Buku kerja laporan operasi sensitif

Sebagai administrator TI, Anda harus dapat mengidentifikasi kompromi di lingkungan Anda untuk memastikan bahwa Anda dapat menyimpannya dalam keadaan sehat.

Buku kerja laporan operasi sensitif ditujukan untuk membantu mengidentifikasi aktivitas perwakilan layanan dan aplikasi mencurigakan yang mungkin menunjukkan penyusupan di lingkungan Anda.

Artikel ini memberi Anda gambaran umum tentang buku kerja Laporan Operasi Sensitif.

Prasyarat

Untuk menggunakan Azure Workbooks untuk ID Microsoft Entra, Anda memerlukan:

• Penyewa Microsoft Entra dengan lisensi Premium P1
• Ruang kerja Log Analytics dan akses ke ruang kerja tersebut
• Peran yang sesuai untuk Azure Monitor dan ID Microsoft Entra

Ruang kerja Analitik Log

Anda harus membuat ruang kerja Analitik Log sebelum dapat menggunakan Buku Kerja Microsoft Entra. beberapa faktor menentukan akses ke ruang kerja Analitik Log. Anda memerlukan peran yang tepat untuk ruang kerja dan sumber daya yang mengirim data.

Untuk informasi selengkapnya, lihat Mengelola akses ke ruang kerja Analitik Log.

Peran Azure Monitor

Azure Monitor menyediakan dua peran bawaan untuk melihat data pemantauan dan mengedit pengaturan pemantauan. Kontrol akses berbasis peran Azure (RBAC) juga menyediakan dua peran bawaan Log Analytics yang memberikan akses serupa.

• Lihat:

  • Pembaca Pemantauan
  • Pembaca Analitik Log

• Lihat dan ubah pengaturan:

  • Kontributor Pemantauan
  • Kontributor Analitik Log

Peran Microsoft Entra

Akses baca saja memungkinkan Anda menampilkan data log ID Microsoft Entra di dalam buku kerja, mengkueri data dari Analitik Log, atau membaca log di pusat admin Microsoft Entra. Akses pembaruan menambahkan kemampuan untuk membuat dan mengedit pengaturan diagnostik untuk mengirim data Microsoft Entra ke ruang kerja Analitik Log.

• Baca:

  • Pembaca Laporan
  • Pembaca Keamanan
  • Pembaca Global

• Perbarui:

  • Administrator Keamanan

Untuk informasi selengkapnya tentang peran bawaan Microsoft Entra, lihat Peran bawaan Microsoft Entra.

Untuk informasi selengkapnya tentang peran RBAC Analitik Log, lihat Peran bawaan Azure.

Deskripsi

Buku kerja ini mengidentifikasi operasi sensitif terbaru yang telah dilakukan di penyewa Anda dan yang dapat disusupi perwakilan layanan.

Jika organisasi Anda baru menggunakan buku kerja pemantauan Azure, Anda perlu mengintegrasikan log masuk dan audit Microsoft Entra dengan Azure Monitor sebelum mengakses buku kerja. Integrasi ini memungkinkan Anda untuk menyimpan, dan mengkueri, dan memvisualisasikan log Anda menggunakan buku kerja hingga dua tahun. Hanya peristiwa masuk dan audit yang dibuat setelah integrasi Azure Monitor disimpan, sehingga buku kerja tidak akan berisi wawasan sebelum tanggal tersebut. Pelajari selengkapnya tentang prasyarat ke buku kerja Azure Monitor untuk ID Microsoft Entra. Jika sebelumnya Anda telah mengintegrasikan log masuk dan audit Microsoft Entra dengan Azure Monitor, Anda bisa menggunakan buku kerja untuk menilai informasi sebelumnya.

Cara mengakses buku kerja

1. Masuk ke pusat admin Microsoft Entra menggunakan kombinasi peran yang sesuai.

2. Telusuri ke Pemantauan Identitas>& Buku Kerja kesehatan.>

3. Pilih buku kerja Laporan Operasi Sensitif dari bagian Pemecahan Masalah.

Bagian

Buku kerja ini dibagi menjadi empat bagian:

• Aplikasi yang dimodifikasi dan metode kredensial/autentikasi perwakilan layanan - Laporan ini menandai pelaku yang baru-baru ini mengubah banyak kredensial perwakilan layanan, dan berapa banyak dari setiap jenis kredensial perwakilan layanan yang telah diubah.

• Izin baru yang diberikan kepada perwakilan layanan - Buku kerja ini juga menyoroti izin OAuth 2.0 yang baru saja diberikan kepada perwakilan layanan.

• Peran direktori dan pembaruan keanggotaan grup ke perwakilan layanan

• Pengaturan federasi yang dimodifikasi - Laporan ini menyoroti ketika pengguna atau aplikasi memodifikasi pengaturan federasi pada domain. Misalnya, laporan ketika objek Active Directory Federated Service (ADFS) TrustedRealm baru, seperti sertifikat penandatanganan, ditambahkan ke domain. Modifikasi pada pengaturan federasi domain seharusnya jarang terjadi.

Info masuk/metode autentikasi aplikasi yang dimodifikasi dan perwakilan layanan

Salah satu cara paling umum bagi penyerang untuk mendapatkan persistensi di lingkungan adalah dengan menambahkan info masuk baru ke aplikasi dan perwakilan layanan yang ada. Info masuk memungkinkan penyerang untuk mengautentikasi sebagai aplikasi target atau perwakilan layanan, memberi mereka akses ke semua sumber daya yang memiliki izin.

Bagian ini mencakup data berikut untuk membantu Anda mendeteksi:

• Semua info masuk baru yang ditambahkan ke aplikasi dan perwakilan layanan, termasuk jenis info masuk

• Aktor teratas dan jumlah modifikasi kredensial yang mereka lakukan

• Garis waktu untuk semua perubahan info masuk

Izin baru yang diberikan ke perwakilan layanan

Dalam kasus di mana penyerang tidak dapat menemukan perwakilan layanan atau aplikasi dengan sekumpulan izin hak istimewa tinggi untuk mendapatkan akses, mereka akan sering mencoba menambahkan izin ke perwakilan layanan atau aplikasi lain.

Bagian ini mencakup uraian izin AppOnly yang diberikan kepada perwakilan layanan yang ada. Admin harus menyelidiki instans izin tinggi yang berlebihan yang diberikan, termasuk, tetapi tidak terbatas pada, Exchange Online, dan Microsoft Graph.

Peran direktori dan pembaruan keanggotaan grup untuk perwakilan layanan

Mengikuti logika penyerang yang menambahkan izin baru ke perwakilan layanan dan aplikasi yang ada, pendekatan lain adalah menambahkannya ke peran atau grup direktori yang ada.

Bagian ini mencakup gambaran umum semua perubahan yang dilakukan pada keanggotaan perwakilan layanan dan harus ditinjau untuk setiap penambahan peran dan grup dengan hak istimewa yang tinggi.

Pengaturan federasi yang dimodifikasi

Pendekatan umum lainnya untuk mendapatkan pijakan jangka panjang di lingkungan adalah:

• Mengubah kepercayaan domain federasi penyewa.
• Tambahkan IDP SAML lain yang dikontrol oleh penyerang sebagai sumber autentikasi tepercaya.

Bagian ini mencakup data berikut:

• Perubahan yang dilakukan pada kepercayaan federasi domain yang ada

• Penambahan domain dan kepercayaan baru

Filter

Paragraf ini mencantumkan filter yang didukung untuk setiap bagian.

Info Masuk/Metode Autentikasi Aplikasi yang Dimodifikasi dan Perwakilan Layanan

• Rentang waktu
• Nama operasi
• Kredensial
• Actor
• Pengecualian aktor

Izin baru yang diberikan ke perwakilan layanan

• Rentang waktu
• Aplikasi klien
• Sumber daya

Peran direktori dan pembaruan keanggotaan grup untuk perwakilan layanan

• Rentang waktu
• Operasi
• Pengguna atau aplikasi yang memulai

Pengaturan federasi yang dimodifikasi

• Rentang waktu
• Operasi
• Pengguna atau aplikasi yang memulai

Praktik terbaik

• • Gunakan kredensial aplikasi dan perwakilan layanan yang dimodifikasi** untuk mencari kredensial yang ditambahkan ke perwakilan layanan yang tidak sering digunakan di organisasi Anda. Gunakan filter yang ada di bagian ini untuk menyelidiki lebih lanjut salah satu pelaku atau perwakilan layanan yang mencurigakan yang dimodifikasi.

• Gunakan izin baru yang diberikan kepada perwakilan layanan untuk mencari izin luas atau berlebihan yang ditambahkan ke perwakilan layanan oleh pelaku yang mungkin disusupi.

• Gunakan bagian pengaturan federasi yang dimodifikasi untuk mengonfirmasi bahwa domain/URL target yang ditambahkan atau dimodifikasi adalah perilaku admin yang sah. Tindakan yang memodifikasi atau menambahkan kepercayaan federasi domain jarang terjadi dan harus diperlakukan sebagai fidelitas tinggi untuk diselidiki sesegera mungkin.