Menyelidiki aset

  • Artikel
  • 4 menit untuk membaca

Pertahanan Microsoft untuk Identitas di Pertahanan Microsoft 365 memberikan bukti ketika pengguna, komputer, dan perangkat telah melakukan aktivitas mencurigakan atau menunjukkan tanda-tanda disusupi. Artikel ini memberikan saran investigasi untuk membantu Anda menentukan risiko bagi organisasi Anda, memutuskan cara memulihkan, dan menentukan cara terbaik untuk mencegah serangan serupa di masa depan.

Langkah-langkah investigasi untuk pengguna yang mencurigakan

Untuk informasi tentang cara menampilkan profil pengguna di Pertahanan Microsoft 365, lihat Menyelidiki pengguna.

Jika pemberitahuan atau insiden menunjukkan bahwa pengguna mungkin mencurigakan atau disusupi, periksa dan selidiki profil pengguna untuk detail dan aktivitas berikut:

  1. Siapa penggunanya?

    1. Apakah pengguna adalah pengguna sensitif (seperti admin, atau pada daftar tonton, dll.)?
    2. Apa peran mereka dalam organisasi?
    3. Apakah mereka signifikan di pohon organisasi?

  2. Aktivitas mencurigakan untuk menyelidiki:

    1. Apakah pengguna memiliki pemberitahuan lain yang dibuka di Defender for Identity, atau di alat keamanan lain seperti Pertahanan Microsoft untuk Titik Akhir, Pertahanan Microsoft untuk Cloud dan/atau Microsoft Defender for Cloud Apps?
    2. Apakah pengguna gagal masuk?
    3. Sumber daya mana yang diakses pengguna?
    4. Apakah pengguna mengakses sumber daya bernilai tinggi?
    5. Apakah pengguna seharusnya mengakses sumber daya yang mereka akses?
    6. Perangkat mana yang masuk pengguna?
    7. Apakah pengguna seharusnya masuk ke perangkat tersebut?
    8. Apakah ada jalur gerakan lateral (LMP) antara pengguna dan pengguna sensitif?

Gunakan jawaban atas pertanyaan-pertanyaan ini untuk menentukan apakah akun tampak disusupi atau apakah aktivitas mencurigakan menyiratkan tindakan berbahaya.

Selidiki profil pengguna.

Langkah-langkah investigasi untuk perangkat yang mencurigakan

Untuk mengakses halaman profil perangkat, pilih perangkat tertentu yang disebutkan dalam pemberitahuan yang ingin Anda selidiki. Untuk membantu penyelidikan Anda, bukti pemberitahuan mencantumkan semua perangkat dan pengguna yang terhubung ke setiap aktivitas yang mencurigakan.

Periksa dan selidiki profil perangkat untuk detail dan aktivitas berikut:

  • Apa yang terjadi sekitar waktu aktivitas yang mencurigakan?

    1. Pengguna mana yang masuk ke perangkat?
    2. Apakah pengguna tersebut biasanya masuk atau mengakses perangkat sumber atau tujuan?
    3. Sumber daya mana yang diakses? Oleh pengguna mana?
    • Jika sumber daya diakses, apakah sumber daya bernilai tinggi?
    1. Apakah pengguna seharusnya mengakses sumber daya tersebut?
    2. Apakah pengguna yang mengakses perangkat melakukan aktivitas mencurigakan lainnya?

  • Aktivitas yang lebih mencurigakan untuk diselidiki:

    1. Apakah pemberitahuan lain dibuka sekitar waktu yang sama dengan pemberitahuan ini di Defender for Identity, atau di alat keamanan lain seperti Pertahanan Microsoft untuk Titik Akhir, Pertahanan Microsoft untuk Cloud dan/atau Microsoft Defender for Cloud Apps?
    2. Apakah ada logon yang gagal?
    3. Apakah ada program baru yang disebarkan atau diinstal?

Gunakan jawaban atas pertanyaan-pertanyaan ini untuk menentukan apakah perangkat tampak disusupi atau apakah aktivitas mencurigakan menyiratkan tindakan berbahaya.

Selidiki profil perangkat.

Periksa profil entitas

Profil entitas memberi Anda halaman entitas komprehensif, yang dirancang untuk penyelidikan mendalam penuh tentang pengguna, komputer, perangkat, dan sumber daya yang dapat mereka akses bersama dengan riwayat mereka. Halaman profil memanfaatkan penerjemah aktivitas logis Defender for Identity baru yang dapat melihat sekelompok aktivitas yang terjadi (dikumpulkan hingga satu menit) dan mengelompokkannya ke dalam satu aktivitas logis untuk memberi Anda pemahaman yang lebih baik tentang aktivitas aktual pengguna Anda.

Untuk mengakses halaman profil entitas, pilih nama entitas, seperti nama pengguna, di garis waktu pemberitahuan keamanan. Anda juga dapat melihat versi mini profil entitas di halaman pemberitahuan keamanan dengan mengarahkan kuarifikasi ke nama entitas.

Profil entitas memungkinkan Anda melihat aktivitas entitas, melihat data direktori, dan melihat jalur pergerakan lateral untuk entitas.

Memeriksa tag entitas

Defender for Identity menarik tag dari Direktori Aktif untuk memberi Anda satu antarmuka untuk memantau pengguna dan entitas Direktori Aktif Anda. Tag ini memberi Anda informasi tentang entitas dari Direktori Aktif, termasuk:

  • Parsial: Pengguna, komputer, atau grup ini tidak disinkronkan dari domain, dan sebagian diselesaikan melalui katalog global. Beberapa atribut tidak tersedia.
  • Tidak terselesaikan: Komputer ini tidak diselesaikan ke entitas yang valid di forest direktori aktif. Tidak ada informasi direktori yang tersedia.
  • Dihapus: Entitas dihapus dari Direktori Aktif.
  • Dinonaktifkan: Entitas dinonaktifkan di Direktori Aktif.
  • Terkunci: Entitas memasukkan kata sandi yang salah terlalu banyak dan dikunci.
  • Kedaluwarsa: Entitas kedaluwarsa di Direktori Aktif.
  • Baru: Entitas dibuat kurang dari 30 hari yang lalu.

Mengawasi pengguna dan grup sensitif

Defender for Identity mengimpor informasi pengguna dan grup dari Azure Active Directory, memungkinkan Anda mengidentifikasi pengguna mana yang secara otomatis dianggap sensitif karena mereka adalah anggota grup berikut di Direktori Aktif:

  • Administrator
  • Pengguna Daya
  • Operator Akun
  • Operator Server
  • Operator Cetak
  • Operator Azure Backup
  • Replikator
  • Pengguna Desktop Jarak Jauh
  • Operator Konfigurasi Jaringan
  • Pembangun Kepercayaan Hutan Masuk
  • Admin Domain
  • Pengendali domain
  • Pemilik Pembuat Kebijakan Grup
  • Pengendali Domain baca-saja
  • Pengendali Domain Baca-saja Perusahaan
  • Admin Skema
  • Admin Perusahaan

Selain itu, Anda dapat menandai entitas secara manual sebagai sensitif dalam Defender for Identity. Ini penting karena beberapa deteksi Defender for Identity, seperti deteksi modifikasi grup sensitif dan jalur gerakan lateral, bergantung pada status sensitivitas entitas. Jika Anda menandai pengguna atau grup tambahan secara manual sebagai sensitif, seperti anggota dewan, eksekutif perusahaan, dan direktur penjualan, Defender for Identity akan menganggapnya sensitif. Untuk informasi selengkapnya, lihat Tag entitas Pertahanan untuk Identitas di Pertahanan Microsoft 365.

Meninjau jalur gerakan lateral

Defender for Identity dapat membantu Anda mencegah serangan yang menggunakan jalur gerakan lateral. Gerakan lateral adalah ketika penyerang secara proaktif menggunakan akun yang tidak sensitif untuk mendapatkan akses ke akun sensitif.

Jika jalur gerakan lateral ada untuk entitas, di halaman profil entitas, Anda akan dapat memilih tab Jalur gerakan Lateral . Diagram yang ditampilkan memberi Anda peta kemungkinan jalur ke pengguna sensitif Anda.

Untuk informasi selengkapnya, lihat Menyelidiki jalur gerakan lateral dengan Defender for Identity.

Periksa status honeytoken

Sebelum melanjutkan penyelidikan, penting untuk mengetahui apakah entitas tersebut adalah honeytoken. Anda dapat menandai akun dan entitas sebagai honeytoken di Defender for Identity. Saat Anda membuka profil entitas atau profil mini akun atau entitas yang Anda tandai sebagai honeytoken, Anda akan melihat lencana honeytoken. Saat menyelidiki, lencana honeytoken memberi tahu Anda bahwa aktivitas yang sedang ditinjau dilakukan oleh akun yang Anda tandai sebagai honeytoken. Untuk informasi selengkapnya, lihat Tag Honeytoken.

Langkah berikutnya

Pelajari lebih lanjut