendapatkan akses tetapi bukan akun pengguna yang seharusnya memiliki akses. Keberhasilan autentikasi pengguna adalah entri normal dalam log masuk Microsoft Entra. Kami sarankan Anda memantau dan memperingatkan untuk mendeteksi kapan pola muncul. Ini membantu memastikan Anda dapat melindungi akun pengguna dan data organisasi Anda.
Saat Anda merancang dan mengoperalisasi strategi pemantauan dan pemberitahuan log, pertimbangkan alat yang tersedia untuk Anda melalui portal Azure. Microsoft Entra ID Protection memungkinkan Anda mengotomatiskan deteksi, perlindungan, dan remediasi risiko berbasis identitas. PERLINDUNGAN ID menggunakan pembelajaran mesin dan sistem heuristik yang diberi kecerdasan untuk mendeteksi risiko dan menetapkan skor risiko bagi pengguna dan rincian masuk. Pelanggan dapat mengonfigurasi kebijakan berdasarkan tingkat risiko kapan harus mengizinkan atau menolak akses atau memungkinkan pengguna untuk memulihkan diri dengan aman dari risiko. Deteksi risiko PERLINDUNGAN ID berikut menginformasikan tingkat risiko hari ini:
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Deteksi risiko pengguna kredensial bocor | Tinggi | Log deteksi risiko Microsoft Entra | UX: Kredensial bocor API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko pengguna Inteligensi Ancaman Microsoft Entra | Tinggi | Log deteksi risiko Microsoft Entra | UX: Inteligensi ancaman Microsoft Entra API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP anonim | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP anonim API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk perjalanan atipikal | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Perjalanan atipikal API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Token Anomali | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Token Anomali API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP tertaut malware | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP tertaut malware API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk browser yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Browser mencurigakan API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk properti masuk yang tidak dikenal | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Properti masuk yang tidak dikenal API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk alamat IP berbahaya | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Alamat IP berbahaya API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk aturan manipulasi kotak masuk yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Aturan manipulasi kotak masuk yang mencurigakan API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk Password Spray | Tinggi | Log deteksi risiko Microsoft Entra | UX: Semprotan kata sandi API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk perjalanan yang tidak memungkinkan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Perjalanan tidak memungkinkan API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk negara/wilayah baru | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Negara/wilayah baru API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Aktivitas dari deteksi risiko masuk alamat IP anonim | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Aktivitas dari alamat IP Anonim API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk penerusan kotak masuk yang mencurigakan | Bervariasi | Log deteksi risiko Microsoft Entra | UX: Penerusan kotak masuk yang mencurigakan API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
| Deteksi risiko masuk inteligensi ancaman Microsoft Entra | Tinggi | Log deteksi risiko Microsoft Entra | UX: Inteligensi ancaman Microsoft Entra API: Lihat jenis sumber daya riskDetection - Microsoft Graph |
Lihat Apa itu risiko? Perlindungan ID Microsoft Entra Aturan sigma |
Untuk informasi selengkapnya, kunjungi Apa itu Perlindungan ID.
Apa yang harus dicari
Konfigurasikan pemantauan pada data dalam log masuk Microsoft Entra untuk memastikan bahwa pemberitahuan terjadi dan mematuhi kebijakan keamanan organisasi Anda. Beberapa contohnya adalah:
Autentikasi yang Gagal: Sebagai manusia, kita semua salah mendapatkan kata sandi dari waktu ke waktu. Namun, banyak autentikasi yang gagal dapat menunjukkan bahwa aktor jahat mencoba mendapatkan akses. Serangan berbeda dalam keganasan tetapi dapat berkisar dari beberapa upaya per jam hingga tingkat yang jauh lebih tinggi. Misalnya, Password Spray biasanya melakukan pemangsaan kata sandi yang lebih mudah terhadap banyak akun, sementara Brute Force mencoba banyak kata sandi terhadap akun yang ditargetkan.
Autentikasi Terganggu: Interupsi di MICROSOFT Entra ID mewakili injeksi proses untuk memenuhi autentikasi, seperti saat memberlakukan kontrol dalam kebijakan Akses Bersyariah. Ini adalah peristiwa normal dan dapat terjadi ketika aplikasi tidak dikonfigurasi dengan benar. Tetapi ketika Anda melihat banyak gangguan untuk akun pengguna, itu dapat menunjukkan ada sesuatu yang terjadi dengan akun tersebut.
- Misalnya, jika Anda memfilter pengguna dalam log Masuk dan melihat volume besar status masuk = Akses Terganggu dan Bersyarat = Kegagalan. Menggali lebih dalam mungkin muncul dalam detail autentikasi bahwa kata sandi sudah benar, tetapi autentikasi yang kuat diperlukan. Ini bisa berarti pengguna tidak menyelesaikan autentikasi multifaktor (MFA) yang dapat menunjukkan kata sandi pengguna disusupi dan pelaku jahat tidak dapat memenuhi MFA.
Penguncian cerdas: MICROSOFT Entra ID menyediakan layanan penguncian cerdas yang memperkenalkan konsep lokasi yang sudah dikenal dan tidak dikenal ke proses autentikasi. Akun pengguna yang mengunjungi lokasi yang sudah dikenal mungkin berhasil mengautentikasi sementara aktor jahat yang tidak terbiasa dengan lokasi yang sama diblokir setelah beberapa upaya. Cari akun yang telah dikunci dan selidiki lebih lanjut.
Perubahan IP: Adalah normal untuk melihat pengguna yang berasal dari alamat IP yang berbeda. Namun, Zero Trust menyatakan tidak pernah percaya dan selalu memverifikasi. Melihat volume besar alamat IP dan proses masuk yang gagal dapat menjadi indikator intrusi. Cari pola banyak autentikasi yang gagal yang terjadi dari beberapa alamat IP. Perhatikan, koneksi jaringan privat virtual (VPN) dapat menyebabkan positif palsu. Terlepas dari tantangannya, kami sarankan Anda memantau perubahan alamat IP dan jika memungkinkan, gunakan Microsoft Entra ID Protection untuk mendeteksi dan mengurangi risiko ini secara otomatis.
Lokasi: Umumnya, Anda mengharapkan akun pengguna berada di lokasi geografis yang sama. Anda juga mengharapkan rincian masuk dari lokasi tempat Anda memiliki karyawan atau hubungan bisnis. Ketika akun pengguna berasal dari lokasi internasional yang berbeda dalam waktu yang lebih singkat daripada yang diperlukan untuk bepergian ke sana, akun pengguna dapat disalahgunakan. Perhatikan, VPN dapat menyebabkan positif palsu, kami sarankan Anda memantau akun pengguna yang masuk dari lokasi yang jauh secara geografis dan jika memungkinkan, gunakan Microsoft Entra ID Protection untuk mendeteksi dan mengurangi risiko ini secara otomatis.
Untuk area risiko ini, kami sarankan Anda memantau akun pengguna standar dan akun istimewa tetapi memprioritaskan penyelidikan akun istimewa. Akun istimewa adalah akun terpenting di penyewa Microsoft Entra mana pun. Untuk panduan khusus untuk akun istimewa, lihat Operasi keamanan – akun istimewa.
Cara mendeteksi
Anda menggunakan Microsoft Entra ID Protection dan log masuk Microsoft Entra untuk membantu menemukan ancaman yang ditunjukkan oleh karakteristik masuk yang tidak biasa. Untuk informasi selengkapnya, lihat artikel Apa itu Perlindungan ID. Anda juga dapat mereplikasi data ke Azure Monitor atau SIEM untuk tujuan pemantauan dan pemberitahuan. Untuk menentukan normal bagi lingkungan Anda dan mengatur garis besar, tentukan:
parameter yang Anda anggap normal untuk basis pengguna Anda.
jumlah rata-rata percobaan kata sandi selama satu waktu sebelum pengguna memanggil meja layanan atau melakukan pengaturan ulang kata sandi layanan mandiri.
berapa banyak upaya gagal yang ingin Anda izinkan sebelum memberi tahu, dan jika akan berbeda untuk akun pengguna dan akun istimewa.
berapa banyak upaya MFA yang ingin Anda izinkan sebelum memberi tahu, dan apakah itu akan berbeda untuk akun pengguna dan akun istimewa.
jika autentikasi warisan diaktifkan dan peta jalan Anda untuk menghentikan penggunaan.
alamat IP keluar yang diketahui adalah untuk organisasi Anda.
negara/wilayah tempat pengguna Anda beroperasi.
apakah ada grup pengguna yang tetap stasioner dalam lokasi jaringan atau negara/wilayah.
Identifikasi indikator lain untuk masuk yang tidak biasa yang khusus untuk organisasi Anda. Misalnya hari atau waktu dalam seminggu atau tahun organisasi Anda tidak beroperasi.
Setelah Anda mencakup apa yang normal untuk akun di lingkungan Anda, pertimbangkan daftar berikut untuk membantu menentukan skenario yang ingin Anda pantau dan waspadai, dan untuk menyempurnakan pemberitahuan Anda.
Apakah Anda perlu memantau dan memperingatkan apakah Microsoft Entra ID Protection dikonfigurasi?
Apakah ada kondisi yang lebih ketat yang diterapkan pada akun istimewa yang dapat Anda gunakan untuk memantau dan memperingatkan? Misalnya, mengharuskan akun istimewa hanya digunakan dari alamat IP tepercaya.
Apakah garis besar yang Anda tetapkan terlalu agresif? Memiliki terlalu banyak pemberitahuan dapat mengakibatkan pemberitahuan diabaikan atau terlewatkan.
Konfigurasikan Perlindungan ID untuk membantu memastikan perlindungan ada di tempat yang mendukung kebijakan garis besar keamanan Anda. Misalnya, memblokir pengguna jika berisiko = tinggi. Tingkat risiko ini menunjukkan dengan tingkat keyakinan yang tinggi bahwa akun pengguna disusupi. Untuk informasi selengkapnya tentang menyiapkan kebijakan risiko masuk dan kebijakan risiko pengguna, kunjungi kebijakan Perlindungan ID.
Berikut ini tercantum dalam urutan kepentingan berdasarkan efek dan tingkat keparahan entri.
Memantau masuk pengguna eksternal
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pengguna mengautentikasi ke penyewa Microsoft Entra lainnya. | Rendah | Log masuk Microsoft Entra | Status = berhasil ID penyewa sumber daya != ID Penyewa Rumah |
Mendeteksi kapan pengguna telah berhasil diautentikasi ke penyewa Microsoft Entra lain dengan identitas di penyewa organisasi Anda. Pemberitahuan jika Resource TenantID tidak sama dengan ID Penyewa Rumah Templat Microsoft Azure Sentinel Aturan sigma |
| Status pengguna berubah dari Tamu ke Anggota | Sedang | Log audit Microsoft Entra | Aktivitas: Memperbarui pengguna Kategori: UserManagement UserType berubah dari Tamu ke Anggota |
Pantau dan pemberitahuan tentang perubahan jenis pengguna dari Tamu ke Anggota. Apakah ini diharapkan? Templat Microsoft Azure Sentinel Aturan sigma |
| Pengguna tamu diundang ke penyewa oleh pengundang yang tidak disetujui | Sedang | Log audit Microsoft Entra | Aktivitas: Mengundang pengguna eksternal Kategori: UserManagement Dimulai oleh (aktor): Nama Prinsipal Pengguna |
Pantau dan pemberitahuan tentang aktor yang tidak disetujui yang mengundang pengguna eksternal. Templat Microsoft Azure Sentinel Aturan sigma |
Pemantauan untuk masuk yang tidak biasa gagal
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Upaya masuk yang gagal. | Sedang - jika Insiden Terisolasi Tinggi - jika banyak akun mengalami pola yang sama atau VIP. |
Log masuk Microsoft Entra | Status = gagal -dan- Kode kesalahan masuk 50126 - Kesalahan memvalidasi kredensial karena nama pengguna atau kata sandi yang tidak valid. |
Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda dan batasi pemberitahuan palsu agar tidak dihasilkan. Templat Microsoft Azure Sentinel Aturan sigma |
| Peristiwa penguncian cerdas. | Sedang - jika Insiden Terisolasi Tinggi - jika banyak akun mengalami pola yang sama atau VIP. |
Log masuk Microsoft Entra | Status = gagal -dan- Kode kesalahan masuk = 50053 – IdsLocked |
Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda dan batasi pemberitahuan palsu agar tidak dihasilkan. Templat Microsoft Azure Sentinel Aturan sigma |
| Menyela | Sedang - jika Insiden Terisolasi Tinggi - jika banyak akun mengalami pola yang sama atau VIP. |
Log masuk Microsoft Entra | 500121, Autentikasi gagal selama permintaan autentikasi yang kuat. -atau- 50097, Autentikasi perangkat diperlukan atau 50074, Autentikasi Kuat diperlukan. -atau- 50155, DeviceAuthenticationFailed -atau- 50158, ExternalSecurityChallenge - Tantangan keamanan eksternal tidak terpenuhi -atau- 53003 dan Alasan kegagalan = diblokir oleh Akses Bersyar |
Pantau dan waspada pada interupsi. Tentukan ambang dasar, lalu pantau dan sesuaikan dengan perilaku organisasi Anda dan batasi pemberitahuan palsu agar tidak dihasilkan. Templat Microsoft Azure Sentinel Aturan sigma |
Berikut ini tercantum dalam urutan kepentingan berdasarkan efek dan tingkat keparahan entri.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Pemberitahuan penipuan autentikasi multifaktor (MFA). | Tinggi | Log masuk Microsoft Entra | Status = gagal -dan- Detail = MFA Ditolak |
Pantau dan waspada pada entri apa pun. Templat Microsoft Azure Sentinel Aturan sigma |
| Autentikasi yang gagal dari negara/wilayah yang tidak Anda operasikan. | Sedang | Log masuk Microsoft Entra | Lokasi = <lokasi yang tidak disetujui> | Pantau dan waspada pada entri apa pun. Templat Microsoft Azure Sentinel Aturan sigma |
| Autentikasi yang gagal untuk protokol atau protokol warisan yang tidak digunakan. | Sedang | Log masuk Microsoft Entra | Status = kegagalan -dan- Aplikasi klien = Klien lain, POP, IMAP, MAPI, SMTP, ActiveSync |
Pantau dan waspada pada entri apa pun. Templat Microsoft Azure Sentinel Aturan sigma |
| Kegagalan diblokir oleh Akses Bersyar. | Sedang | Log masuk Microsoft Entra | Kode kesalahan = 53003 -dan- Alasan kegagalan = diblokir oleh Akses Bersyar |
Pantau dan waspada pada entri apa pun. Templat Microsoft Azure Sentinel Aturan sigma |
| Peningkatan autentikasi gagal dari jenis apa pun. | Sedang | Log masuk Microsoft Entra | Tangkap peningkatan kegagalan di seluruh papan. Artinya, total kegagalan untuk hari ini adalah >10% pada hari yang sama, minggu sebelumnya. | Jika Anda tidak memiliki ambang yang ditetapkan, pantau dan waspada jika kegagalan meningkat sebesar 10% atau lebih besar. Templat Microsoft Azure Sentinel |
| Autentikasi terjadi pada waktu dan hari dalam seminggu ketika negara/wilayah tidak melakukan operasi bisnis normal. | Rendah | Log masuk Microsoft Entra | Tangkap autentikasi interaktif yang terjadi di luar hari pengoperasian normal\time. Status = berhasil -dan- Lokasi = <lokasi> -dan- Day\Time = <bukan jam kerja normal> |
Pantau dan waspada pada entri apa pun. Templat Microsoft Azure Sentinel |
| Akun dinonaktifkan/diblokir untuk masuk | Rendah | Log masuk Microsoft Entra | Status = Kegagalan -dan- kode kesalahan = 50057, Akun pengguna dinonaktifkan. |
Ini dapat menunjukkan seseorang mencoba mendapatkan akses ke akun setelah mereka meninggalkan organisasi. Meskipun akun diblokir, penting untuk mencatat dan memperingatkan aktivitas ini. Templat Microsoft Azure Sentinel Aturan sigma |
Pemantauan untuk keberhasilan masuk yang tidak biasa
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi akun istimewa di luar kontrol yang diharapkan. | Tinggi | Log masuk Microsoft Entra | Status = berhasil -dan- UserPricipalName = <Akun admin> -dan- Lokasi = <lokasi yang tidak disetujui> -dan- Alamat IP = <IP yang tidak disetujui> Info Perangkat= <Browser yang tidak disetujui, Sistem Operasi> |
Pantau dan waspada tentang autentikasi yang berhasil untuk akun istimewa di luar kontrol yang diharapkan. Tiga kontrol umum dicantumkan. Templat Microsoft Azure Sentinel Aturan sigma |
| Ketika hanya autentikasi faktor tunggal yang diperlukan. | Rendah | Log masuk Microsoft Entra | Status = berhasil Persyaratan autentikasi = Autentikasi faktor tunggal |
Pantau secara berkala dan pastikan perilaku yang diharapkan. Aturan sigma |
| Temukan akun istimewa yang tidak terdaftar untuk MFA. | Tinggi | Azure Graph API | Kueri untuk IsMFARegistered eq false untuk akun administrator. Mencantumkan credentialUserRegistrationDetails - Microsoft Graph beta |
Audit dan selidiki untuk menentukan apakah disengaja atau pengawasan. |
| Autentikasi yang berhasil dari negara/wilayah yang tidak dioperasikan organisasi Anda. | Sedang | Log masuk Microsoft Entra | Status = berhasil Lokasi = <negara/wilayah yang tidak disetujui> |
Pantau dan waspada pada entri apa pun yang tidak sama dengan nama kota yang Anda berikan. Aturan sigma |
| Autentikasi berhasil, sesi diblokir oleh Akses Bersyar. | Sedang | Log masuk Microsoft Entra | Status = berhasil -dan- kode kesalahan = 53003 – Alasan kegagalan, diblokir oleh Akses Bersyarah |
Pantau dan selidiki kapan autentikasi berhasil, tetapi sesi diblokir oleh Akses Bersyar. Templat Microsoft Azure Sentinel Aturan sigma |
| Autentikasi berhasil setelah Anda menonaktifkan autentikasi warisan. | Sedang | Log masuk Microsoft Entra | status = berhasil -dan- Aplikasi klien = Klien lain, POP, IMAP, MAPI, SMTP, ActiveSync |
Jika organisasi Anda telah menonaktifkan autentikasi warisan, pantau dan waspada saat autentikasi warisan berhasil dilakukan. Templat Microsoft Azure Sentinel Aturan sigma |
Sebaiknya tinjau autentikasi secara berkala ke aplikasi dampak bisnis menengah (MBI) dan dampak bisnis tinggi (HBI) di mana hanya autentikasi faktor tunggal yang diperlukan. Untuk masing-masing, Anda ingin menentukan apakah autentikasi faktor tunggal diharapkan atau tidak. Selain itu, tinjau untuk autentikasi yang berhasil meningkat atau pada waktu yang tidak terduga, berdasarkan lokasi.
| Apa yang harus dipantau | Tingkat Risiko | Mana | Filter/sub-filter | Catatan |
|---|---|---|---|---|
| Autentikasi ke aplikasi MBI dan HBI menggunakan autentikasi faktor tunggal. | Rendah | Log masuk Microsoft Entra | status = berhasil -dan- ID Aplikasi = <aplikasi HBI> -dan- Persyaratan autentikasi = autentikasi faktor tunggal. |
Tinjau dan validasi konfigurasi ini disengaja. Aturan sigma |
| Autentikasi pada hari dan waktu dalam seminggu atau tahun negara/wilayah tidak melakukan operasi bisnis normal. | Rendah | Log masuk Microsoft Entra | Tangkap autentikasi interaktif yang terjadi di luar hari pengoperasian normal\time. Status = berhasil Lokasi = <lokasi> Tanggal\Waktu = <bukan jam kerja normal> |
Pantau dan waspada pada hari dan waktu autentikasi dalam seminggu atau tahun bahwa negara/wilayah tidak melakukan operasi bisnis normal. Aturan sigma |
| Peningkatan yang dapat diukur dari proses masuk yang berhasil. | Rendah | Log masuk Microsoft Entra | Tangkap peningkatan autentikasi yang berhasil di seluruh papan. Artinya, total keberhasilan untuk hari ini adalah >10% pada hari yang sama, minggu sebelumnya. | Jika Anda tidak memiliki ambang yang ditetapkan, pantau dan waspada jika autentikasi yang berhasil meningkat sebesar 10% atau lebih besar. Templat Microsoft Azure Sentinel Aturan sigma |
Langkah berikutnya
Lihat artikel panduan operasi keamanan ini:
Gambaran umum operasi keamanan Microsoft Entra
Operasi keamanan untuk akun konsumen
Operasi keamanan untuk akun istimewa
Operasi keamanan untuk Privileged Identity Management
Operasi keamanan untuk aplikasi