Mengonfigurasi Microsoft Entra untuk Zero Trust: Memantau dan mendeteksi ancaman cyber

Memiliki kemampuan pemantauan kesehatan dan deteksi ancaman yang kuat adalah salah satu dari enam pilar Secure Future Initiative. Panduan ini dirancang untuk membantu Anda menyiapkan sistem pengelogan komprehensif untuk pengarsipan dan analisis. Kami menyertakan rekomendasi yang terkait dengan triase proses masuk berisiko, pengguna berisiko, dan metode autentikasi.

Langkah pertama untuk menyelaraskan dengan pilar ini adalah mengonfigurasi pengaturan diagnostik untuk semua log Microsoft Entra sehingga semua perubahan yang dilakukan di penyewa Anda disimpan dan dapat diakses untuk analisis. Rekomendasi lain dalam pilar ini berfokus pada triase pemberitahuan risiko dan rekomendasi Microsoft Entra yang tepat waktu. Kuncinya adalah mengetahui log, laporan, dan alat pemantauan kesehatan apa yang tersedia dan untuk memantaunya secara teratur.

Panduan keamanan

Pengaturan diagnostik dikonfigurasi untuk semua log Microsoft Entra

Log aktivitas dan laporan di Microsoft Entra dapat membantu mendeteksi upaya akses yang tidak sah atau mengidentifikasi kapan konfigurasi penyewa berubah. Ketika log diarsipkan atau terintegrasi dengan alat Security Information and Event Management (SIEM), tim keamanan dapat menerapkan kontrol keamanan pemantauan dan deteksi yang kuat, perburuan ancaman proaktif, dan proses respons insiden. Fitur log dan pemantauan dapat digunakan untuk menilai kesehatan penyewa dan memberikan bukti kepatuhan dan audit.

Jika log tidak diarsipkan secara teratur atau dikirim ke alat SIEM untuk kueri, sangat sulit untuk menyelidiki masalah masuk. Tidak adanya log historis berarti bahwa tim keamanan mungkin melewatkan pola upaya masuk yang gagal, aktivitas yang tidak biasa, dan indikator penyusupan lainnya. Kurangnya visibilitas ini dapat mencegah deteksi pelanggaran tepat waktu, memungkinkan penyerang mempertahankan akses yang tidak terdeteksi untuk jangka waktu yang lama.

Tindakan remediasi

• Mengonfigurasi pengaturan diagnostik Microsoft Entra
• Mengintegrasikan log Microsoft Entra dengan log Azure Monitor
• Streaming log Microsoft Entra ke pusat aktivitas

Aktivasi peran istimewa memiliki pemantauan dan pemberitahuan yang dikonfigurasi

Organisasi tanpa pemberitahuan aktivasi yang tepat untuk peran yang sangat istimewa tidak memiliki visibilitas saat pengguna mengakses izin penting ini. Pelaku ancaman dapat mengeksploitasi celah pemantauan ini untuk melakukan eskalasi hak istimewa dengan mengaktifkan peran yang sangat istimewa tanpa deteksi, lalu menetapkan kegigihan melalui pembuatan akun admin atau modifikasi kebijakan keamanan. Tidak adanya pemberitahuan real-time memungkinkan penyerang untuk melakukan gerakan lateral, memodifikasi konfigurasi audit, dan menonaktifkan kontrol keamanan tanpa memicu prosedur respons segera.

Tindakan remediasi

• Mengonfigurasi pengaturan peran Microsoft Entra di Manajemen Identitas Istimewa

Notifikasi aktivasi untuk penugasan peran Administrator Global

Tanpa pemberitahuan aktivasi untuk penetapan peran Administrator Global, pelaku ancaman dapat meningkatkan hak istimewa yang tidak terdeteksi. Kurangnya visibilitas ini menciptakan titik buta di mana penyerang dapat mengaktifkan peran yang paling istimewa dan melakukan tindakan berbahaya seperti membuat akun backdoor, memodifikasi kebijakan keamanan, atau mengakses data sensitif.

Memantau pemberitahuan aktivasi ini dapat membantu tim keamanan membedakan antara aktivitas eskalasi hak istimewa yang sah dan tidak sah.

Tindakan remediasi

• Mengonfigurasi pemberitahuan untuk peran istimewa

Peringatan aktivasi untuk semua penugasan peran dengan hak istimewa

Tanpa pemberitahuan aktivasi untuk penetapan peran istimewa, pelaku ancaman dapat meningkatkan hak istimewa yang tidak terdeteksi. Kurangnya visibilitas ini menciptakan titik buta di mana penyerang dapat mengaktifkan peran yang paling istimewa dan melakukan tindakan berbahaya seperti membuat akun backdoor, memodifikasi kebijakan keamanan, atau mengakses data sensitif.

Memantau pemberitahuan aktivasi ini dapat membantu tim keamanan membedakan antara aktivitas eskalasi hak istimewa yang sah dan tidak sah.

Tindakan remediasi

• Mengonfigurasi pemberitahuan untuk peran istimewa

Pengguna istimewa masuk dengan metode tahan phishing

Tanpa metode autentikasi tahan phishing, pengguna istimewa lebih rentan terhadap serangan phishing. Jenis serangan ini mengelabui pengguna untuk mengungkapkan kredensial mereka untuk memberikan akses tidak sah kepada penyerang. Jika metode autentikasi tahan non-phishing digunakan, penyerang mungkin mencegat kredensial dan token, melalui metode seperti serangan musuh di tengah, merusak keamanan akun istimewa.

Setelah akun atau sesi istimewa disusupi karena metode autentikasi yang lemah, penyerang mungkin memanipulasi akun untuk mempertahankan akses jangka panjang, membuat backdoor lain, atau mengubah izin pengguna. Penyerang juga dapat menggunakan akun istimewa yang disusupi untuk meningkatkan akses mereka lebih jauh, berpotensi mendapatkan kontrol atas sistem yang lebih sensitif.

Tindakan remediasi

• Mulai menggunakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan
• Pastikan akun istimewa mendaftar dan menggunakan metode tahan pengelabuan
• Menyebarkan kebijakan Akses Bersyarat untuk menargetkan akun istimewa dan memerlukan kredensial tahan pengelabuan
• aktivitas metode autentikasi Monitor

Semua pengguna berisiko tinggi di-triase

Pengguna yang dianggap berisiko tinggi oleh Microsoft Entra ID Protection memiliki kemungkinan besar kompromi oleh pelaku ancaman. Pelaku ancaman dapat memperoleh akses awal melalui akun valid yang disusupi, di mana aktivitas mencurigakan mereka berlanjut meskipun memicu indikator risiko. Pengawasan ini dapat memungkinkan kegigihan karena pelaku ancaman melakukan aktivitas yang biasanya menjamin penyelidikan, seperti pola masuk yang tidak biasa atau manipulasi kotak masuk yang mencurigakan.

Kurangnya triase pengguna berisiko ini memungkinkan aktivitas pengintaian yang diperluas dan gerakan lateral, dengan pola perilaku anomali terus menghasilkan pemberitahuan yang tidak diinvestigasi. Aktor ancaman menjadi terganggu karena tim keamanan menunjukkan mereka tidak secara aktif menanggapi indikator risiko.

Tindakan remediasi

• Menyelidiki pengguna berisiko tinggi di Microsoft Entra ID Protection
• Memulihkan pengguna berisiko tinggi dan membuka blokir di Microsoft Entra ID Protection

Semua rincian masuk berisiko tinggi di-triase

Rincian masuk berisiko yang ditandai oleh Microsoft Entra ID Protection menunjukkan kemungkinan besar upaya akses yang tidak sah. Pelaku ancaman menggunakan rincian masuk ini untuk mendapatkan pijakan awal. Jika rincian masuk ini tetap tidak diinvestigasi, lawan dapat menetapkan persistensi dengan mengautentikasi berulang kali dengan kedok pengguna yang sah.

Kurangnya respons memungkinkan penyerang menjalankan pengintaian, mencoba meningkatkan akses mereka, dan berbaur ke pola normal. Ketika proses masuk yang tidak dipelajari terus menghasilkan pemberitahuan dan tidak ada intervensi, kesenjangan keamanan melebar, memfasilitasi gerakan lateral dan pengindeksan pertahanan, karena musuh mengenali tidak adanya respons keamanan aktif.

Tindakan remediasi

• Menyelidiki proses masuk berisiko
• Memulihkan risiko dan membuka blokir pengguna

Semua identitas beban kerja berisiko di-triase

Identitas beban kerja yang disusupi (perwakilan layanan dan aplikasi) memungkinkan pelaku ancaman untuk mendapatkan akses persisten tanpa interaksi pengguna atau autentikasi multifaktor. Microsoft Entra ID Protection memantau identitas ini untuk aktivitas mencurigakan seperti kredensial bocor, lalu lintas API anomali, dan aplikasi berbahaya. Identitas beban kerja berisiko yang tidak ditampung memungkinkan eskalasi hak istimewa, gerakan lateral, eksfiltrasi data, dan backdoor persisten yang melewati kontrol keamanan tradisional. Organisasi harus secara sistematis menyelidiki dan memulihkan risiko ini untuk mencegah akses yang tidak sah.

Tindakan remediasi

• Menyelidiki dan memulihkan identitas beban kerja berisiko
• Menerapkan kebijakan Akses Bersyarat untuk identitas beban kerja

Semua aktivitas masuk pengguna menggunakan metode autentikasi yang kuat

Penyerang mungkin mendapatkan akses jika autentikasi multifaktor (MFA) tidak diberlakukan secara universal atau jika ada pengecualian di tempat. Penyerang mungkin mendapatkan akses dengan mengeksploitasi kerentanan metode MFA yang lebih lemah seperti SMS dan panggilan telepon melalui teknik rekayasa sosial. Teknik ini mungkin termasuk pertukaran SIM atau phishing, untuk mencegat kode autentikasi.

Penyerang mungkin menggunakan akun ini sebagai titik masuk ke penyewa. Dengan menggunakan sesi pengguna yang disadap, penyerang dapat menyamarkan aktivitas mereka sebagai tindakan pengguna yang sah, menghindari deteksi, dan melanjutkan serangan mereka tanpa menimbulkan kecurigaan. Dari sana, mereka mungkin mencoba memanipulasi pengaturan MFA untuk menetapkan kegigihan, merencanakan, dan menjalankan serangan lebih lanjut berdasarkan hak istimewa akun yang disusupi.

Tindakan remediasi

• Menyebarkan autentikasi multifaktor
• Mulai menggunakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan
• Menyebarkan kebijakan Akses Bersyarat untuk mewajibkan MFA tahan pengelabuan untuk semua pengguna
• Tinjau aktivitas metode autentikasi

Rekomendasi Microsoft Entra prioritas tinggi ditangani

Meninggalkan rekomendasi Microsoft Entra berprioritas tinggi yang tidak ditangguhkan dapat menciptakan celah dalam postur keamanan organisasi, menawarkan peluang pelaku ancaman untuk mengeksploitasi kelemahan yang diketahui. Tidak bertindak pada item ini dapat mengakibatkan peningkatan area permukaan serangan, operasi suboptimal, atau pengalaman pengguna yang buruk.

Tindakan remediasi

• Mengatasi semua rekomendasi prioritas tinggi di pusat admin Microsoft Entra

Pemberitahuan Perlindungan ID diaktifkan

Jika Anda tidak mengaktifkan pemberitahuan Perlindungan ID, organisasi Anda kehilangan pemberitahuan real-time penting saat pelaku ancaman membahayakan akun pengguna atau melakukan aktivitas pengintaian. Ketika Microsoft Entra ID Protection mendeteksi akun berisiko, Microsoft Entra ID Protection mengirim pemberitahuan email dengan Pengguna berisiko terdeteksi sebagai subjek dan tautan ke Pengguna yang ditandai untuk laporan risiko . Tanpa pemberitahuan ini, tim keamanan tetap tidak menyadari ancaman aktif, memungkinkan pelaku ancaman untuk mempertahankan persistensi di akun yang disusupi tanpa terdeteksi. Anda dapat memberi umpan risiko ini ke dalam alat seperti Akses Bersyarah untuk membuat keputusan akses atau mengirimkannya ke alat informasi keamanan dan manajemen peristiwa (SIEM) untuk penyelidikan dan korelasi. Pelaku ancaman dapat menggunakan celah deteksi ini untuk melakukan aktivitas gerakan lateral, upaya eskalasi hak istimewa, atau operasi penyelundupan data sementara administrator tetap tidak menyadari kompromi yang sedang berlangsung. Respons tertunda memungkinkan pelaku ancaman untuk membangun lebih banyak mekanisme persistensi, mengubah izin pengguna, atau mengakses sumber daya sensitif sebelum Anda dapat memperbaiki masalah. Tanpa pemberitahuan proaktif tentang deteksi risiko, organisasi harus hanya mengandalkan pemantauan manual laporan risiko, yang secara signifikan meningkatkan waktu yang diperlukan untuk mendeteksi dan merespons serangan berbasis identitas.

Tindakan remediasi

• Mengonfigurasi pengguna yang berisiko terdeteksi pemberitahuan

Tidak ada aktivitas masuk autentikasi warisan

Protokol autentikasi warisan seperti autentikasi dasar untuk SMTP dan IMAP tidak mendukung fitur keamanan modern seperti autentikasi multifaktor (MFA), yang sangat penting untuk melindungi dari akses yang tidak sah. Kurangnya perlindungan ini membuat akun yang menggunakan protokol ini rentan terhadap serangan berbasis kata sandi, dan memberi penyerang sarana untuk mendapatkan akses awal menggunakan kredensial yang dicuri atau ditebak.

Ketika penyerang berhasil mendapatkan akses tidak sah ke kredensial, mereka dapat menggunakannya untuk mengakses layanan tertaut, menggunakan metode autentikasi yang lemah sebagai titik masuk. Penyerang yang mendapatkan akses melalui autentikasi lama mungkin membuat perubahan pada Microsoft Exchange, seperti mengonfigurasi aturan penerusan email atau mengubah pengaturan lain, memungkinkan mereka mempertahankan akses berkelanjutan ke komunikasi sensitif.

Autentikasi warisan juga memberi penyerang metode yang konsisten untuk memasukkan kembali sistem menggunakan kredensial yang disusupi tanpa memicu pemberitahuan keamanan atau memerlukan autentikasi ulang.

Dari sana, penyerang dapat menggunakan protokol warisan untuk mengakses sistem lain yang dapat diakses melalui akun yang disusupi, memfasilitasi gerakan lateral. Penyerang yang menggunakan protokol warisan dapat berbaur dengan aktivitas pengguna yang sah, sehingga sulit bagi tim keamanan untuk membedakan antara penggunaan normal dan perilaku berbahaya.

Tindakan remediasi

• protokol Exchange dapat dinonaktifkan di Exchange
• protokol autentikasi warisan dapat diblokir dengan akses bersyar
• Masuk menggunakan buku kerja autentikasi lama untuk membantu menentukan apakah aman untuk menonaktifkan autentikasi warisan

Semua rekomendasi Microsoft Entra ditangani

Rekomendasi Microsoft Entra memberi organisasi peluang untuk menerapkan praktik terbaik dan mengoptimalkan postur keamanan mereka. Tidak bertindak pada item ini dapat mengakibatkan peningkatan area permukaan serangan, operasi suboptimal, atau pengalaman pengguna yang buruk.

Tindakan remediasi

• Mengatasi semua rekomendasi aktif atau ditunda di pusat admin Microsoft Entra