Bagikan melalui

Cara: Menyelidiki Risiko

Microsoft Entra ID Protection memberi organisasi pelaporan yang dapat mereka gunakan untuk menyelidiki risiko identitas di lingkungan mereka. Laporan ini mencakup pengguna berisiko, proses masuk berisiko, identitas beban kerja berisiko, dan deteksi risiko. Investigasi peristiwa adalah kunci untuk lebih memahami dan mengidentifikasi titik lemah dalam strategi keamanan Anda. Semua laporan ini memungkinkan pengunduhan peristiwa di . Format atau integrasi CSV dengan solusi keamanan lain seperti alat Security Information and Event Management (SIEM) khusus untuk analisis lebih lanjut. Organisasi juga dapat memanfaatkan integrasi Microsoft Defender dan Microsoft Graph API untuk menggabungkan data dengan sumber lain.

Laporan risiko ditemukan di pusat admin Microsoft Entra di bawah Perlindungan ID. Anda dapat menavigasi langsung ke laporan atau melihat ringkasan wawasan penting dalam tampilan dasbor dan menavigasi ke laporan yang sesuai dari sana.

Cuplikan layar memperlihatkan jumlah widget pengguna berisiko tinggi dari dasbor Perlindungan ID.

Setiap laporan diluncurkan dengan daftar semua deteksi untuk periode yang ditunjukkan di bagian atas laporan. Administrator dapat secara opsional memfilter dan menambahkan atau menghapus kolom berdasarkan preferensinya. Administrator dapat mengunduh data di . CSV atau . Format JSON untuk pemrosesan lebih lanjut.

Saat administrator memilih satu atau beberapa entri, opsi untuk mengonfirmasi atau mengabaikan risiko muncul di bagian atas laporan. Memilih peristiwa risiko individual membuka panel dengan detail selengkapnya untuk membantu penyelidikan.

Cuplikan layar judul laporan Pengguna berisiko memperlihatkan opsi yang tersedia untuk administrator.

Laporan pengguna berisiko

Laporan pengguna berisiko mencakup semua pengguna yang akunnya saat ini atau dianggap berisiko disusupi. Pengguna berisiko harus diselidiki dan diperbaiki untuk mencegah akses tidak sah ke sumber daya. Sebaiknya mulai dengan pengguna berisiko tinggi karena kepercayaan diri yang tinggi terhadap kompromi. Pelajari lebih lanjut tentang apa yang diartikan oleh tingkat

Mengapa pengguna berisiko?

Pengguna menjadi pengguna berisiko ketika:

  • Mereka memiliki satu atau beberapa proses masuk berisiko.
  • Mereka memiliki satu atau beberapa risiko yang terdeteksi di akun mereka, seperti kredensial yang bocor.

Bagaimana cara menyelidiki pengguna berisiko?

Untuk melihat dan menyelidiki pengguna berisiko, navigasikan ke laporan Pengguna berisiko dan gunakan filter untuk mengelola hasilnya. Ada opsi di bagian atas halaman untuk menambahkan kolom lain seperti tingkat risiko, status, dan detail risiko.

Cuplikan layar laporan Pengguna berisiko memperlihatkan contoh pengguna yang berisiko.

Saat administrator memilih pengguna individual, panel Detail pengguna berisiko muncul. Detail pengguna berisiko memberikan informasi seperti: ID pengguna, lokasi kantor, rincian masuk berisiko terbaru, deteksi yang tidak ditautkan ke tanda, dan riwayat risiko. Tab Riwayat risiko memperlihatkan peristiwa yang menyebabkan perubahan risiko pengguna dalam 90 hari terakhir. Daftar ini mencakup deteksi risiko yang meningkatkan risiko pengguna. Ini juga dapat mencakup tindakan remediasi pengguna atau admin yang menurunkan risiko pengguna; misalnya, pengguna mengatur ulang kata sandi mereka atau admin menutup risiko.

Cuplikan layar memperlihatkan flyout Detail Pengguna Berisiko dengan sampel riwayat Risiko.

Jika Anda memiliki Copilot for Security, Anda memiliki akses ke ringkasan dalam bahasa alami termasuk: mengapa tingkat risiko pengguna ditingkatkan, panduan tentang cara mengurangi dan merespons, dan tautan ke item atau dokumentasi bermanfaat lainnya.

Cuplikan layar memperlihatkan ringkasan risiko yang disediakan oleh Copilot dalam flyout Detail Pengguna Berisiko.

Dengan informasi yang diberikan oleh laporan pengguna Riskan, administrator dapat melihat:

  • Risiko pengguna yang diremediasi, diberhentikan, atau saat ini masih berisiko dan perlu diselidiki
  • Detail tentang deteksi
  • Proses masuk berisiko yang terkait dengan pengguna tertentu
  • Riwayat risiko

Mengambil tindakan pada tingkat pengguna berlaku untuk semua deteksi yang saat ini terkait dengan pengguna tersebut. Administrator dapat mengambil tindakan pada pengguna dan memilih untuk:

  • Atur ulang kata sandi - Tindakan ini mencabut sesi pengguna saat ini.
  • Konfirmasi pengguna disusupi - Tindakan ini diambil pada positif sejati. Perlindungan ID menetapkan risiko pengguna menjadi tinggi dan menambahkan deteksi baru, Admin mengonfirmasi pengguna yang disusupi. Pengguna dianggap berisiko sampai langkah-langkah remediasi diambil.
  • Konfirmasikan keamanan pengguna - Tindakan ini diambil pada positif palsu. Melakukannya menghapus risiko dan deteksi pada pengguna ini dan menempatkannya dalam mode pembelajaran untuk mempelajari kembali properti penggunaan. Anda mungkin menggunakan opsi ini untuk menandai positif palsu.
  • Mengabaikan risiko pengguna - Tindakan ini diambil pada risiko pengguna positif yang jinak. Risiko pengguna yang kami deteksi ini nyata, tetapi tidak berbahaya, seperti yang berasal dari tes penetrasi yang diketahui. Pengguna serupa harus terus dievaluasi untuk risiko ke depannya.
  • Blokir pengguna - Tindakan ini memblokir pengguna untuk masuk jika penyerang memiliki akses ke kata sandi atau kemampuan untuk melakukan MFA.
  • Selidiki dengan Pertahanan Microsoft 365 - Tindakan ini membawa administrator ke portal Pertahanan Microsoft untuk memungkinkan administrator menyelidiki lebih lanjut.

Cuplikan layar memperlihatkan flyout Detail Pengguna Berisiko dan tindakan tambahan yang mungkin dilakukan administrator.

Laporan proses masuk riskan

Laporan proses masuk riskan berisi data yang dapat difilter hingga 30 hari terakhir (satu bulan). Perlindungan ID mengevaluasi risiko untuk semua alur autentikasi, baik interaktif maupun non-interaktif. Laporan Proses masuk Riskan menunjukkan rincian masuk interaktif dan non-interaktif. Untuk mengubah tampilan ini, gunakan filter "jenis masuk".

Cuplikan layar memperlihatkan laporan Masuk Berisiko.

Dengan informasi yang diberikan oleh laporan proses masuk Riskan, administrator dapat melihat:

  • Rincian masuk yang berisiko, dikonfirmasi disusupi, dikonfirmasi aman, diberhentikan, atau diperbaiki.
  • Tingkat risiko real-time dan agregat yang terkait dengan upaya masuk.
  • Jenis deteksi yang dipicu
  • Kebijakan Akses Bersyarat yang diterapkan
  • Detail MFA
  • Informasi perangkat
  • Informasi aplikasi
  • Informasi lokasi

Administrator dapat mengambil tindakan pada peristiwa masuk berisiko dan memilih untuk:

  • Konfirmasi masuk disusupi - Tindakan ini mengonfirmasi bahwa proses masuk adalah positif sejati. Rincian masuk dianggap berisiko sampai langkah-langkah remediasi diambil. 
  • Konfirmasikan rincian masuk aman - Tindakan ini mengonfirmasi bahwa rincian masuk adalah positif palsu. Rincian masuk serupa tidak boleh dianggap berisiko di masa mendatang. 
  • Abaikan risiko masuk - Tindakan ini digunakan untuk hasil positif yang tidak berbahaya. Risiko masuk yang kami deteksi ini nyata, tetapi tidak berbahaya, seperti yang berasal dari tes penetrasi yang diketahui atau aktivitas yang diketahui yang dihasilkan oleh aplikasi yang disetujui. Rincian masuk serupa harus terus dievaluasi untuk risiko ke depannya.

Untuk mempelajari selengkapnya tentang kapan harus mengambil setiap tindakan ini, lihat Bagaimana Microsoft menggunakan umpan balik risiko saya

Laporan deteksi risiko

Laporan Deteksi risiko berisi data yang dapat difilter hingga 90 hari terakhir (tiga bulan).

Cuplikan layar memperlihatkan laporan Deteksi risiko.

Dengan informasi yang diberikan oleh laporan Deteksi risiko, administrator dapat menemukan:

  • Informasi tentang setiap deteksi risiko
  • Jenis serangan berdasarkan kerangka kerja MITRE ATT&CK
  • Risiko lain yang dipicu pada saat yang sama
  • Lokasi percobaan masuk
  • Tautkan ke detail selengkapnya dari Pertahanan Microsoft untuk Aplikasi Cloud.

Kemudian, administrator dapat memilih untuk kembali ke laporan risiko atau masuk pengguna untuk mengambil tindakan berdasarkan informasi yang dikumpulkan.

Catatan

Sistem kami mungkin mendeteksi bahwa peristiwa risiko yang berkontribusi pada skor risiko pengguna adalah positif palsu atau risiko pengguna diperbaiki dengan penegakan kebijakan seperti menyelesaikan permintaan MFA atau perubahan kata sandi yang aman. Oleh karena itu, sistem kami akan menutup status risiko dan detail risiko "Aman masuk yang dikonfirmasi AI" akan muncul dan tidak akan lagi berkontribusi pada risiko pengguna.

Triase awal

Saat memulai triase awal, kami merekomendasikan tindakan berikut:

  1. Tinjau dasbor Perlindungan ID untuk memvisualisasikan jumlah serangan, jumlah pengguna berisiko tinggi, dan metrik penting lainnya berdasarkan deteksi di lingkungan Anda.
  2. Tinjau buku kerja Analisis dampak untuk memahami skenario di mana risiko terlihat di lingkungan Anda dan kebijakan akses berbasis risiko harus diaktifkan untuk mengelola pengguna berisiko tinggi dan masuk.
  3. Tambahkan VPN perusahaan dan rentang alamat IP ke lokasi bernama untuk mengurangi positif palsu.
  4. Pertimbangkan untuk membuat database pelancong yang diketahui untuk pelaporan perjalanan organisasi yang diperbarui dan gunakan untuk aktivitas perjalanan lintas referensi.
  5. Tinjau log untuk mengidentifikasi aktivitas serupa dengan karakteristik yang sama. Aktivitas ini bisa menjadi indikasi akun yang lebih disusupi.
    1. Jika ada karakteristik umum, seperti alamat IP, geografi, keberhasilan/kegagalan, dll., pertimbangkan untuk memblokirnya dengan kebijakan Akses Bersyarat.
    2. Tinjau sumber daya mana yang mungkin disusupi, termasuk potensi unduhan data atau modifikasi administratif.
    3. Mengaktifkan kebijakan remediasi mandiri melalui Akses Bersyar
  6. Periksa untuk melihat apakah pengguna melakukan aktivitas berisiko lainnya, seperti mengunduh file dalam volume besar dari lokasi baru. Perilaku ini adalah indikasi yang kuat dari kemungkinan kompromi.

Jika Anda mencurigai penyerang dapat meniru pengguna, Anda harus mengharuskan pengguna untuk mengatur ulang kata sandi mereka dan melakukan MFA atau memblokir pengguna dan mencabut semua token refresh dan akses.

Kerangka kerja investigasi dan remediasi risiko

Organisasi dapat menggunakan kerangka kerja berikut untuk memulai penyelidikan mereka terhadap aktivitas yang mencurigakan. Langkah pertama yang direkomendasikan adalah remediasi mandiri, jika itu adalah opsi. Remediasi mandiri dapat dilakukan melalui pengaturan ulang kata sandi layanan mandiri atau melalui alur remediasi kebijakan Akses Bersyarah berbasis risiko.

Jika remediasi mandiri bukan pilihan, administrator perlu memulihkan risiko. Remediasi dilakukan dengan memanggil pengaturan ulang kata sandi, mengharuskan pengguna untuk mendaftarkan ulang MFA, memblokir pengguna, atau mencabut sesi pengguna tergantung pada skenario. Bagan alur berikut menunjukkan alur yang direkomendasikan setelah risiko terdeteksi:

Diagram memperlihatkan alur remediasi risiko.

Setelah risiko terkandung, penyelidikan lebih lanjut mungkin diperlukan untuk menandai risiko sebagai aman, disusupi, atau untuk menutupnya. Untuk mendapatkan kesimpulan yang yakin, mungkin perlu untuk: melakukan percakapan dengan pengguna yang dimaksud, meninjau log masuk, meninjau log audit, atau mengkueri log risiko di Log Analytics. Berikut menguraikan tindakan yang direkomendasikan selama fase penyelidikan ini:

  1. Periksa log dan validasi apakah aktivitas normal untuk pengguna yang diberikan.
    1. Lihat aktivitas pengguna sebelumnya termasuk properti berikut untuk melihat apakah mereka normal untuk pengguna tertentu.
      1. Aplikasi
      2. Perangkat - Apakah perangkat terdaftar atau sesuai?
      3. Lokasi - Apakah pengguna bepergian ke lokasi yang berbeda atau mengakses perangkat dari beberapa lokasi?
      4. alamat IP
      5. String agen pengguna
    2. Jika Anda memiliki akses ke alat keamanan lain seperti Microsoft Azure Sentinel, periksa pemberitahuan terkait yang mungkin menunjukkan masalah yang lebih besar.
    3. Organisasi dengan akses ke Pertahanan Microsoft 365 dapat mengikuti peristiwa risiko pengguna melalui pemberitahuan, insiden, dan rantai MITRE ATT&CK terkait lainnya.
      1. Untuk menavigasi dari laporan Pengguna berisiko, pilih pengguna di laporan Pengguna berisiko dan pilih elipsis (...) di toolbar lalu pilih Selidiki dengan Pertahanan Microsoft 365.
  2. Hubungi pengguna untuk mengonfirmasi apakah mereka mengenali rincian masuk; namun, pertimbangkan metode seperti email atau Teams mungkin disusupi.
    1. Konfirmasikan informasi yang Anda miliki seperti:
      1. Tanda Waktu
      2. Aplikasi
      3. Perangkat
      4. Lokasi
      5. alamat IP
  3. Bergantung pada hasil investigasi, tandai pengguna atau masuk sebagai disusupi, dikonfirmasi aman, atau tutup risiko.
  4. Siapkan kebijakan Akses Bersyar berbasis risiko untuk mencegah serangan serupa atau untuk mengatasi celah apa pun dalam cakupan.

Menyelidiki deteksi tertentu

Inteligensi ancaman Microsoft Entra

Untuk menyelidiki deteksi risiko Inteligensi Ancaman Microsoft Entra, ikuti langkah-langkah ini berdasarkan informasi yang disediakan di bidang "info tambahan" dari panel Detail Deteksi Risiko:

  1. Rincian masuk berasal dari Alamat IP yang mencurigakan:
    1. Konfirmasi apakah alamat IP menunjukkan perilaku yang mencurigakan di lingkungan Anda.
    2. Apakah IP menimbulkan sejumlah besar kegagalan bagi pengguna atau kumpulan pengguna di direktori Anda?
    3. Apakah lalu lintas IP berasal dari protokol atau aplikasi yang tidak terduga, misalnya protokol lama Exchange?
    4. Jika alamat IP sesuai dengan penyedia layanan cloud, kecualikan sehingga tidak ada aplikasi perusahaan yang sah yang berjalan dari IP yang sama.
  2. Akun ini adalah korban serangan semprotan kata sandi:
    1. Validasikan bahwa tidak ada pengguna lain di direktori Anda yang menjadi target serangan yang sama.
    2. Apakah pengguna lain memiliki kredensial masuk dengan pola tidak biasa yang serupa dan terlihat pada kredensial masuk yang terdeteksi dalam jangka waktu yang sama? Serangan semprotan kata sandi mungkin menampilkan pola yang tidak biasa dalam:
      1. String agen pengguna
      2. Aplikasi
      3. Protokol
      4. Rentang IP/ASN
      5. Waktu dan frekuensi kredensial masuk
  3. Deteksi ini dipicu oleh aturan real-time:
    1. Validasikan bahwa tidak ada pengguna lain di direktori Anda yang menjadi target serangan yang sama. Informasi ini dapat ditemukan menggunakan nomor TI_RI_#### yang ditetapkan ke aturan.
    2. Aturan real time melindungi dari serangan baru yang diidentifikasi oleh inteligensi ancaman Microsoft. Jika beberapa pengguna di direktori Anda adalah target serangan yang sama, selidiki pola yang tidak biasa di atribut lain dari masuk.

Menyelidiki deteksi perjalanan atipikal

  1. Jika Anda dapat mengonfirmasi aktivitas tidak dilakukan oleh pengguna yang sah:
    1. Tindakan yang disarankan: Tandai masuk sebagai diretas, dan lakukan reset kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan MFA dan mengatur ulang kata sandi.
  2. Jika pengguna diketahui menggunakan alamat IP dalam cakupan tugas mereka:
    1. Tindakan yang direkomendasikan: Konfirmasikan masuk sebagai aman.
  3. Jika Anda dapat mengonfirmasi bahwa pengguna baru-baru ini melakukan perjalanan ke tujuan yang disebutkan secara terperinci dalam pemberitahuan:
    1. Tindakan yang direkomendasikan: Konfirmasikan masuk sebagai aman.
  4. Jika Anda dapat mengonfirmasi bahwa rentang alamat IP berasal dari VPN yang diberi sanksi.
    1. Tindakan yang direkomendasikan: Konfirmasi masuk sebagai aman dan tambahkan rentang alamat IP VPN ke lokasi bernama di ID Microsoft Entra dan Microsoft Defender untuk Aplikasi Cloud.

Menyelidiki deteksi anomali token dan pengeluar token

  1. Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah menggunakan kombinasi pemberitahuan risiko, lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain yang tidak terduga bagi pengguna:
    1. Tindakan yang disarankan: Tandai masuk sebagai diretas, dan lakukan reset kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan.
    2. Tindakan yang direkomendasikan: Siapkan kebijakan Akses Bersyarat berbasis risiko untuk mewajibkan pengaturan ulang kata sandi, melakukan MFA, atau memblokir akses untuk semua rincian masuk berisiko tinggi.
  2. Jika Anda dapat mengonfirmasi lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain diharapkan untuk pengguna dan tidak ada indikasi penyusupan lainnya:
    1. Tindakan yang direkomendasikan: Izinkan pengguna untuk memulihkan diri dengan kebijakan Akses Bersyarat berbasis risiko atau meminta admin mengonfirmasi masuk sebagai aman.
  3. Untuk penyelidikan lebih lanjut tentang deteksi berbasis token, lihat posting blog Taktik Token: Cara mencegah, mendeteksi, dan merespons pencurian token cloudpanduan investigasi pencurian token.

Menyelidiki deteksi browser yang mencurigakan

  • Browser biasanya tidak digunakan oleh pengguna atau aktivitas dalam browser tidak cocok dengan perilaku pengguna biasanya.
    • Tindakan yang disarankan: Konfirmasikan bahwa masuk telah dikompromi, dan lakukan pengaturan ulang kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan MFA.
    • Tindakan yang direkomendasikan: Siapkan kebijakan Akses Bersyarat berbasis risiko untuk mewajibkan pengaturan ulang kata sandi, melakukan MFA, atau memblokir akses untuk semua rincian masuk berisiko tinggi.

Menyelidiki deteksi alamat IP berbahaya

  1. Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah:
    1. Tindakan yang disarankan: Konfirmasikan bahwa masuk telah dikompromi, dan lakukan pengaturan ulang kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan MFA dan mengatur ulang kata sandi dan mencabut semua token.
    2. Tindakan yang direkomendasikan: Siapkan kebijakan Akses Bersyarat berbasis risiko untuk mewajibkan pengaturan ulang kata sandi atau melakukan MFA untuk semua rincian masuk berisiko tinggi.
  2. Jika pengguna diketahui menggunakan alamat IP dalam cakupan tugas mereka:
    1. Tindakan yang direkomendasikan: Konfirmasikan masuk sebagai aman.

Menyelidiki deteksi semprotan kata sandi

  1. Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah:
    1. Tindakan yang disarankan: Tandai masuk sebagai diretas, dan lakukan reset kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan MFA dan mengatur ulang kata sandi dan mencabut semua token.
  2. Jika pengguna diketahui menggunakan alamat IP dalam cakupan tugas mereka:
    1. Tindakan yang direkomendasikan: Konfirmasikan bahwa masuk aman.
  3. Jika Anda dapat mengonfirmasi bahwa akun tidak disusupi dan tidak melihat indikator brute force atau semprotan kata sandi terhadap akun.
    1. Tindakan yang direkomendasikan: Izinkan pengguna untuk memulihkan diri dengan kebijakan Akses Bersyarat berbasis risiko atau meminta admin mengonfirmasi masuk sebagai aman.
  4. Pastikan Anda telah mengkonfigurasi fitur Microsoft Entra Smart Lockout dengan tepat untuk menghindari penguncian akun yang tidak perlu.

Untuk penyelidikan lebih lanjut deteksi risiko semprotan kata sandi, lihat artikel Penyelidikan penyemprotan kata sandi.

Menyelidiki deteksi kredensial yang bocor

  • Jika deteksi ini mengidentifikasi kredensial bocor untuk pengguna:
    • Tindakan yang direkomendasikan: Konfirmasikan pengguna sebagai disusupi, dan panggil reset kata sandi jika belum dilakukan dengan remediasi mandiri. Blokir pengguna jika penyerang memiliki akses untuk mengatur ulang kata sandi atau melakukan MFA dan mengatur ulang kata sandi dan mencabut semua token.

Langkah berikutnya