Cara: Menyelidiki Risiko

  • Artikel

Perlindungan Identitas memberi organisasi pelaporan yang dapat mereka gunakan untuk menyelidiki risiko identitas di lingkungan mereka. Laporan ini mencakup pengguna berisiko, proses masuk berisiko, identitas beban kerja berisiko, dan deteksi risiko. Investigasi peristiwa adalah kunci untuk lebih memahami dan mengidentifikasi titik lemah dalam strategi keamanan Anda. Semua laporan ini memungkinkan pengunduhan peristiwa di . Format atau integrasi CSV dengan solusi keamanan lain seperti alat SIEM khusus untuk analisis lebih lanjut.

Organisasi dapat memanfaatkan integrasi Microsoft Graph API untuk menggabungkan data dengan sumber lain yang mungkin mereka miliki aksesnya sebagai organisasi.

Ketiga laporan ditemukan di Perlindungan Identitas Perlindungan>Identitas pusat>admin Microsoft Entra.

Setiap laporan diluncurkan dengan daftar semua deteksi untuk periode yang ditunjukkan di bagian atas laporan. Setiap laporan memungkinkan penambahan atau penghapusan kolom berdasarkan preferensi administrator. Administrator dapat memilih untuk mengunduh data dalam format .CSV atau .JSON. Laporan dapat difilter menggunakan filter di bagian atas laporan.

Memilih setiap entri dapat mengaktifkan entri lainnya di bagian atas laporan seperti kemampuan untuk mengonfirmasi kredensial masuk sebagai disusupi atau aman, mengonfirmasi pengguna sebagai disusupi, atau mengabaikan risiko pengguna.

Memilih entri individual memperluas jendela detail di bawah deteksi. Tampilan detail memungkinkan administrator menyelidiki dan melakukan tindakan terhadap setiap deteksi.

Pengguna berisiko

Laporan pengguna berisiko mencantumkan semua pengguna yang akunnya saat ini atau dianggap berisiko disusupi. Pengguna berisiko harus diselidiki dan diperbaiki untuk mencegah akses tidak sah ke sumber daya.

Mengapa pengguna berisiko?

Pengguna menjadi pengguna berisiko ketika:

  • Mereka memiliki satu atau beberapa proses masuk berisiko.
  • Ada satu atau beberapa risiko yang terdeteksi di akun pengguna, seperti Kredensial Bocor.

Bagaimana cara menyelidiki pengguna berisiko?

Untuk melihat dan menyelidiki proses masuk berisiko pengguna, pilih tab "Rincian masuk berisiko terbaru" atau tautan "Masuk berisiko pengguna".

Untuk melihat dan menyelidiki risiko pada akun pengguna, pilih tab "Deteksi yang tidak ditautkan ke rincian masuk" atau tautan "Deteksi risiko pengguna".

Tab Riwayat risiko juga menunjukkan semua peristiwa yang menyebabkan perubahan risiko pengguna dalam 90 hari terakhir. Daftar ini mencakup deteksi risiko yang meningkatkan risiko pengguna dan tindakan remediasi admin yang menurunkan risiko pengguna. Lihat untuk memahami bagaimana risiko pengguna telah berubah.

Cuplikan layar laporan pengguna Berisiko.

Dengan informasi yang diberikan oleh laporan pengguna berisiko, administrator dapat menemukan:

  • Pengguna mana yang berisiko, memiliki risiko yang telah diperbaiki, atau risiko yang dimatikan?
  • Detail tentang deteksi
  • Riwayat semua proses masuk yang riskan
  • Riwayat risiko

Kemudian, administrator dapat memilih untuk mengambil tindakan pada peristiwa ini. Administrator dapat memilih untuk:

Memahami cakupan

  1. Pertimbangkan untuk membuat database pelancong yang diketahui untuk pelaporan perjalanan organisasi yang diperbarui dan gunakan untuk aktivitas perjalanan lintas referensi.
  2. Tambahkan rentang VPN perusahaan dan Alamat IP ke lokasi bernama untuk mengurangi positif palsu.
  3. Tinjau log untuk mengidentifikasi aktivitas serupa dengan karakteristik yang sama. Ini bisa menjadi indikasi akun yang lebih disusupi.
    1. Jika ada karakteristik umum, seperti alamat IP, geografi, keberhasilan/kegagalan, dll..., pertimbangkan untuk memblokirnya dengan kebijakan Akses Bersyarat.
    2. Tinjau sumber daya mana yang mungkin telah disusupi, seperti potensi unduhan data atau modifikasi administratif.
    3. Mengaktifkan kebijakan remediasi mandiri melalui Akses Bersyar
  4. Jika Anda melihat bahwa pengguna melakukan aktivitas berisiko lainnya, seperti mengunduh file dalam volume besar dari lokasi baru, ini adalah indikasi yang kuat dari kemungkinan kompromi.

Proses masuk riskan

Cuplikan layar laporan proses masuk Riskan.

Laporan proses masuk riskan berisi data yang dapat difilter hingga 30 hari terakhir (satu bulan).

Dengan informasi yang diberikan oleh laporan proses masuk riskan, administrator dapat menemukan:

  • Rinvian masuk mana yang diklasifikasikan sebagai berisiko, dikonfirmasi disusupi, dikonfirmasi aman, dihentikan, atau diperbaiki.
  • Tingkat risiko real-time dan agregat yang terkait dengan upaya masuk.
  • Jenis deteksi yang dipicu
  • Kebijakan Akses Bersyarat yang diterapkan
  • Detail MFA
  • Informasi perangkat
  • Informasi aplikasi
  • Informasi lokasi

Kemudian, administrator dapat memilih untuk mengambil tindakan pada peristiwa ini. Administrator dapat memilih untuk:

  • Mengonfirmasi rincian masuk sebagai disusupi
  • Mengonfirmasi proses masuk aman

Catatan

Perlindungan Identitas mengevaluasi risiko untuk semua alur autentikasi, baik interaktif maupun non-interaktif. Laporan proses masuk riskan sekarang menunjukkan kedua interaktif dan non-interaktif rincian masuk. Gunakan filter "jenis rincian masuk" untuk mengubah tampilan ini.

Deteksi risiko

Cuplikan layar laporan Deteksi risiko.

Laporan deteksi risiko berisi data yang dapat difilter hingga 90 hari terakhir (tiga bulan).

Dengan informasi yang diberikan oleh laporan deteksi risiko, administrator dapat menemukan:

  • Informasi tentang setiap deteksi risiko termasuk jenis.
  • Risiko lain yang dipicu pada saat yang sama
  • Lokasi percobaan masuk
  • Tautkan ke detail selengkapnya dari Pertahanan Microsoft untuk Aplikasi Cloud.

Kemudian, administrator dapat memilih untuk kembali ke laporan risiko atau masuk pengguna untuk mengambil tindakan berdasarkan informasi yang dikumpulkan.

Catatan

Sistem kami dapat mendeteksi bahwa peristiwa risiko yang berkontribusi pada skor risiko pengguna risiko adalah positif palsu atau risiko pengguna diperbaiki dengan penegakan kebijakan seperti menyelesaikan perubahan kata sandi aman atau prompt MFA. Oleh karena itu, sistem kami akan menghilangkan status risiko dan detail risiko "Rincian masuk yang dikonfirmasi AI aman" akan muncul dan tidak akan lagi berkontribusi pada risiko pengguna.

Kerangka kerja penyelidikan

Organisasi dapat menggunakan kerangka kerja berikut untuk memulai penyelidikan mereka terhadap aktivitas apa pun yang mencurigakan. Investigasi mungkin memerlukan percakapan dengan pengguna yang bersangkutan, meninjau log kredensial masuk, atau meninjau log audit untuk menamai beberapa log audit.

  1. Periksa log dan validasi apakah aktivitas mencurigakan itu normal untuk pengguna tertentu.
    1. Lihat aktivitas pengguna sebelumnya termasuk setidaknya properti berikut untuk melihat apakah mereka normal untuk pengguna tertentu.
      1. Aplikasi
      2. Perangkat - Apakah perangkat terdaftar atau sesuai?
      3. Lokasi - Apakah pengguna bepergian ke lokasi yang berbeda atau mengakses perangkat dari beberapa lokasi?
      4. Alamat IP
      5. String agen pengguna
    2. Jika Anda memiliki akses ke alat keamanan lain seperti Microsoft Sentinel, periksa peringatan yang sesuai yang mungkin menunjukkan masalah yang lebih besar.
    3. Organisasi dengan akses ke Pertahanan Microsoft 365 dapat mengikuti peristiwa risiko pengguna melalui pemberitahuan dan insiden terkait lainnya serta rantai MITRE ATT&CK.
      1. Pilih pengguna dalam laporan Pengguna berisiko.
      2. Pilih elipsis (...) di toolbar lalu pilih Selidiki dengan Pertahanan Microsoft 365.
  2. Hubungi pengguna untuk mengonfirmasi apakah mereka mengenali kredensial masuknya. Metode seperti email atau Teams dapat disusupi.
    1. Konfirmasikan informasi yang Anda miliki seperti:
      1. Aplikasi
      2. Perangkat
      3. Lokasi
      4. Alamat IP

Penting

Jika Anda mencurigai penyerang dapat meniru pengguna, mengatur ulang kata sandi mereka, dan melakukan MFA; Anda harus memblokir pengguna dan mencabut semua token refresh dan akses.

Menyelidiki deteksi inteligensi ancaman Microsoft Entra

Untuk menyelidiki deteksi risiko Inteligensi Ancaman Microsoft Entra, ikuti langkah-langkah berikut:

Jika informasi selengkapnya ditampilkan untuk deteksi:

  1. Rincian masuk berasal dari Alamat IP yang mencurigakan:
    1. Konfirmasi apakah alamat IP menunjukkan perilaku yang mencurigakan di lingkungan Anda.
    2. Apakah IP menimbulkan sejumlah besar kegagalan bagi pengguna atau kumpulan pengguna di direktori Anda?
    3. Apakah lalu lintas IP berasal dari protokol atau aplikasi yang tidak terduga, misalnya protokol lama Exchange?
    4. Jika alamat IP sesuai dengan penyedia layanan cloud, kecualikan sehingga tidak ada aplikasi perusahaan yang sah yang berjalan dari IP yang sama.
  2. Akun ini adalah korban serangan semprotan kata sandi:
    1. Validasikan bahwa tidak ada pengguna lain di direktori Anda yang menjadi target serangan yang sama.
    2. Apakah pengguna lain memiliki kredensial masuk dengan pola tidak biasa yang serupa dan terlihat pada kredensial masuk yang terdeteksi dalam jangka waktu yang sama? Serangan semprotan kata sandi dapat menampilkan pola yang tidak biasa dalam:
      1. String agen pengguna
      2. Aplikasi
      3. Protokol
      4. Rentang IP/ASN
      5. Waktu dan frekuensi kredensial masuk
  3. Deteksi ini dipicu oleh aturan real-time:
    1. Validasikan bahwa tidak ada pengguna lain di direktori Anda yang menjadi target serangan yang sama. Ini dapat ditemukan dengan nomor TI_RI_#### yang ditetapkan ke aturan.
    2. Aturan real time melindungi dari serangan baru yang diidentifikasi oleh inteligensi ancaman Microsoft. Jika beberapa pengguna di direktori Anda adalah target serangan yang sama, selidiki pola yang tidak biasa di atribut lain dari masuk.

Menyelidiki risiko dengan Pertahanan Microsoft 365

Organisasi yang telah menyebarkan Pertahanan Microsoft 365 dan Microsoft Defender untuk Identitas mendapatkan nilai tambahan dari sinyal Perlindungan Identitas. Nilai ini hadir dalam bentuk korelasi yang ditingkatkan dengan data lain dari bagian lain organisasi dan penyelidikan dan respons otomatis ekstra.

Cuplikan layar memperlihatkan pemberitahuan untuk pengguna berisiko di portal Pertahanan Microsoft 365.

Di Profesional dan Administrator Keamanan Pertahanan Microsoft 365 dapat membuat koneksi ke aktivitas mencurigakan dari area seperti:

  • Pemberitahuan di Defender untuk Identitas
  • Pertahanan Microsoft untuk Titik Akhir
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

Untuk informasi selengkapnya tentang cara menyelidiki aktivitas mencurigakan menggunakan Pertahanan Microsoft 365, lihat artikel Menyelidiki aset dalam Microsoft Defender untuk Identitas dan Menyelidiki insiden di Pertahanan Microsoft 365.

Untuk informasi selengkapnya tentang pemberitahuan ini dan strukturnya, lihat artikel Memahami pemberitahuan keamanan.

Status investigasi

Saat personel keamanan menyelidiki risiko di Pertahanan Microsoft 365 dan Pertahanan untuk Identitas, status dan alasan berikut dikembalikan ke Perlindungan Identitas di portal dan API.

Status Pertahanan Microsoft 365 Klasifikasi Pertahanan Microsoft 365 Status risiko Perlindungan ID Microsoft Entra Detail risiko dalam Perlindungan ID Microsoft Entra
Baru Positif palsu Dikonfirmasi aman M365DAdminDismissedDetection
Baru Positif sejati jinak Dikonfirmasi aman M365DAdminDismissedDetection
Baru Positif benar Dikonfirmasi disusupi M365DAdminDismissedDetection
Dalam Proses Belum diatur Berisiko
Dalam Proses Positif palsu Dikonfirmasi aman M365DAdminDismissedDetection
Dalam Proses Positif sejati jinak Dikonfirmasi aman M365DAdminDismissedDetection
Dalam Proses Positif benar Dikonfirmasi disusupi M365DAdminDismissedDetection
Diselesaikan Belum diatur Dimatikan M365DAdminDismissedDetection
Diselesaikan Positif palsu Dikonfirmasi aman M365DAdminDismissedDetection
Diselesaikan Positif sejati jinak Dikonfirmasi aman M365DAdminDismissedDetection
Diselesaikan Positif benar Diremediasi M365DAdminDismissedDetection

Langkah berikutnya